企業のパスワード管理を安全におこなう方法

会社のパソコンや各サービスにおけるパスワード管理はどうしていますか？

社員個人に任せると、セキュリティ面でハイリスクです。単純な文字列を設定していたり、使い回したりする可能性もあります。

そうは言っても社員の全アカウント情報を把握するのは難しく、不正アクセスを受ければ情報漏洩し、企業の信用問題になりかねません。

では、どのような方法でパスワード管理すべきか解説します。

パスワード管理を個人任せにするリスク

パスワード管理を社員個人に任せていると、つぎのようなリスクがあります。

カンタンなパスワードを設定してしまう

覚えられないという理由でカンタンな文字列にしたり、使いまわしたりすると、サイバー攻撃により不正アクセスされやすいです。情報漏えいの原因になりかねません。

パスワードの管理がずさん

たとえばID・パスワードをふせんでディスプレイに貼るなど、誰でも見られる状態にしているのは非常に危険です。それを見た悪意ある人物が悪用してしまいかねません。

利用サービスを把握しきれない

管理を社員に任せれば、どのサイト・サービスを利用しているか分かりません。ファイル共有ソフトなどウイルス感染リスクが高いサービスや、詐欺サイトに引っかかってしまう可能性もあります。

パスワード管理ツールを利用する

パスワード管理のセキュリティリスクを減らし、管理の負担を減らすには、パスワード管理ツールの利用がもっとも手っ取り早く、安全です。

このツールは、一度ログインするだけで複数のサービスを利用できる、というもの。毎回入力する手間や、複数のログイン情報を記憶する必要がありません。

たとえば、SKUID（URL）というツールは企業のパスワード管理に特化したツールです。基本料金、導入0円で適切に管理できるだけでなく、セキュリティ対策に効果的な各種機能が充実しています。

ツールを使わない場合の管理方法

ツールを使うのは不慣れのため、使わず管理したい・・・という場合は、以下のような方法もあります。

社内ルールと教育の徹底

社内におけるパスワードの設定・管理についてルールを策定したうえで、定期的に勉強会を開催して全社員に周知・徹底する必要があります。

パスワードの扱い方ひとつで、情報漏えいや経営に関わることを認識してもらわなくてはなりません。ルールには以下のような項目を盛り込むとよいでしょう。

複雑な文字列を設定する

いくら管理が厳重でも、パスワードが単純で分かりやすいものだと、不正ログインされやすくなってしまいます。英数字や可能であれば記号も混合して、8文字以上に設定することが望ましいです。

また、覚えられないからと複数のサイトで同じ文字列を使いまわすのも危険です。パスワードの設定方法については、以下の記事でくわしく解説しています。

安全なパスワードの作成方法と管理のコツ・強度のチェック

2016.02.08

定期的に変更する

複雑なパスワードを設定したとしても、同じものを使いつづけていると、推定されて不正ログインされる可能性もあります。定期的に変えることでさらに安全です。

また、利用しているサービスがサイバー攻撃を受けて、パスワードが漏えいする可能性もあります。その際は発覚してすぐ変更するのが望ましいです。

危険なサイトは利用させない

過去に従業員が仕事中、ファイル共有ソフトを利用してウイルス感染し、社内にまん延させてしまう事故がありました。推奨しないサイトへのアクセス、ソフトのダウンロードはさせないようにすべきです。

口頭で周知するほか、フィルタリングやActive Directoryを使って、特定のサイトへのアクセスをブロックする、という方法があります。

メモ帳は安全に保管

パスワードをメモ帳やノートに書く場合、絶対厳重に取り扱う必要があります。カギのある引き出しに保管し、誰にも見えないようにし、紛失しないように細心の注意を払わなくてはなりません。

パソコンのメモ帳に記録しておくのであれば、暗号化処理やロックをかけるなどして、万が一ウイルス感染した場合も盗み見られないように対策すべきです。

離席時はパソコンをログオフ

ブラウザの自動ログインを使っている際、パソコンのつけっぱなしが非常に危険です。席を外すときはログオフしてパスワード入力を求める設定にし、不正ログインを防ぎましょう。

まとめ

パスワード管理を社員に任せるリスクと、それを解消する方法について解説しました。単純なパスワードの設定や使いまわしなどは、よくある不正ログインの原因です。

企業や顧客の情報を保管しているアカウントが乗っ取られれば、情報漏洩につながり、経営上の大きな打撃となりかねません。適切な管理を心がけてください。