パスワード管理、ちゃんとしてますか？

私の経験則だと、パスワードの管理を徹底している企業は、思いのほか少ないです。個人の裁量にまかせるのは当たり前。いたるところにパスワードが散らばり、ひどいケースだと、パソコンのログインパスワードを書いた付箋紙がモニターに貼ってあったりします。

セキュリティ担当者の苦労はなかなか報われません。パスワード管理に関する社内ルールをレッドブルを飲みながら徹夜で作っても、一般社員がそれを守るのは困難だからです。結果として、面倒事だけ増やして社員のストレスを倍増した挙げ句、ルール破りが横行するだけです。

とにかく、パスワードの管理はとっても面倒です。面倒なことを面倒なまま継続するのは不可能ですし、誰もそんなことは望みません。だから、企業がいちばん最初にやらないといけないのは、ルールがどうとかコンプラがなんたらとかPPAPがどうのこうのではなく、パスワード管理を楽にしてくれる「パスワードマネージャー」を導入することです。

パスワードマネージャーで全部解決

パスワードマネージャーを導入すれば、自然と最低ラインのセキュリティが守られるようになります。つまり、推測されやすく憶えやすいパスワードを使い回すことがなくなります。最初のルールはたったひとつ。「パスワードマネージャーを使う」です。暴力と恐怖で強制するより、よっぽど効率的です。

パスワードを憶えておく必要がなくなる

このパスワードって何だっけ？・・・そんな経験は誰しもあると思います。いちいち探すのは時間の無駄ですから、探さなくても済むように憶えやすいパスワードを使い回すという悪循環が生まれます。パスワードマネージャーがあれば、パスワードを憶えておく必要がなくなります。

新しいパスワードを何にするか悩まなくなる

パスワードの原則に「大文字と小文字と数字と記号を組み合わせる」というものがあります。パスワードマネージャーには、たいていランダムなパスワードを生成する機能がついています。自分であれこれパスワードを考えるよりよっぽど早くて、しかも安全です。

パスワードを使い回さなくなる

パスワードを憶えておく必要も、考案する必要もなくなるので、そもそも同じパスワードを色々なところで使い回す理由がなくなります。どうでもいい会員登録に使ったパスワードが流出して、同じパスワードを使っていた機密情報が漏れることはもうありません。

ほかのスタッフとパスワードを共有できる

パスワードマネージャーを使えば、他のスタッフとパスワードを共有するのも簡単です。いちいちパスワードがなにかを尋ねて相手の作業を中断することもないですし、メールで平文のままパスワードがやり取りされる心配もありません。

権限に応じた管理ができるようになる

社長だけが知っていればいい重要なパスワードに、研修社員がアクセスできたら大問題です。パスワードマネージャーを使えば、スタッフごとの権限に応じてアクセスできるパスワードを制限することができます。なんだか面倒そう？いいえ大丈夫、そのへんの細かい設定はセキュリティ担当者が張り切ってくれるはずです。

パスワードマネージャーどれにする？

ひとことにパスワードマネージャーといっても、ちょっと検索すれば色々なものが見つかります。どれを使えばいいのか、なかなか難しいですよね。

個人的には、ビジネス向けの機能がきちんと提供されたパスワードマネージャーであれば、どれを使ってもいいと思います。どれを選んだとしても、使わないときより100倍よくなります。

ちなみに、セブンシックスでは「ビジネス用の1Password」を使用しています。定番ですね。

パスワードマネージャーを導入しよう

パスワードマネージャーを使っていても、当然、パーフェクトではありません。セキュリティの脆弱性を突かれてパスワードが流出したり、スタッフが危険な行動をとることだってあります。デメリットもありますが、そもそもパスワードマネージャーは業務効率とセキュリティを同時に上げられるナイスなツールです。しかも、スタッフにパスワード管理の習慣が身につけば、彼らのプライベートや家族にも良い習慣が波及していきます。なにはともあれ、まず導入。それが、セキュリティの第一歩です。