パスワードの定期変更、強制はダメ? その理由と1つの例外:半径300メートルのIT(2/2 ページ)
最近、パスワードの定期変更に異を唱える流れがありますが、絶対に定期変更をすべき例外があります。それは……。
「パスワードの定期変更が必須」の運用とは
今すぐにパスワードの定期変更を行うべき運用とは、「部署で共通のアカウントを使っている」というケースです。例えばファイルサーバや社内システム、部署ごとのVPNなどで、部署ごとにアカウントがあり、それを部内で共通で使っているケースがこれに当たります。
恐らく情報システム部が関係するような全社システムではなく、部署ごとに導入したサービスなどが該当するのではないかと思います。いわゆる「シャドーIT」に近いものかもしれません。
この場合、部署の新入社員へ渡すドキュメントなどをもう一度調べてみてください。業務をこなすための資料に、もし「パスワード」が書かれていたとしたら、それこそが部署共通アカウントでしょう。このアカウントに関しては、いますぐ、パスワードを定期的に変更する運用を取ってください。
このようなアカウント運用をしている部署は恐らく、人が異動したあとや退職したあとでも同じアカウントを運用しているはずです。そうすると、部署の人間ではない人がアカウントにログインできる可能性が出てきてしまいます。
1つ目のお願いは、共通アカウントを運用している場合は、少なくとも1カ月に1回はパスワードを定期変更しようということです。
実はリスクが大きすぎる! そもそもの問題は
そしてもう1つのお願いは、「共通アカウントの廃止」です。これはパスワードの定期変更よりも先にやってほしいこと。そもそも共通アカウントなど使うべきではないので、「一人ひとりにアカウントとパスワードを配る」という運用に、即時変更すべきです。変更したらもちろん、「パスワードを定期変更させるように促す」ようなことはしないでください。そもそもの元凶は、共通アカウントなのですから。
運用の手間は増えるでしょうが、これは“利用者を守ることでもある”と考えてください。
例えば、「誰かが社内の情報を勝手に閲覧したり、持ち出したりする情報漏えい事件」が起きたとすると、それが明らかになった時点で、企業には詳細な経緯と原因を明らかにすることが求められます。これはまさに時間との闘いになるわけですが、その時、もし共通アカウントが存在したら、そのアカウントとパスワードを知っている全ての人間が「被疑者」になりえてしまうのです。
こうなると、調査のために多くのメンバーが仕事をできなくなる上、何も悪いことをしていなかった「仲間」を社内で疑うことになり、当然、社内士気も下がるでしょう。つまり、共通アカウントの廃止は、問題のあるアカウントを絞る上でも有用ということ。「共通アカウントの廃止が仲間を守る」というのはそういう理由なのです。
このように、ごく限られた運用パターンではパスワードを定期変更すべきですが、本来は“そのような運用自体”を改める必要があります。もし、あなたの企業が共通アカウントを持っているのなら、企業、部署、そしてあなたを守るためにもその運用を見直すよう、検討してもらってください。もちろん、パスワードの定期変更という運用も見直してもらってくださいね。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
関連記事
- 「半径300メートルのIT」記事一覧
- 私が「パスワードがない世界」を選べない理由
面倒なことこの上ない「パスワードの手入力」。誰もが、この面倒な操作をしたくないと思っているのではないでしょうか。手入力なしの認証方法も登場していますが、私はこれを選びませんでした。その理由は…… - 過信は禁物? ワンタイムパスワードはどこまで安全なのか
最近、安全性が高い認証方法として認知され始めている「ワンタイムパスワード」。しかし、この手法には本当に死角がないのでしょうか? - TwitterやECサイトのパスワードは“5分もあれば”盗まれる?
先日、Twitterのパスワードらしき数千万件の情報が流出したという報道がありました。こうしたWebサービスのパスワードは、あなたが思っているより簡単に盗まれてしまう可能性があることを意識していますか? - わが家の「パスワード管理ソフト」導入記
家族に提案したら、「そんなところに預けられません!」という返事がありました……。それを乗り越えていけそうな“手がかり”もご紹介します。 - iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.