情シスさん、パスワードの定期変更よりもやるべきことがある：半径300メートルのIT

定期的なパスワード変更を強制させるだけで情報漏えいが防げるハズはありません。定期変更が無意味だとはいいませんが、パスワードに関してもっと注力すべき点があります。

[宮田健，Business Media 誠]

　みなさんが勤める会社に、「パスワードは1カ月に1度変更しましょう」といった決まりはありますか。もしもあなたが（1人）情報システム部や（1人）システム管理者だとしたら、頭を悩ませている問題でしょう。

　パスワードの定期変更は、ごく一部の事象には有効的です。よーく考えてみると、それ以前にやるべきことがたくさんあることに気が付くはずです。

パスワード定期変更が有効な場合って？

　筆者もいくつかの企業を転々としていましたが、ほとんどの企業で「パスワードの定期変更」を強制されました。あるシステムでは1カ月経つとパスワード変更ダイアログが表示され、過去3回分とは異なるパスワードを求められたことも。

　しかし、パスワードの定期変更は「何らかの方法でパスワードが漏れた場合」くらいにしか効果を発揮しません。しかも、定期変更が1カ月間隔だったとしたら、最長1カ月はやられ放題です。その割には、利用者にかかる負担が大きいですよね。

　パスワードの定期変更が全くの無駄だとまでは言いません。しかし、情シスが行うべき作業をユーザーに転嫁しているとも言えます。

　本来、情シスがやるべきことは「パスワードを含む情報が流出するような出来事が発生していないか」をより深くチェックできる体制の構築。つまり、情報システム部側のチェックを強化する方向に向かうべきなのです。

　少しキツい言い方になりますが、従業員にパスワード定期変更を求める企業は「やるべきことをやってない」と思われても仕方がありません。

パスワード定期変更よりも「STOP!! パスワード使い回し!!」

　とはいえ、ユーザーがパスワードをなおざりにするのは防がなければなりません。そこで、同じ面倒な作業を強制させるのであれば、定期変更ではなく「使い回しをやめさせる」ことを目指してみませんか？

　情報処理推進機構（IPA）およびJPCERTコーディネーションセンター（JPCERT/CC）は2014年9月17日、複数のサイトで同じパスワードを使い回さないよう呼び掛ける「STOP!! パスワード使い回し!!」キャンペーンを始めました。

　「同じID、パスワードのセット」を複数のサイトで使い回してしまうと、どこかでそれが漏れてしまえば、すべてのサイトで不正なログインをされる可能性が発生します。そのため、できる限りパスワードはサイトごとに異なるものを設定すべきです。

パスワードリスト攻撃の概要（出典：JPCERT/CC）

　会社が発行するメールアドレスはある程度、一定のルールに基づいて作成されます。多くの場合、氏名からメールアドレスが容易に推測できます。ということは、万が一、個人のIDとパスワードのセットがどこかで流出し、メールアドレスにひもづけられてしまえば、企業内ネットワークへのリモートアクセスが可能になるかもしれません。

　シマンテックの指摘（参考記事）によれば、ビジネスシーンとプライベートでパスワードを使い分けている人は「34.3％」しかいないそうです。あなたが情シスであれば、パスワードの定期変更なんかよりも先に「パスワードの使い回しだけはやめてくれ！」と伝えるべきなのは分かりますよね。

　パスワードの定期変更は無意味とまでは言いませんが、それ以前にやるべきこともいっぱいあります。IPAのキャンペーンでも「紙のメモ」「電子ファイル」「パスワード管理ツール」を使ってパスワードを管理するとともに、不正なログインに気付く、防止するような仕組みを取り入れるべきだとしています。

　利用者に負担を強いる前にまずできることはないか、そして正しい負担の強い方があることを、もう一度チェックしてみてはいかがでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。