誹謗中傷対策とネット炎上対策をサポートする【ネット情報参謀セイメイ】

ネット情報参謀セイメイ

0120-134-797
営業時間:9:00~19:00/土日祝日休

企業の信用失墜を防ぐ情報漏えい対策(5) ~パスワード常識のウソ、ホント~


 
「パスワードの管理」について間違った考え方や方法で間違った理解や運用がなされていることが実に多いです。「パスワードの管理」が適切になされないと、かえってそこがセキュリティ上の弱点となって、不正アクセスを許してしまう結果になります。

誰もが使っているパスワード。そこに落とし穴が・・・

セキュリティの基本とは何でしょうか。多くの人はファイヤウォール、ウィルス対策などをイメージするかもしれません。

しかしセキュリティの基本は「パスワードの管理」です。

セキュリティ対策の基本中の基本といっても過言ではありません。パソコンを使ったことがある人なら、誰もがパスワード設定の経験があると思います。パスワードは、世の中で広く普及し定着した技術の一つであり、高価な漏えい防止ツールを導入せずとも、最も簡単にできるセキュリティ対策の一つです。

実はここに大きな落とし穴が潜んでいます。誰にも簡単に扱える、身近にあるということは、誤った管理、ずさんな運用がされると命取りになるということです。マスコミ報道で「不正アクセスで個人情報が漏えい」というニュースを耳にすることがあると思いますが、外部のハッカーによる裏口からの不正アクセスではなく、ほとんどの場合パスワードが漏れて、正面玄関から堂々と入ったものです。たとえば社内でパスワードが公然化していて、誰もが使える状態になっており、アクセス権限のない者が機密情報にアクセスするような状態です。アクセスすれば、これは不正アクセスとなり、本来は禁止法で罰せられものです。

昔、三菱UFJ証券システム部の部長代理が顧客データベースにアクセスし、148万人分の個人情報を不正に持ち出すという事件が起きました。強固なセキュリティシステムを何重にも施した会社施設内で、なぜ顧客データが外部に持ち出されたのでしょうか。実はこの部長代理、同僚のIDとパスワードを利用し、部下に命じて不正アクセスをしていました。アクセス権限を持たない人間が容易に機密情報にアクセスできたのは、パスワードを不正利用したからにほかなりません。「パスワードの管理」がいかに大事かを示した事件と言えるでしょう。

セキュリティ専門家の言うことを丸呑みするな

パスワードを定期的に変更することを説く情報セキュリティ専門家は多いのですが、果たしてそんなことができるのでしょうか。人はウェブサービスを利用するのに平均15個のパスワードを持っているといいます。しかし15個のパスワードを人は覚えるのは至難の業です。しかもそのパスワードを定期的に変更せよといいます。また紙に書くなともいいます。そんなスーパーマンのような人はいるでしょうか?

パスワードを定期的に変更せよというのは、破られたことを想定して変えた方がよいと言っているに過ぎません。パスワードは外部からの攻撃で盗まれることもありますが、自らの油断からパスワードが漏えいしていることの方がずっと多いのです。たとえば偽物のウェブサイトにうまく誘導されて、ID、パスワードを自ら入力して漏えいする場合などはこれにあたります。SSL(機密性の高い入力情報を暗号化して実在する相手と送受信する規約)が使用されているhttpsのページになっていることを確認してから入力するようにすれば、盗まれることもありません。パスワードを入力する際には、必ずページを確認することを習慣づければ、パスワードを定期的に変更するという無理なことをする必要がないともいえます。

現実的な一つの方法として、保護すべき重要なものだけパスワードを定期的に変更するようにしたらよいと思います。重要なものとは、銀行口座やクレジットカードをウェブで利用するような場合です。こうしたものだけID、パスワードを定期的に変更するようにします。毎日変えるというのも現実的ではありませんから、1カ月に1度程度の変更でよいでしょう。最近は、ワンタイムパスワードや、二段階認証の設定などで、大元のパスワード変更を頻繁にせずともよくなっています。

またこうした定期的な変更より大事なことは、ウェブサイト側の事故でパスワード漏えいが起きた場合の対処の方が、よほど重要です。情報漏えいが判明したら通知が来るので、その際にもし他のウェブサイトで同じID、パスワードを使っている場合には、できるだけ早く変更するようにしましょう。なぜならほかのウェブサイトで悪用される恐れがあるからです。多くの人が、さほど重要度が高くないウェブサービス(たとえばポイントサイトやチケットの予約、通販サイトなど)を利用するときに、共通のパスワードを使っていることが多いと思います。これらをそのままにせず、全部変更したほうが良いと思います。

一口アドバイス:「パスワードの作り方」

最近は、便利なパスワード管理ツールが出ています。覚え切れない多くのパスワードを、一個のパスワードで一元的に管理でき、便利なツールであるのは確かです。しかし、万一パスワードが破られたとき、そこに格納されていたすべてのパスワードが意味を失い、情報にアクセスされてしまう危険があります。

そこで、誰でも簡単にできるパスワードの作り方の一部をご紹介したいと思います。

例えば、今年の目標……散歩→SANPO(メタボ解消のため)、そして今月……9月。必ず頭に@(アットマーク)。これで毎月1回変更する次の8文字のパスワードが完成します。
 9月なら、@09SANPO
 3月なら、@03SANPO

ちょっと、メールアドレスみたいで、かっこいいと思いませんか? 

このほかにも、頭で覚えておけるパスワードの作り方とルールはいろいろあります。一度、「パスワードの作り方」というキーワードで検索して調べてみてください。

ナレッジ&コラム執筆者

執筆者

田淵 義朗(たぶち よしろう)

ソーシャルメディアリスク研究所代表
1956年神戸市生まれ。中央大学法学部法律学科卒業後、出版社やベンチャー企業経営を経て、ネット上のコンテンツビジネス/サービスのリスク管理コンサルティングに携わる。ネット風評対策・誹謗中傷対策・クレーム調査、法的対応(民亊、刑事)の証拠収集、予防のための経営層・従業員研修、などが専門。主な著書に「45分でわかる個人情報保護」(日経BP社)、「ネット〈攻撃・クレーム・中傷〉の傾向と即決対策」(明日香出版社)、ビデオ監修「ソーシャルメディアのリスク」(PHP研究所)など。

  

厳選ホワイトペーパー

カテゴリー

人気のナレッジ&コラム

最新のナレッジ&コラム

募集中のセミナー