まだパスワードを付箋で貼っている?「PC認証、もっと簡単ならいいのに…」

「営業部の課長、PCにパスワードを書いた付箋を貼りつけている。危ないな…」
もちろん、特定の部署に限った話ではありませんが、今なおログインパスワードを付箋に書いた紙をPCに貼っていたり、分かりやすい場所にメモを貼っていたりというケースが後を絶ちません。それどころか、このような人が今後も増えるという可能性も…一体、なぜなのでしょうか?

セキュリティ強化が、社員を時代に逆行する“抜け道”へと導く?

とある製造業A社に勤務するO氏の場合。PCにパスワードを書いたメモを貼り付けている
出社したらまずPCを立ち上げてIDとパスワードを入力【A】。メールチェックをしたら「業務開始」とWebブラウザから業務アプリケーションに、IDとパスワードを入力してログイン【B】。さらに管理者権限が必要な設定を行う際にはまた、別のIDとPassでログイン【C】。次に、経理関係の情報が必要になり業務アプリケーションにログイン【D】。また別の業務を行う時には…。

――パスワード入力回数は、上記【A】~【D】の4回。4種のパスワードを使い分けています。こんな風景は、昨今のオフィスでは良く見られるものになりました。そんなO氏のもとに一通の通達メールが届きます。

曰く、<前回パスワードを設定してから1か月が経過しました。新しいパスワードに変更してください>。

「またか…」とO氏は、デスク上のメモを見ながら「今のパスワードは【xxxx1】だから、【xxxx2】にしよう。」と変更。パスワードの文字を毎回すべて変えるのは手間がかかる上、覚えてはいられないので、末尾の文字を変えるにとどめています。また、O氏の場合はデスク上のメモにパスワードを書いていますが、“入力しやすいように”モニタ脇に付箋を貼る人もちらほら見られます。なぜ、A社では時代に逆行するような従業員が増えたのでしょうか。

「これだけパスワードが増えて頻繁に変更があると、こうするしかない」というのが、どうやらO氏たちの言い分。情シスに見つかると注意を受けることもありますが、それ以外には社内で付箋を貼ることをとがめる人は誰もいません。時折、社内でもセキュリティ強化キャンペーンがあったり、監査が入ったりすることもありますが、そんな時にはデスク上のメモは閉じればいいですし、付箋は一時的にはがせば問題ない…というわけです。

認証の省力化が、“抜け道”をふさぐ

A社ばかりではなく、最近では1人当たりのIDやパスワードが増えて管理が煩雑になっているケースが少なくありません。また、定期的なパスワード変更が求められることから、その複雑さはさらに増している傾向があります。

確かに、「パスワードリスト攻撃」のように、悪意ある第三者が「IDとパスワードのリスト」をもとに、企業のサーバーなどを攻撃する不正アクセス事件は発生しています。そのためパスワードの変更は重要なセキュリティ対策の1つであることは間違いありません。しかし、それが従業員の大きな負担となり、上述のA社のように多くの人を“抜け道”へと招くのだとしたら…。

こうした「セキュリティ指紋認証によるシングルサインオン(SSO)の強化が裏目に出る」ということは時折起こり得るものですが、煩雑になったパスワード管理は生産性の低下にもつながりかねませんので、やはり解決が必要でしょう。その解決策の1つとしては、シングルサインオン(Single Sign-On、SSOと略すことも)が挙げられます。PCなどに最初にログインする時のみ、IDとパスワードを入力すれば、ほかの業務アプリケーションへのログイン時にはIDとパスワードの入力が不要になるというものです。

しかしこの場合、最初のログイン時の認証での強度が求められます。このログイン方法にはいくつか選択肢がありますのでご紹介します。

●ID・パスワード入力…従来通りパスワードは定期的に変更。

●ICカード認証…入館用のICカードをPCログインに活用。暗証番号との組み合わせで強度向上。

●生体認証…バイオメトリクス(biometrics)認証とも。人間の身体的特徴を用いた個人認証。指紋認証、静脈認証(指静脈、手のひらの静脈)など。

●トークン…ワンタイムパスワード(一度限り有効なパスワード)を発行したり、USB接続することでPCにアクセスする際の“鍵”となる。

主な手法は上記の通りです。このうち、どの手法が適しているかは各企業によって異なるでしょう。例えば、ICカードの活用したセキュリティ対策を進めていきたい(参考記事)というのであれば、ICカードを軸に、入館管理やPC認証、複合機やプリンタの認証印刷などに展開していくことになるでしょう。それぞれの特長を考え、自社が考えるセキュリティ対策にとって有効なシングルサインオンの方法を選ぶことをおすすめします。

▼関連製品
ICカードと暗証番号でPCログオン認証、セキュリティを強化! …… SmartSESAME PCログオン
自治体 セキュリティ対策 調査レポート ダウンロード 「セキュリティー ハンドブック2016」ダウンロードページへ FinTech 金融 セキュリティ対策 ダウンロード PCログオン 詳細ページへ 文書電子化ハンドブック ダンロードページへ