プライバシーマーク(以下、Pマーク)が準拠しているJISQ15001:2017の規格では、個人情報を安全に取り扱うためにリスク対策の一環として、パスワードの管理が求められています。
パスワードの管理は「社内で保有する個人情報へのアクセスを制御する」という観点から必要になってくる措置です。社内で保有している個人情報を社外社内含め関係のない人が閲覧、利用できる状態の場合、漏えいや不正利用のリスクが高まります。その対策として、パスワード管理を適切に行い、必要な人のみが個人情報を取り扱うことができるようにすることが大切です。
実際どんなパスワード管理のルールを設定すればいいの?
- 具体的なルールの例
-
- 最低パスワード文字数を決める。
- 英数字大文字小文字を入れることを定める。
- 複数のツール・サービスにおいてパスワードの使い回しを禁止する。
- 指紋や生体認証をできるだけ使用するよう定める。
- パスワードの管理方法を定める。
パスワードは定期的に変更しなくていいの?
結論からいうと、パスワードを定期的に変更する必要はありません。
「使いまわしがなく、十分な複雑性が保たれているパスワード」を予め設定していれば、そもそもパスワードが破られる可能性自体が低いためです。
むしろ、特に複雑性を指定せず「パスワードを定期的に変更する」というルールのみがある場合の方が、パスワードを破られる可能性が高いです。
ですので、ルールを設定する際は「パスワードを定期的に変更する」というルールを設けるより、「複雑性の高いパスワードを設定する」というルールを設けた方が、セキュリティ上はリスクが低くなります。
複雑性の高いパスワードについては、定義が難しいところではありますが、NISC(内閣サイバーセキュリティセンター)が推奨している、10ケタ、英大文字小文字+数字+記号 26 種= 88 種類の文字を組み合わせた場合、約 2,785 京パターンのパスワードになりますので、この辺りを目安にしてルール化すると良いでしょう。
※記号が設定できないサービスの場合は、ケタ数を15にする等のルールを設定すると複雑性を保つことが出来ます。
ただし、ケタ数のみを指定していると以下のような推測がしやすいパスワードを設定してしまう場合もありますので、パスワード発行ツール等でのパスワード生成もルール化するとよりセキュアなパスワード管理を行うことが可能です。
- 辞書に載っているような用語を使用してしまう
- 名前や誕生日をそのまま使用してしまう
- 複数のサービスで同じパスワードを使いまわしてしまう
複数のサービスで同じパスワードを使いまわすことは、万が一パスワードを流出した際の被害拡大のリスクが大きいため、やめるべきです。それぞれのサービス毎に異なるパスワードを設定しましょう。
おすすめのパスワード管理方法
会社によって運用・管理の方法は異なりますが、弊社がオススメする管理方法としては、「クラウド型パスワード管理ツール」を利用するというものです。
クラウド上にデータが存在するため、複数端末でパスワードへアクセスすることが可能ですし、パスワードの自動生成機能があったり、登録されている情報に該当するURLにアクセスした際に、ID・パスワードを自動的に入力してくれる機能があるサービスもあり、生産性の向上にもつながります。
ただし、クラウド上で管理するということは、情報が自分の手元以外の場所で存在することになりますので、管理ツールの選定は慎重に行う必要があります。また、この手のツールは管理ツールにログインして利用する形になりますので、そちらのパスワードも、複雑性の高いものを設定する必要があります。
また、サービスにもよりますが、管理者が「従業員が同じパスワードを使いまわしていないかを確認する」ことや「パスワードの危険度をスコア化したものを可視化する」ことが可能になるサービスもあります。 各自が自分のPC内だけで管理しているとそういった部分の管理が難しいのですが、そういった機能を持つサービスを利用することで、従業員のパスワード管理状況も確認することができるようになります。
ダメなパスワード管理方法
パスワードを紙にメモして机上やPCディスプレイに貼っている
最近ではあまり聞くことはなくなりましたが、稀にこの方法で管理している方もいらっしゃいます。 「よく使うから付箋に書いてPC付近に貼っておく」「メモ書きを机の上に置いている」等の方法だと、 社内の方からは丸見えですし、社外の方をオフィスに招き入れた際に社外の方にも丸見えの状態になります。
紙にメモする場合は、施錠しているキャビネットに保存する等の対策を行いましょう。
管理方法で気を付ける点
パスワード管理について色々書かせていただきましたが、これから管理方法を検討していく方、既存の管理方法の見直しを検討している方は、加えて以下の点にも気をつけねばなりません。
管理の空洞化(社内ルールと社内の実態が一致しない状態)
「社内ルールを策定したは良いが実際に運用してみると、社内メンバーがルールに則った運用が出来ていない…」といった事は良く起きる事態です。そういった事態が発生しないよう、上述のような「従業員の状況を把握できるパスワード管理ツール」を導入するといった対策を事前に検討した上で、ルールを策定していきましょう。
現実的でないルールの策定
社内にルールを根付かせるためには、従業員が実現可能な範囲でルールを策定する必要があります。
例えば「パスワードを複雑なものに設定するルールだが、すべて暗記を求める」「外回りの営業が多い会社なのに、パスワードの管理は紙のみで、社外への持ち出しは禁止」「業務で利用するツールが膨大なのにパスワード管理ツールの使用は禁止」等のルールを策定すると、従業員の方が対応しきれません。セキュリティ面と実現可能性のバランスをよく検討してルールを策定しましょう。
また、Pマーク取得に際して、はじめの検討段階から審査当日までの一連の流れを21項目のTodoリストにいたしました。ぜひ無料でDLして貴社の取得にお役立てください。