第12回「グループ共有パスワードの管理、どうしてる?」:研修で教えてくれない!
プレゼン資料を作成していたメデア商事の新人・小林ケンタは、ちょうど顧客情報が必要になり、課の先輩・高柳ワタルに相談に行くところである。機密情報にアクセスするにはグループで共有するパスワードが必要になるという。
大手総合商社・メデア商事の営業部3課の新人・小林ケンタはプレゼン資料を作成していた。ちょうど顧客情報が必要になり、課の先輩・高柳ワタルに相談に行くところである。
小林 高柳さん。明後日のプレゼンに顧客の情報が必要なんですけど、どうしたらデータベースにアクセスできるんですか?
高柳 顧客の情報って具体的には何だ?
小林 えっと、分かるものなら何でも。
高柳 ちょっと待て。顧客情報はウチの最重要機密の1つでもあるんだぞ。本当に必要なデータだけに限定するのは当然だろう。
小林 スミマセン、何が必要かちゃんと考えてみます……。
高柳 そうだな。そうしてくれ。
小林 ところでデータベースへのアクセス自体はどうするんですか?
高柳 各課に1つずつ割り当てられたユーザーIDとパスワードでアクセスするんだ。
小林 じゃあ、そのユーザーIDとパスワードは僕にも教えてもらえるんですね。
高柳 いや、それはダメだ。
小林 ?
ユーザーIDとパスワードは、利用者に1つずつ割り当てるのが基本である。しかし管理の都合上、グループで1つのIDとパスワードを共有して使わなくてはならないケースもあるだろう。このような場合のIDとパスワードの管理には、個人のID/パスワード管理以上に注意が必要である。
まず、他の人間も知っているという安心感から、個人のID/パスワードよりも“ゆるい”管理をしてしまうケースがある。例えばポスト・イットなどの付箋に明記して、PCのディスプレイに貼り付けておくといった昔ながらのルーズな方法で管理されてしまうケースも珍しくないのだ。
また、パスワード変更のタイミングも重要だ。配置換えや退職などがあれば、その当該ユーザーのアカウントはロックされたり、削除されたりするが、グループのアカウントは当然ながら残される。したがって、グループのアカウントにかけられたパスワードは、そのパスワードを知っている者が配置転換や退職などでアカウントの使用権を失ったら、すぐに変更しなくてはならない。
このようなことから、グループに割り当てられたID/パスワードを知っている者は必要最低限に限るのが望ましい。
小林 ということは、僕はまだその「必要最低限」の中には含まれないってことですね……。
高柳 そりゃ新人なんだから仕方ないだろう。ウチの場合は主任以上でないと教えてもらえないことになってるんだ。とにかく今回は、課長に許可をもらった上でオレが代わりにデータベースにアクセスしてやるよ。
小林 ありがとうございます。でも将来、実際にそんなIDとパスワードを教えてもらっても、管理できるか不安です。何だかヘマをしそうで……。
高柳 ちょっと脅かしすぎたかな(苦笑)。確かに滅多に使わないから、記憶しておくということも難しいし、だからといって紙に書いて机の中に入れておくわけにもいかないよな……。でも、例えばロックをかけたデータに書き留めておくというのはどうだ?
小林 えっ?
高柳 比較的簡単なのはWordのロック機能を組み合わせる方法だ。パスワードの一部だけを書いた文書を作って、それにお前が記憶しやすいパスワードでロックをかけて保存しておく。ここでポイントは、パスワードの一部を書いておくこと。全部を書くと万が一パスワードが破られたとき心配だからな。
小林 それでどうするんですか? 結局覚えておかなきゃならないなら不便ですよね。
高柳 そこでパスワードを2つに分けるんだ。「G8k39bY27s7」というパスワードだったら、前半の「G8k39b」だけをWordにファイルに記載してパスワードをかけておく。後半の「Y27s7」は手帳に書いておいてもいい。こうしておけば、Wordファイルのパスワードが破られても、小林の手帳が盗まれても、同時に同じ犯人やられない限りは被害を防ぐことができる。パスワード全部を1つのところに書いておくよりはよっぽど安全な方法だろう。
小林 なるほど、それならできそうです!!
高柳 詳細はBiz.IDのこの記事を読むといいぞ。でもWordのロックをかけるパスワードを忘れたりしちゃったら意味がないから、厳密に管理しないとな。
小林 はいっ!
