誹謗中傷対策とネット炎上対策をサポートする【ネット情報参謀セイメイ】

ネット情報参謀セイメイ

0120-134-797
営業時間:9:00~19:00/土日祝日休

企業の信用失墜と情報漏えい(6) ~知っているようで知らない、パスワードの話~


 
パスワードを扱うにあたって下記の5つの心がけをおさえることがまずは重要になります。

その1「パスワードの強度を高める設定を心がけよ」

その2「パスワードを他人に教えるな」

その3「パスワードは紙に書け」

その4「すべて同じパスワードを使い回すな」

その5「自分の管理下にあるパソコン以外で、重要なパスワードを入力するな」

下記に詳細を見ていきましょう。

心がけその1「パスワードの強度を高める設定を心がけよ」

なぜ、8文字以上で英字の大文字小文字や数字、特殊文字を混在させることが望ましいのでしょうか。

スーパーコンピューター(アタック=10億パターン/秒を処理)の場合、数字のみ8文字では一瞬で突破、アルファベット混合8文字では15時間で突破、数字+アルファベット混合8文字は60時間、そして数字+アルファベト混合+記号8文字では、83日かかると言われています。記号を1文字加えるだけで強度が格段に増す(33倍)のです(記号の入力は、シフトキーを押しながら数字=#$%&など)。

パスワードを定期的に変更する期間も、設定したパスワードの強度がどこまであるかによって変わってきます。数字+アルファベット混合+記号8文字なら2カ月間隔の変更でよいし、数字8文字なら一瞬で解読されてしまうので、ワンタイムパスワード(一回だけの使い捨てパスワード)でなければなりません。

なお、設定したパスワードの強度をチェックするには、「パスワードチェッカー」(マイクロソフト提供)を使うと便利です。数字4文字、アルファベット4文字の計8文字で試すと、セキュリティ強度は、「中」と出ます。記号を1文字追加しただけで、セキュリティレベルは「強」になります。いろいろ試してみて、パスワードを決める際の強度をシミュレーションで確認してみてください。

心がけその2「パスワードを他人に教えるな」

パスワードを教えない、というのは当たり前のことですが、会社で「教える」ことは多々発生します。たとえば上司から命令されたら、あなたはどうしますか?

三菱UFJ証券の漏えい事件も、システム部の部長代理という立場を利用して、同僚のID、パスワードで不正アクセスしたことが判明しました。「テストデータ収集のため」と部長代理は説明し、部下の女性オペレーターに命じて顧客データにアクセスしたわけです。

パスワードを他人に教えない、という当然のことでも、上司から命令された場合、どう確認し対処するか手順とルールがなければなりません。会社になければ作る必要があります。

心がけその3「パスワードは紙に書け」

「パスワードを書き留めてはいけない」。多くの読者は耳にしたことがあると思います。なぜ書き留めてはいけないかと言えば、紙に残すと他人に知られる可能性があるからです。セキュリティの専門家はずっと前からそのように言ってきたし、コンピューター雑誌でもそのように紹介されています。「紙に書くな、頭で覚えろ」と。

しかし現在のように、パソコンやスマートフォンを扱う機会が大幅に増えると、パスワードを覚えておくことは至難の業となっています。ネット通販やオークション、旅行の予約や興行チケットの手配、銀行の入出金、株や外貨取引など、何をするにもパスワードが求められるます。やっかいなのは数字4ケタでOKのものから、数字とアルファベットを混ぜることを要求するもの、最低6ケタ以上でないと受けつけないものなど、多種多様にあることです。そのたびにパスワードを作成する必要が出てくるわけです。

また職場においても、机上パソコンのログインにはじまり、社内LAN、電子メール、機密ファイルへのアクセス、USBメモリに至るまで、異なるパスワードを要求される場面が増えています。さらに会社のセキュリティポリシーで、パスワードを定期的に変更すること、過去使用した同じものを使用しないなどの規則から、パスワードはますます増加し管理が複雑化しています。

