セキュリティの基本は個人のリテラシー向上にあり
銀行の預金引き出しやサーバールームの入退室には、静脈をはじめとする生体認証が普及してきたが、インターネットの世界ではまだセキュリティの主役がパスワードである。個人ユーザーのネットショッピングはもちろん、企業ユーザーも、様々な情報サービスを利用するときには、その都度パスワードを登録している。企業内のイントラネットでも、機密性の高いシステムへのアクセスには、改めてパスワードを入力することが多い。
つまり、1人のユーザーは、利用するサービスの数に応じて、複数のパスワードを管理しているのである。
japan.internet.comとgoo リサーチが2006年8月に行った調査によれば、一般ユーザーの41.06%が、5〜10種類のログインサービスを使っている。つまり、5〜10個のパスワードを管理しなければならないわけだが、実際には、「複数のサービスで同じID・パスワードを利用しているものもある」というユーザーが87.68%にのぼる。さらに、パスワードの管理方法(複数回答)は、手帳などにメモしている人が43.4%にのぼり、「覚えやすいようにID・パスワードをできるだけ統一している」という回答も24.4%を占める※。
問題は、パスワードの管理が安全適切でないことに加えて、複数のサービスに同一のパスワードを使ってしまいがちだということである。
パスワードを共通にしていると、1つの情報サービスで情報漏えい事件が起きてユーザー名とパスワードが盗まれると、それだけで、他のサービスに登録した銀行口座やクレジットカードの情報、さらには、企業の機密文書まで危険にさらされてしまう。
システム面での対応はいくつか考えられる。ワンタイムパスワードを自動生成するカードなどを発行している企業やサービスもある。また、ID/パスワード管理ソフトを使えば、パスワードなどの情報を暗号化して管理できる上、サービスごとに異なるID/パスワードを手入力する手間がなくなる。
それでも最高のパスワード管理は、自分の頭の中で記憶することだ。そこでお勧めしたいのが、パスワード作成に「ルール」を作ることである。
例えば、6文字だけ自分固有のパスワードを決めておく。「A3G9K1」というように、利用者本人にとっては、「A」「G」「K」がそれぞれ家族の名前の頭文字であるが、ほかの人から見ると意味のない文字と数字の羅列に見えるものが望ましい。さらに、登録するログインサービスの名称からいくつかの文字をこの中に埋め込む。たとえば「経営新世紀サービス」であれば、「KE」の文字を1番目と3番目に埋め込んで「KA3EG9K1」とするし、「技術者情報サービス」であれば「GI」の文字を埋め込んで「GA3IG9K1」にする。
「KE」の文字を埋め込まず、「K」がアルファベットの11番目であることを利用して、「1A31G9K1」とする方法も考えられる。自分にだけ分かり、記憶のできるルールを工夫してほしい。
セキュリティを支えるのは結局、個人の意識である。社員個人が、自分なりのパスワード生成ルールづくりに知恵を絞る時間を持つことも、セキュリティ意識向上に役立つだろう。
(フリーライター・長谷部葉子)
『「すべて違うID・パスワードを利用」1割以下、増え続けるログインサービス』
「経営新世紀・コラム」のバックナンバー一覧 最終回 インターネット広告費3630億円第11回 パスワードは覚えやすいように統一している24.4% 第10回 1日10回以上検索サービスを利用18.7% 第9回 1日1時間以上、会社のメールを個人目的で利用40% 第8回 年賀状は、はがきでもらったほうがうれしい84.3% |
 |
