連載
» 2017年05月30日 08時00分 公開

半径300メートルのIT:パスワードの定期変更、強制はダメ? その理由と1つの例外 (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

「パスワードの定期変更が必須」の運用とは

Photo

 今すぐにパスワードの定期変更を行うべき運用とは、「部署で共通のアカウントを使っている」というケースです。例えばファイルサーバや社内システム、部署ごとのVPNなどで、部署ごとにアカウントがあり、それを部内で共通で使っているケースがこれに当たります。

 恐らく情報システム部が関係するような全社システムではなく、部署ごとに導入したサービスなどが該当するのではないかと思います。いわゆる「シャドーIT」に近いものかもしれません。

 この場合、部署の新入社員へ渡すドキュメントなどをもう一度調べてみてください。業務をこなすための資料に、もし「パスワード」が書かれていたとしたら、それこそが部署共通アカウントでしょう。このアカウントに関しては、いますぐ、パスワードを定期的に変更する運用を取ってください。

 このようなアカウント運用をしている部署は恐らく、人が異動したあとや退職したあとでも同じアカウントを運用しているはずです。そうすると、部署の人間ではない人がアカウントにログインできる可能性が出てきてしまいます。

 1つ目のお願いは、共通アカウントを運用している場合は、少なくとも1カ月に1回はパスワードを定期変更しようということです。

実はリスクが大きすぎる! そもそもの問題は

 そしてもう1つのお願いは、「共通アカウントの廃止」です。これはパスワードの定期変更よりも先にやってほしいこと。そもそも共通アカウントなど使うべきではないので、「一人ひとりにアカウントとパスワードを配る」という運用に、即時変更すべきです。変更したらもちろん、「パスワードを定期変更させるように促す」ようなことはしないでください。そもそもの元凶は、共通アカウントなのですから。

 運用の手間は増えるでしょうが、これは“利用者を守ることでもある”と考えてください。

 例えば、「誰かが社内の情報を勝手に閲覧したり、持ち出したりする情報漏えい事件」が起きたとすると、それが明らかになった時点で、企業には詳細な経緯と原因を明らかにすることが求められます。これはまさに時間との闘いになるわけですが、その時、もし共通アカウントが存在したら、そのアカウントとパスワードを知っている全ての人間が「被疑者」になりえてしまうのです

 こうなると、調査のために多くのメンバーが仕事をできなくなる上、何も悪いことをしていなかった「仲間」を社内で疑うことになり、当然、社内士気も下がるでしょう。つまり、共通アカウントの廃止は、問題のあるアカウントを絞る上でも有用ということ。「共通アカウントの廃止が仲間を守る」というのはそういう理由なのです。

 このように、ごく限られた運用パターンではパスワードを定期変更すべきですが、本来は“そのような運用自体”を改める必要があります。もし、あなたの企業が共通アカウントを持っているのなら、企業、部署、そしてあなたを守るためにもその運用を見直すよう、検討してもらってください。もちろん、パスワードの定期変更という運用も見直してもらってくださいね。

著者紹介:宮田健(みやた・たけし)

デジタルの作法 『デジタルの作法』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