しかし、ふつうの人間の記憶力に限界があり、そもそもムリがでてきています。またパスワードの作り方でムリをすると、人間は忘れないようにするために、数字だけやアルファベットの単純な組み合わせによる、覚えやすいパスワードを使うようになります。するとかえってセキュリティが弱くなってしまい、本末転倒となってしまうわけです。

銀行カードやクレジット決済に使う複雑なパスワードは、忘れないようにノートに書いて(パスワードと書いちゃだめです)机に鍵をかけてしまってみてはどうでしょうか。机が心配なら、作業場所と離して保存したり、それがパスワードと分からないように記載するなど、工夫すれば他人に知られることなく保管できます。

心がけその4「すべて同じパスワードを使い回すな」

リスク分散をはかる趣旨から、同じパスワードを複数の場所で使用しないという意味です。近年インターネットが急速に普及したため、人間一人が所持するパスワードの数が劇的に増え、普通の人で平均15以上持っているそうです。

人間の記憶力の問題、めんどうな作業を減らしたいという心理から、すべて同じパスワードを設定している人がいますが、これが一番危険です。というのも一つのパスワードが破られたら、同じパスワードで保護されているその他の情報もすべて危険に晒される怖れがあるからです。

異なるシステムでは異なるパスワードを使用することが不可欠です。

心がけその5「自分の管理下にあるパソコン以外で、重要なパスワードを入力するな」

自分の管理下にあるパソコンとは、自分自身で所持、管理しているパソコンという意味です。なぜほかのパソコンでパスワードを入力することがいけないのでしょうか。

出張先のホテルや空港にも、最近はパソコンが設置されており、便利になりました。しかしこうした不特定多数の人が利用するパソコンには、入力キーを記憶して再現できる「キーロガー」といわれる悪意を持ったソフトが仕掛けられている場合があります。だからこうした場所から会社の社外秘情報にアクセスしたり、個人の銀行口座やクレジット口座の決済にパスワードを入力するようなことを、絶対にやってはいけないのです。どうしても作業が必要な場合は、LANケーブルに自分のノートパソコンを接続して、利用することです。

また最近ワイヤレス(Wi-Fi)でインターネットに接続できる公共施設やレストラン、ホテル・旅館がずいぶんと増えています。自分のパソコンといえどもこうした場所でのパスワード入力は、“盗聴”の怖れがあるので、極力避けるようにしたいものです。ネットサーフィンで楽しむ分には何の問題もありませんが、自分の個人情報を呼び出すような使い方はしないことです。

会社によってはガチガチのセキュリティで許していない場合が多いのですが、例えばWebメールなどは、出張には便利なものです。最近はノートパソコンの持ち出しが禁止されるケースが増えているので、緊急連絡用につくっておいてもよいと思います。とくに海外出張の場合は、大変重宝します。事務連絡とか報告に使用する分には、さほど問題はないでしょう。

ナレッジ&コラム執筆者

執筆者

田淵 義朗(たぶち よしろう)

ソーシャルメディアリスク研究所代表
1956年神戸市生まれ。中央大学法学部法律学科卒業後、出版社やベンチャー企業経営を経て、ネット上のコンテンツビジネス/サービスのリスク管理コンサルティングに携わる。ネット風評対策・誹謗中傷対策・クレーム調査、法的対応(民亊、刑事)の証拠収集、予防のための経営層・従業員研修、などが専門。主な著書に「45分でわかる個人情報保護」(日経BP社)、「ネット〈攻撃・クレーム・中傷〉の傾向と即決対策」(明日香出版社)、ビデオ監修「ソーシャルメディアのリスク」(PHP研究所)など。

  

厳選ホワイトペーパー

カテゴリー

人気のナレッジ&コラム

最新のナレッジ&コラム

募集中のセミナー

  • 現在募集中のセミナーはございません。