パスワード管理を考える

パスワードは、管理者とスタッフの意識の温度差が大きいシステムのひとつです。
それゆえにトラブルが後を絶たず、未然に防ぐ運用に頭を悩まされることもしばしばあります。
今回は温度が高い方の立場から、その重要性についてまとめてみました。

パスワードには、IT管理者のリスクや セキュリティに対する意識を見極める試金石のような側面があります。

なぜ温度差が生まれるか

僕は、パスワードをはじめとするセキュリティ意識において
温度=重要度+関心+危機感-ストレス
と定義し、これらのギャップの根源は以下によるものと考えています。

必要性を教わっていない

それなりにPCに携わってきた経験があれば常識だと思っていましたが、よくよく思い返してみるとパスワードの大切さを論理的に教えてくれたのは技術者による記事がほとんどでした。
分かってもらいたい相手がパスワードと縁遠いほど、キッチリ時間をとって説明をすることで重要度への理解や関心を持ってもらえます。

痛い目に遭ったことがない

これはこれで喜ばしいことなのですが、実体験にない脅威は分かりにくいものです。
実感がわかない相手には、リスクそのものへの理解よりも、実例を知ってもらい共感を得る方が伝わりやすいかと思います。

単純に面倒くさい

パスワードは覚えるのに手間がかかり、組み合わせを自分で考える場合はさらに手間がかかり、そこに実用性を加味すると「精神的苦痛を伴う作業を強いられる」と言っても過言ではありません。
面倒な手間を上回るリターンも何かを得られるのではなく、あくまでリスク回避である点もモチベーションに繋がりにくく、厄介です。
しかし、ここで手間を惜しんだ時の代償は比べものにならないぐらい重く、社会的失墜の切り口となりえるため、必要なルールとして定着させる仕組み作りが求められます。

また、パスワードを軽ろんじるPC管理者は、適正か経験あるいは両方を大きく欠いており、周りで見かけたら注意を払う必要があります。
少々厳しい言い方になりますが、リスクをナメているのはプロ意識がないのと同じです。
一刻も早く重要性を認識してもらわないと、あなたの組織は

  • 個人情報の漏洩(致命的な信用問題+訴訟沙汰)
  • ウェブサーバーの乗っ取り(サイトの改竄、迷惑メールの発信に利用)
  • ウィルス感染(上記の被害者拡大)

などの深刻な危機にさらされ続けることとなります。

次頁の苦手な人のためのパスワード強化大作戦では、導入について解説します。