JAPHICマーク取得企業は、さまざまなデバイスを用いて個人データ等を管理します。
管理の際には、各デバイスへのアクセスに必要なパスワードを設定しますが、こちらの設定には注意が必要です。
また、保管についてもセキュリティ性が求められます。
今回は、JAPHICマーク取得企業が抑えるべきパスワードのポイントを解説します。
安全なパスワードの作成方法について
安全なパスワードとは、他人に推測されにくく、なおかつツールなどの機械的な処理で割り出しにくいものを指します。
理想としては、ある程度長いランダムな英数字の並びが好ましいです。
しかし覚えなければいけないパスワードの場合は、英語でも日本語(ローマ字)でも良いので、無関係な複数の単語をつなげましょう。
また、間に数字列を挟むなどすれば、推測されにくく覚えやすいパスワードを作成できます。
逆に企業の電話番号など、推測されやすい数字を使用してはいけません。
7文字以下の短すぎるパスワードも、サイバー攻撃によって1秒もかからずに解読される危険性があります。
パスワードの定期的な変更は必要?
解読しにくいパスワードであれば、定期的な変更は必須ではありません。
かつて不正対策には、定期的にパスワードを変更すべきであるという基本的な考えがありました。
こちらは、アメリカのNIST(米国国立標準技術研究所)の電子的認証に関するガイドラインにも記載されていました。
ところが、2017年に発表されたNISTの電子的認証に関するガイドラインの最新版では、内容が変更されています。
具体的には、“サービス提供者はパスワードの定期変更を要求すべきではない”という内容です。
こういった新常識は、企業にも当てはまります。
ノースカロライナ州大学は、学生と教職員を対象にパスワードの定期変更に関する調査を行いました。
この調査では、定期的にパスワード変更を求められた被験者は、攻撃者が容易に想像できるようなパスワードを設定しやすいことがわかっています。
つまりJAPHICマーク取得企業は、パスワードの脆弱化を阻止すべく、最初に設定したセキュリティ性の高いパスワードを使い続けるべきだということです。
パスワードを紙にメモするのはOK?
JAPHICマーク取得企業が使用するパスワードを紙にメモするのは、実は有効な方法です。
NISC(内閣サイバーセキュリティセンター)でも、紙への記録が推奨されています。
パスワードが不正入手される方法としては、インターネットを介したものが多いです。
そのため、紙などのオフライン上で管理することがもっとも簡単で、安全な方法です。
ただし、たとえ簡単なメモ書きであっても、JAPHICマーク取得企業にとっての機密情報であることには変わりありません。
ポストイットでパソコンに貼り付けるなど、リスクの高い保管方法は控えましょう。
Webブラウザへの保管は危険
JAPHICマーク取得企業は、IDやパスワードをWebブラウザに保管しないようにしましょう。
こちらは不正利用のリスクが高いです。
Webブラウザにはパスワードを保管する機能があり、活用している企業も多いかと思います。
しかし、情報セキュリティの観点からは推奨されていません。
Webブラウザにパスワードを保管すると、席を離れたときに勝手に利用される可能性があります。
また、パソコンをクラッキング(不正アクセス)された際に、根こそぎ情報を盗まれることも考えられます。
さらに、第三者がパスワード解析ツールを利用し、Webブラウザに保存されたパスワードを盗み出す危険性もあります。
まとめ
JAPHICマーク取得企業は、一般的な企業よりもさらに強固な情報セキュリティ体制を整備しなければいけません。
そのため、パスワードの作成や管理には、時間も労力も割く必要があります。
また、パスワードは企業の従業員が毎日のように使用するものです。
各従業員が情報セキュリティの意識を持ち、適切な使用を徹底するための教育も必要不可欠です。
