情報セキュリティマガジンVol.5

皆さん、こんにちは。毎月1回と言っておきながら、更新忘れておりました。こういうところがダメですねー。頑張って月1回を目指します!
さて、今回はパスワード管理です。

パスワード変更が何故必要なのか?

私が見る限り、パスワード変更をしっかりしている会社様は未だに少ないように感じます。まあ、パスワード変えても何の生産性もありませんし、「うちは大丈夫」っていう根拠の無い自信からくるのでしょうか。しかし、パスワードを変えないと、セキュリティ面で脆弱性を生みます。一番の問題は、「退職者」です。例えば、VPN(外部からInternetを通じて社内LANにアクセス)や無線LANですと、悪意のある退職者が勤務中に知り得たパスワードを使っていつでも接続可能であるからです。加えて、社内のパスワード変更も行っていないと、ネットワークへの侵入後、簡単に情報を取られてしまいます。情報を取られるだけではなく、削除や改ざんされると、業務が立ち行かなくなってしまいます。

外部アクセスのパスワード文字は複雑で文字数を多くする

複雑で文字数の多いパスワードが、セキュリティ上良いことは誰でも分かる事ですが、日常パスワード入力が多い場合業務に支障をきたす可能性があり、結局覚えられないから机の上にパスワードを貼っておくような事が起こり、逆効果になってしまいます。しかし、少なくとも外部からアクセスできるパスワード(上記VPNや無線LAN)は複雑で文字数を多くする必要があります。総当たりでログオンを試行し、突破されることを防ぎます。ID、パスワード等一度登録すると記憶するPCが殆どですから、少々面倒でもお勧めします。しかし、PCを紛失したり処分したときは、必ずパスワードの変更をしてください。

パスワード変更が容易にできない悩ましい問題

パスワード変更が容易ではないケースがいくつかあります。1つ目はAdministrator(Windows)やroot(UNIX)といった、全権限をもった共通のIDです。これを変更してしまうと、あらゆるシステムに影響してしまい、最悪の場合システムを潰してしまう可能性があるからです。対策としては、Administratorやrootは通常では絶対に使わない事、パスワードは長くして、経営者以外誰にも公開しない事等、対策が必要です。もう1つは、パスワード変更によって一時的にログオン失敗が集中してネットワーク全体をロックしてしまう場合です。これはメールサーバ等外部ホスティングのメールサーバを使用している場合、同じ拠点からのログオン失敗が集中すると攻撃されているとみなされ、その拠点全体のアクセスをロックアウトする仕組みが組み込まれております。「信頼できるIPアドレス」の設定が備わっているホスティングサーバですと問題ありませんが、これが無いとパスワード変更が事実上不可能になります。

ホームページ上のID、パスワードの管理

ネットショッピングやSNS等、色々なサイトでIDパスワードの登録をされていると思いますが、同じID、パスワードを多用することはとっても危険です。1つのサイトで漏洩が発生すると、芋づる式に他のサイトへのログインが可能になります。しかし、あらゆるサイトのパスワードの管理など、できる筈がありません。私の場合ですが、捨てパスワードと重要パスワードに分けております。漏れても構わないサイトは捨てパスワードにしております。クレジットカード情報や機密情報を含む場合は、全て変えております。変えたパスワードはExcelで管理しております。しかし、このExcelファイルが盗まれると大惨事になりかねないので、Excelに記載するパスワードはそのままでは使えません。自分の頭の中にいくつかの共通パスワードがあって、この共通パスワードを絡めて正しいパスワードを生成しております。こうすることで、非常に長いパスワードが完成される訳です。

パスワード管理、書き出したらきりがありませんので、この辺でやめておきます。しかし、非常に悩ましい問題ですね・・・。

2017-03-24 | Posted in 情報セキュリティマガジンComments Closed 

関連記事