「パスワードの管理」について間違った考え方や方法で間違った理解や運用がなされていることが実に多いです。「パスワードの管理」が適切になされないと、かえってそこがセキュリティ上の弱点となって、不正アクセスを許してしまう結果になります。
誰もが使っているパスワード。そこに落とし穴が・・・
セキュリティの基本とは何でしょうか。多くの人はファイヤウォール、ウィルス対策などをイメージするかもしれません。
しかしセキュリティの基本は「パスワードの管理」です。
セキュリティ対策の基本中の基本といっても過言ではありません。パソコンを使ったことがある人なら、誰もがパスワード設定の経験があると思います。パスワードは、世の中で広く普及し定着した技術の一つであり、高価な漏えい防止ツールを導入せずとも、最も簡単にできるセキュリティ対策の一つです。
実はここに大きな落とし穴が潜んでいます。誰にも簡単に扱える、身近にあるということは、誤った管理、ずさんな運用がされると命取りになるということです。マスコミ報道で「不正アクセスで個人情報が漏えい」というニュースを耳にすることがあると思いますが、外部のハッカーによる裏口からの不正アクセスではなく、ほとんどの場合パスワードが漏れて、正面玄関から堂々と入ったものです。たとえば社内でパスワードが公然化していて、誰もが使える状態になっており、アクセス権限のない者が機密情報にアクセスするような状態です。アクセスすれば、これは不正アクセスとなり、本来は禁止法で罰せられものです。
昔、三菱UFJ証券システム部の部長代理が顧客データベースにアクセスし、148万人分の個人情報を不正に持ち出すという事件が起きました。強固なセキュリティシステムを何重にも施した会社施設内で、なぜ顧客データが外部に持ち出されたのでしょうか。実はこの部長代理、同僚のIDとパスワードを利用し、部下に命じて不正アクセスをしていました。アクセス権限を持たない人間が容易に機密情報にアクセスできたのは、パスワードを不正利用したからにほかなりません。「パスワードの管理」がいかに大事かを示した事件と言えるでしょう。
セキュリティ専門家の言うことを丸呑みするな
パスワードを定期的に変更することを説く情報セキュリティ専門家は多いのですが、果たしてそんなことができるのでしょうか。人はウェブサービスを利用するのに平均15個のパスワードを持っているといいます。しかし15個のパスワードを人は覚えるのは至難の業です。しかもそのパスワードを定期的に変更せよといいます。また紙に書くなともいいます。そんなスーパーマンのような人はいるでしょうか?
パスワードを定期的に変更せよというのは、破られたことを想定して変えた方がよいと言っているに過ぎません。パスワードは外部からの攻撃で盗まれることもありますが、自らの油断からパスワードが漏えいしていることの方がずっと多いのです。たとえば偽物のウェブサイトにうまく誘導されて、ID、パスワードを自ら入力して漏えいする場合などはこれにあたります。SSL(機密性の高い入力情報を暗号化して実在する相手と送受信する規約)が使用されているhttpsのページになっていることを確認してから入力するようにすれば、盗まれることもありません。パスワードを入力する際には、必ずページを確認することを習慣づければ、パスワードを定期的に変更するという無理なことをする必要がないともいえます。
現実的な一つの方法として、保護すべき重要なものだけパスワードを定期的に変更するようにしたらよいと思います。重要なものとは、銀行口座やクレジットカードをウェブで利用するような場合です。こうしたものだけID、パスワードを定期的に変更するようにします。毎日変えるというのも現実的ではありませんから、1カ月に1度程度の変更でよいでしょう。最近は、ワンタイムパスワードや、二段階認証の設定などで、大元のパスワード変更を頻繁にせずともよくなっています。
またこうした定期的な変更より大事なことは、ウェブサイト側の事故でパスワード漏えいが起きた場合の対処の方が、よほど重要です。情報漏えいが判明したら通知が来るので、その際にもし他のウェブサイトで同じID、パスワードを使っている場合には、できるだけ早く変更するようにしましょう。なぜならほかのウェブサイトで悪用される恐れがあるからです。多くの人が、さほど重要度が高くないウェブサービス(たとえばポイントサイトやチケットの予約、通販サイトなど)を利用するときに、共通のパスワードを使っていることが多いと思います。これらをそのままにせず、全部変更したほうが良いと思います。
一口アドバイス:「パスワードの作り方」
最近は、便利なパスワード管理ツールが出ています。覚え切れない多くのパスワードを、一個のパスワードで一元的に管理でき、便利なツールであるのは確かです。しかし、万一パスワードが破られたとき、そこに格納されていたすべてのパスワードが意味を失い、情報にアクセスされてしまう危険があります。
そこで、誰でも簡単にできるパスワードの作り方の一部をご紹介したいと思います。
例えば、今年の目標……散歩→SANPO(メタボ解消のため)、そして今月……9月。必ず頭に@(アットマーク)。これで毎月1回変更する次の8文字のパスワードが完成します。
9月なら、@09SANPO
3月なら、@03SANPO
ちょっと、メールアドレスみたいで、かっこいいと思いませんか?
このほかにも、頭で覚えておけるパスワードの作り方とルールはいろいろあります。一度、「パスワードの作り方」というキーワードで検索して調べてみてください。
関連記事: こんな記事も読まれています
カテゴリー
- サイト別削除方法
サイト別削除方法 - ネット炎上対策
ネット炎上対策 - 個人でできるネットリスク管理
個人でできるネットリスク管理 - 業界別の誹謗中傷対策
業界別の誹謗中傷対策 - 危機管理広報
危機管理広報 - ブランディング
ブランディング - SNS・口コミ管理
SNS・口コミ管理 - IT業界の対策
IT業界の対策
人気のナレッジ&コラム
-
ネットの誹謗中傷が犯罪になる事例(1) ~名誉毀損罪・侮辱罪が適用になる条件~
87,176ビュー -
匿名の書き込み犯人を特定する方法 ~情報発信者の開示請求のやり方と書式~
50,417ビュー -
ネットの誹謗中傷を発見したらどう対処すればよいか(1)~6通りの対策方法~
42,698ビュー -
ネットの誹謗中傷が犯罪になる事例(2) ~脅迫罪が適用になる条件~
20,837ビュー
最新のナレッジ&コラム
-
ジェンダー炎上とCM その① 性的・エロ表現によるジェンダー炎上
2019/11/29 -
炎上を拡散させる者の罪~書くこと、リツイートは慎重にしなければ、罪に問われる~
2019/10/11
募集中のセミナー
- 現在募集中のセミナーはございません。