パスワード管理、パスワード管理者、パスワードの付与、パスワードの再発行、ユーザID管理
企業におけるユーザID管理での留意事項を列挙します。
システム管理者といえども、利用者のパスワードを知るべきではありません。
総務省「国民のためのサイバーセキュリティサイト」2022年では、「パスワードの設定と管理のあり方」として、次のように示しています。
キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはPIN(Personal Identification Number)といいます(PINコードは、スマートフォンでの所有者を示す暗号番号やWindows10などでパスワードの代わりに使う暗号番号がありますが、ここではカードでの4桁のパスワードに限定します)。この場合は、上述した事項以外に留意すべきことがあります。
企業におけるユーザID管理での留意事項を列挙します。
ユーザIDとは、利用者識別番号のことです。社員番号をユーザIDにしていることもあります。メールアドレスにユーザIDを用いていることもあります。
共通にするか別途にするかは、利便性、管理面、セキュリティ面などから検討すべきですし、別途にしたとき、どのような場合にどれを用いるかも重要なことになります。
パスワードと比較して、ユーザIDは極度な秘匿はできません。
しかし、悪意のある第三者にユーザIDが漏洩すると、なりすましをされる危険性が増大します。パスワードを併用するとはいえ、ユーザIDを知られることにより、パスワード盗取の攻撃が容易になります。ユーザIDも(程度の差はありますが)秘密のするべきです。
不正アクセス禁止法でも、パスワードと同様に、ユーザIDの盗取や第三者への漏洩を禁じています。
ユーザID管理はパスワード管理と統合したポリシーの下で統合管理をする必要があります。
ユーザIDはシステム全体に関係するので、管理者が設定するのが適切です。また、その変更では影響を考慮する必要があり、パスワードのような廃棄・再発行が不適切なこともあります。
ユーザIDは一元管理する必要があります。個々のアプリケーションでユーザIDを記述するのではなく、一元管理しているデータベースを参照する方式にすること、そのデータベースでは暗号化しておき、特定の復号ツールを介して利用するなどの工夫も考えられます。
(注)アカウントとは、ユーザIDとパスワードとを組み合わせたものですが、ここでは、アカウント=パスワードとしています。
パスワードが漏洩してもリスクを最小限に抑えるには、利用システムごとに異なるパスワードにするのが適切です。反面、あまりにも多くのパスワードを設定すると、自分でもわからなくなります。その解決には、パスワードの一元管理が必要です。
個人レベルでも大変ですが、多数の利用者が多様な機器を用いる企業ではさらに重要になります。
大量のパスワードを効率よく管理しながら、強固なセキュリティで保護できるパスワード管理アプリがあります。
パスワード一元管理アプリに必要な機能を列挙します。