企業に於ける適切なパスワード管理とは

皆様の会社ではパスワード管理をどうされていますか？

ちなみに、本稿で取り扱う「パスワード管理」は各個人でのパスワード管理を指すのではなく、各企業の管理者が発行したパスワードの管理を指します。従業員へのアカウント発行で発生したパスワードやシステムの管理者のパスワードといった類いになります。

私が中小企業の支援をする中で見てきたパスワード管理は以下のような感じになります。

1. そもそも管理が面倒だから全て同一のパスワード
2. Excelに全てのパスワードを記載して管理
3. 退職者が出ても速やかにアカウント削除やパスワード変更をしない

これ、意外と中小企業では「あるある」なのではないでしょうか？

さすがに全てが該当する企業様はないかと思いますが、どれか一つでも該当するという条件なら9割近い中小企業が該当しそうな感じもします。あくまでも個人的な印象ではありますが。

NHKのサイトに「「パスワードの定期変更、必要ですか？」専門家に聞いてみた」という記事が掲載され物議を醸しています。独立行政法人情報処理推進機構（IPA）の職員が質問に回答する形になっている記事なのですが、定期変更が必要な理由として企業向けに、こんな回答をしています。

そもそも、パスワード変更はイベントドリブン（イベントが発生したタイミング）で実施せよというのが鉄則です。企業で発生するイベントとしては「人事異動」や「退職」などが該当します。その鉄則からすると、先の回答は「完全にダメな対応」と言う事ができます。何故なら、システムを権限がない人間が一定期間使い続けることが出来てしまうからですね。特に、今の時代はシステムといってもSaaSを利用する例が多くなってきていますし、テレワークも増えてきていますから社外からもアクセス出来るのが前提になっています。そうすると、退職者が退職後にも会社のシステムにアクセスできてしまうことになりますよね？情報漏洩の元になります。もし、退職者がシステム管理者だったとしたらシステムを破壊（データの消去など）する事が出来てしまいます。

さて、話は戻って先に挙げた三つの例がダメな理由を挙げたいと思います。

「全て同一のパスワード」は考えなくても判りますね。論外です。そこに情報セキュリティという概念は存在しておりませんので。ましてや、管理者のパスワードまで同一なら大変恐ろしいことになってしまいます。

「Excelで管理」は何故ダメなのかと言うと、そのExcelファイルが漏洩したらアカウント情報が全て漏れてしまうからですね。社内外問わず不正アクセスの原因になってしまいます。

「退職者が出ても速やかにアカウント削除やパスワード変更をしない」は先ほど述べた通りになります。

先の二つを実施されている企業様は何故そのような事をしてしまうのかというと、従業員は往々にして「パスワードを忘れると管理者に問い合わせてくる」からですね。そして、その場でパスワードを回答できるのが良い情報システム管理者だと勘違いされているからなのです。また、その場で回答すれば業務負担は小さいと考えられがちだからなのです。

でも、それは完全に誤りです。情報システム管理者が従業員のパスワードを知っているのは悪い情報システム管理者なのです。情報システム管理者はシステムに関しては「何でも出来る」立場にある事を忘れてはいけません。従業員はそれを知っているから「パスワードを問い合わせてくる」訳なのであり、簡単に答えるから「あ〜、やっぱり知ってるんだ」という事になります。情報システム管理者は自分のメールを見ているかもしれない、自分のデータを見ているかもしれないという従業員の仄かな疑念を裏打ちしてしまうことになります。

良い情報システム管理者は「何も知らない」というスタンスでいることが大事です。パスワードを聞かれたら再設定して新たなパスワードを伝える事が重要です。当然、情報セキュリティポリシーに則って複雑なパスワードを都度設定します。決して使い回ししてはいけません。情報システム管理者は各従業員のパスワードは知らないし覚えていない。そもそも覚えられないくらい複雑でしょ？しかも、一切記録していないからね。そういう対応が重要になります。

人事異動や退職などが発生した場合に速やかに権限の変更や、アカウント削除、パスワード変更と言った権限外のアクセスを制限する対応を実施するのは当然です。人間、悪意が目覚めれば行動は迅速です。それよりも早く対応することが重要なのです。

さて、長々と書いてきましたが本稿のタイトルに対する回答です。

「情報システム管理者はパスワードを管理してはいけません。」

以上になります。