Officeでの「読み取りパスワード」のかけ方
Word、Excel、PowerPointなどマイクロソフトの「Office」シリーズで、パスワードを入力した場合だけ開ける「パスワード保護」を使うには、[ツール]−[オプション]−[セキュリティ](左)から[読み取りパスワード]ボックスに、パスワードを入力して[OK]をクリック(中央)。[読み取りパスワードをもう一度入力してください]ボックスに、再度パスワードを入力して[OK]を押す(右)。なお、Office 2007の場合は、[保存]−[ツール]−[全般オプション]から[読み取りパスワード]を入力。再入力して完了。
グループのID/パスワードの管理には様々な方法があるが、高柳が説明したようなID/パスワードを記した電子データをパスワードロックする方法は、比較的よく使われる方法である。他にも、ID/パスワードを記した電子データを暗号化ソフトウェアを使って暗号化する方法もある。いずれの方法を採用するにしても、使い勝手だけでなく、会社のセキュリティポリシーに照らして問題がないかを充分に検討してから採用の可否を決定しなくてはならない。
著者紹介 山賀正人(やまが・まさひと)
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
関連記事
- 第12回 パスワードの決め方を考える
セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。 - 第11回「USBメモリの安全な使い方」
小型で軽量かつ大容量のUSBメモリはデータの保管や移動に使われることが多い。ただし、あまりに小型であるために落としてしまったり、置き忘れてしまったりする。その上、大容量であることから、紛失による影響も甚大だ。今回は、USBメモリの安全な使い方を考える。 - 第10回「転送のはずが返信に──起こりがちな“メール誤返信”の対策」
メーリングリストなどのメールを転送しようとしたら、間違えて返信してしまったことはないだろうか。そんな“誤返信”のリスクと対策を考えよう。 - 第9回「出張で教えておきたい連絡先、覚えておきたい連絡先」
メデア商事の新人・小林ケンタは、初めての海外出張を前に準備に追われていた──。出張先での業務の準備も大事だが、慣れない出張では何が起こるか分からない。万が一のときに、頼りになるのは現地担当者だったり、本国の上司だったりする。気になる連絡先はしっかりチェックしておこう。記事末尾にはチェックリストも付記した。 - 第8回「ブログやSNS、不用意に会社のことを書いてませんか」
ブログやSNSなどを通じて、個人で情報発信する人が増えている。しかし「発信した情報が誰かに読まれている」ということに対して“無頓着”なケースも散見する。メディア商事の小林君は「たまにしか更新しませんけど、趣味のサッカーのこととか書いてます」というが……。 - 第7回「情報漏えい事故発生、そのとき」
いくら対策を取っていても、情報漏えいを完全に防ぐことはできない。情報の盗難や紛失は不可抗力的な側面もあり、発生を100%防げるわけではないからだ。では、情報漏えいが発生してしまった場合にとるべき対処法はどういうものだろう。 - 第6回「情報漏えい防止は日常の生活習慣から」
「メデア商事株式会社」の営業部3課の新人・小林ケンタは、課の先輩・高柳ワタルとお客様の元に出向くところだ。電車に乗った小林に「荷物を網棚に置くなよ!」と高柳が注意する──。 - 第5回「使いたいソフトを勝手にインストールしてはダメ?」
インターネット上には多数の便利なソフトが無料で公開されている。しかし、業務のPCに勝手にインストールしていいものだろうか。なぜ「勝手にインストール」がダメなのかを考える。 - 第4回「セキュリティポリシーは何のため?」
手続きの面倒くささばかりが目立つ「セキュリティポリシー」だが、外部に情報を持ち出しする場合、ポリシーで定めている手続きに沿って持ち出した情報を“管理”することが重要だ。持ち出し情報を管理していれば、万が一、外部に情報を漏洩してしまったときの対応も早くなる。 - 第3回「自動返信メールが“危険”な理由」
大手総合商社「メデア商事株式会社」の新人・小林ケンタは、初めての有給休暇を取ることになった。休暇中、自動返信メールを設定すべきかどうか――。 - 第2回「HTMLメールはなぜダメなのか」
ちょっとメールの見栄えを良くしようと思ってHTMLメールで送ろうとしたらエラーが出ちゃって――。どうしてHTMLメールを送信しちゃダメなんだろう。 - 第1回「メールを転送しちゃダメ?」
大手総合商社「メデア商事株式会社」の営業部3課――。新人研修を終えて配属されたばかりの新人・小林ケンタがメールの設定マニュアルと“格闘”していた。 - 概論編「なぜセキュリティ対策する必要があるのか」を再考する
セキュリティ対策ってなんだか面倒くさいし、技術部などの専門部署に任せておけばいいんじゃない? 本当のセキュリティ対策は、技術部だけでがんばっても限界がある。個人からボトムアップしていくセキュリティ対策の重要性をもう一度考えてみよう。
Copyright © ITmedia, Inc. All Rights Reserved.