11. パスワード管理の必要性と管理方法

情報漏洩事件が多発する昨今、企業においても情報セキュリティに対する関心が高くなってきました。

会社内のパソコンや主要システムへのアクセスに際してのパスワード導入はもちろんのこと、個別のファイルにもパスワードをかけることで情報漏洩の防止を図るのは多くの企業で取り入れている対策だと思います。

しかし、パスワードをかけたからといって安全とは限りません。パスワードがどう管理されているかも重要です。今回はパスワード管理の必要性とその管理方法についてご紹介します。

適切な管理を行わなければ、パスワードの効果はゼロに等しい

パスワードを設定していても、そのパスワード管理が不十分であればセキュリティ対策は十分ではありません。パスワードを忘れた場合の不便さを優先させているケースは多く見られます。

例えばパスワードが安易に想定できるものであったり、パスワード自体が社内ネットワーク上に公開されていたりすることも少なくありません。「社内だから」「周りが信用できるから」といった理由でこのようなケースが野放しにされていては、情報漏洩のリスクはどんどん増大してしまいます。

「パスワードを忘れたら困る」という不安が優先されて安易なパスワード設定になることが多くの会社で見受けられます。

一番多いのは、社員の名前や社員番号をパスワードに取り入れてしまうケース、次に簡単な英単語、誕生日や電話番号といった特定しやすい数字をパスワードにしてしまうケースです。

またパソコンの管理番号をパスワードにするケースもあるようですが、その管理番号がパソコン筐体に貼ってあったり、ログイン画面のIDであったりするのでパスワードを特定することが容易となってしまいます。

これら以外でも、第三者が特定しやすいパスワードは全て避けるべきです。そしてパスワードの設定は英字と数字を組み合わせて8文字以上で設定することが理想です。また同じパスワードを複数の環境で同時に使うことも避けましょう。

第三者に特定されない万全なパスワードを設定したとしても、その使い方次第で無意味になることがあります。

例えばパスワードを特定の誰かに伝えるためにメールで教えてしまうことは大きなリスクが伴います。なぜならそのメールがメールの誤送信やウイルス感染によって、別の第三者に知られてしまう可能性があるからです。

またWebブラウザなどにパスワードを記憶させておくのも危険です。ウイルスなどによって不特定多数に公開されたり勝手に搾取されたりする場合があります。出来る限り利用するごとにパスワードを入力するようにすべきでしょう。

そして、会社でよく見受けられる光景ではありますが、パスワードを紙に書いて誰もが見える場所に貼っておくことは絶対に避けるべきです。

パスワード設定は万全で、その管理対策も十分であったとしても同じパスワードを長期間使用することは避けましょう。

ハッキングツールを使うことで時間をかければパスワードを解析することができる場合があります。定期的にパスワードは変更していくことが大切です。

パスワードを設定しているから大丈夫、という発想は非常に危険です。お使いになっているパスワードの設定や管理方法を改めて見直していただき、不十分であれば必ず改善して安全な運用を心掛けて下さい。

「ログ管理とは何？」という方から、さらに活用したい方まで、ログ管理をわかりやすく説明します。≫ ログ管理とは？