パスワードの管理
企業におけるユーザID管理での留意事項を列挙します。
システム管理者といえども、利用者のパスワードを知るべきではありません。
- パスワードの付与
- 最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。
- パスワードの変更
- 利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、8文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。
- パスワードの再発行
- パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザIDでの利用を禁止し、改めてユーザID(同じでもよい)とパスワードを再発行するようにします。
- パスワード記録の禁止
- パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。
総務省のガイドライン
総務省「国民のためのサイバーセキュリティサイト」2022年では、「パスワードの設定と管理のあり方」として、次のように示しています。
- 安全なパスワードの設定
- パスワードの保管方法
-
-
パスワードは、同僚などに教えないで、秘密にすること
パスワードを電子メールでやりとりしないこと
パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること
- パスワードを複数のサービスで使い回さない(定期的な変更は不要)
- これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではないと示されました。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。
カードのパスワード
キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはPIN(Personal Identification Number)といいます(PINコードは、スマートフォンでの所有者を示す暗号番号やWindows10などでパスワードの代わりに使う暗号番号がありますが、ここではカードでの4桁のパスワードに限定します)。この場合は、上述した事項以外に留意すべきことがあります。
- PINの送付
- カードとPINを同封して送付すると、第三者に利用される危険性があります。それを避けるために別便で送る必要があります。状況が許すならば、カードは郵送、PINは電子メールのように別手段にするのが最善です。
- ユーザPINとアドミンPIN
- ユーザPINとは、カードを利用するときに使うPINです。これまでに述べたPINやパスワードは、すべてユーザPINを対象にしています。
アドミンPINとは、何らかの理由でカードが読めなくなる(ロックする)ような場合に、管理者がロックを解除するために使うPINです(ユーザPINは管理者すら知らないのですから使えません)。アドミンPINは、カード発行時に管理者が設定したものをそのまま使うケースと、それを利用者が再設定して管理者に伝えるケース(再変更はできないのが通常)があります。
ユーザID管理
企業におけるユーザID管理での留意事項を列挙します。
ユーザIDとは、利用者識別番号のことです。社員番号をユーザIDにしていることもあります。メールアドレスにユーザIDを用いていることもあります。
共通にするか別途にするかは、利便性、管理面、セキュリティ面などから検討すべきですし、別途にしたとき、どのような場合にどれを用いるかも重要なことになります。
パスワードと比較して、ユーザIDは極度な秘匿はできません。
しかし、悪意のある第三者にユーザIDが漏洩すると、なりすましをされる危険性が増大します。パスワードを併用するとはいえ、ユーザIDを知られることにより、パスワード盗取の攻撃が容易になります。ユーザIDも(程度の差はありますが)秘密のするべきです。
不正アクセス禁止法でも、パスワードと同様に、ユーザIDの盗取や第三者への漏洩を禁じています。
ユーザID管理はパスワード管理と統合したポリシーの下で統合管理をする必要があります。
ユーザIDはシステム全体に関係するので、管理者が設定するのが適切です。また、その変更では影響を考慮する必要があり、パスワードのような廃棄・再発行が不適切なこともあります。
ユーザIDは一元管理する必要があります。個々のアプリケーションでユーザIDを記述するのではなく、一元管理しているデータベースを参照する方式にすること、そのデータベースでは暗号化しておき、特定の復号ツールを介して利用するなどの工夫も考えられます。