パスワード管理は、もっとも簡単にできてかつ重要な企業内の情報漏えい対策です。
普段何気なく使っているときには「いちいち入力しないといけないなんて面倒だな」と思うものかもしれませんが、実際に悪意ある第三者からの不正アクセスのほとんどはこのパスワードの管理の不備から起こってしまっています。
利用する側の意識が大切
なぜならパスワードは不正侵入のために何か特殊な技術を必要とせず、簡単な推測のみで重要なファイルに簡単にアクセスすることができる手軽な方法であるためです。
現在優れた情報漏えい対策のためのシステムは数多く世に出まわっていますが、その利用のためにはユーザーIDとパスワードが発行される形式になっていることがほとんどです。
つまりはどれだけ優秀なシステムを導入したとしても、それを利用する側の意識が著しく低い場合には全く無意味なシステムにも成り得てしまうということでもあります。
パスワードの管理のためには、定期的に変更、書き留めたまま放置しない、推測しづらく意味のない文字列を使用するといったことが基本的な方策となります。
コンピューター側の認証では、ユーザーIDとパスワードが一致するかどうかによってそのアクセスが正当であるかが判断されます。
しかしありがちなのが、小さな企業内などで他人とユーザーIDを共有していたり、パスワードを覚えやすく簡単なものに設定してしまっているようなケースです。
ユーザーIDを複数の人間で共有してしまうと、定期的なパスワード変更が嫌がられてしまいますし、万が一のときに緊急にアクセス権限を絞ることができにくくなります。
データの精度を高めた利用
もしやむを得ずIDを複数の人間で共有しなくてはならない場合には、責任者を決めるとともにログイン時には管理者の許可を得るようにするなどの管理方法が必要です。
また反対に一人一つのIDとパスワードを発行する場合には、人員の移動や退職が合った場合にすみやかにそのIDととパスワードの権限を消去するといったことも大切です。
ユーザーIDとパスワードを一人一つ発行することを「シングルサインオン」といいますが、シングルサインオンを行うメリットはそのファイルに誰がいつアクセスしたかをログとして残すことができるという点です。
そうすると最終的にそのデータが誰によってどう変更されたかがわかるので、よりデータの精度を高めた利用ができるようになります。
パスワードの設定のときには、外部から簡単に推測できるようなものを使用してはいけません。
具体的には、
× ユーザーIDとパスワードを同じ文字列にする
× 使用する本人の名前や生年月日など、用意に推測できるものを使う
× ユーザー名+数字といった安直な組合せにする
× 辞書にあるような簡単な文字列(地名や所属する課の名前)にする
× 規則性のある文字列(012345など)を使う
× キーボードの配列をそのまま使う(qwertyなど)
といったものはNGです。
また複雑なパスワードを設定した場合にも、それを記載したメモとすぐ手元においていたり、長く同じものを使用したりすることがないようにすることも大切です。