以前から、企業のエンジニアを対象にするセミナーで、会社の情報ネットワークに接続されているパソコンを使うときのパスワードをどの程度の頻度で更新しているのか質問しています。5年ほど前までは、定期的なパスワード更新をしていないという人がかなり多くいましたが、最近は多くの企業が比較的短期間でパスワードの更新を実施しているようです。
比較的多い、一般的なパスワード更新管理は、(1)パスワードの有効期間が3ヶ月から6ヶ月程度で、定期的に更新する、(2)有効期限が近づくと警告の通知があり、期限内に新しいパスワードに切り換えないと、期限切れになったとたんに情報ネットワークにアクセスできなくなる、(3)一度使ったパスワードも、4回〜6回パスワード更新をした後でまた使える、といった方法です。
しかし、ときどき、首をひねりたくなるような話が出てくることがあります。
Aさんの会社では、パスワードの有効期間が30日になっています。しかし、有効期限が過ぎたパスワードを使い続けることができます。その代わり、有効期限が過ぎたパスワードを使っていることが分かると、始末書を書かされるということです。
Bさんの会社では、パスワードの有効期間が30日で、一度使ったパスワードは一年間繰り返し使用ができません。現在使っているパスワードがどれだか分からなくなるので、パソコンの近くにある紙にパスワードを書いておく人がかなりいるということです。
Cさんの職場では、社員が不在の時に、必要に応じて責任者が不在社員のパソコンを使えるように、パスワードを上司に通知することになっているということです。
このほかにもいろいろなことがありますが、どのようなパスワード管理をしているかという情報そのものがセキュリティ保護対象になります。
都丸敬介(2007.9.24)
スポンサーリンク