第12回「グループ共有パスワードの管理、どうしてる?」研修で教えてくれない!

プレゼン資料を作成していたメデア商事の新人・小林ケンタは、ちょうど顧客情報が必要になり、課の先輩・高柳ワタルに相談に行くところである。機密情報にアクセスするにはグループで共有するパスワードが必要になるという。

» 2007年08月29日 11時39分 公開
[山賀正人,ITmedia]

 大手総合商社・メデア商事の営業部3課の新人・小林ケンタはプレゼン資料を作成していた。ちょうど顧客情報が必要になり、課の先輩・高柳ワタルに相談に行くところである。

小林 高柳さん。明後日のプレゼンに顧客の情報が必要なんですけど、どうしたらデータベースにアクセスできるんですか?

高柳 顧客の情報って具体的には何だ?

小林 えっと、分かるものなら何でも。

高柳 ちょっと待て。顧客情報はウチの最重要機密の1つでもあるんだぞ。本当に必要なデータだけに限定するのは当然だろう。

小林 スミマセン、何が必要かちゃんと考えてみます……。

高柳 そうだな。そうしてくれ。

小林 ところでデータベースへのアクセス自体はどうするんですか?

高柳 各課に1つずつ割り当てられたユーザーIDとパスワードでアクセスするんだ。

小林 じゃあ、そのユーザーIDとパスワードは僕にも教えてもらえるんですね。

高柳 いや、それはダメだ。

小林 ?

 ユーザーIDとパスワードは、利用者に1つずつ割り当てるのが基本である。しかし管理の都合上、グループで1つのIDとパスワードを共有して使わなくてはならないケースもあるだろう。このような場合のIDとパスワードの管理には、個人のID/パスワード管理以上に注意が必要である。

 まず、他の人間も知っているという安心感から、個人のID/パスワードよりも“ゆるい”管理をしてしまうケースがある。例えばポスト・イットなどの付箋に明記して、PCのディスプレイに貼り付けておくといった昔ながらのルーズな方法で管理されてしまうケースも珍しくないのだ。

 また、パスワード変更のタイミングも重要だ。配置換えや退職などがあれば、その当該ユーザーのアカウントはロックされたり、削除されたりするが、グループのアカウントは当然ながら残される。したがって、グループのアカウントにかけられたパスワードは、そのパスワードを知っている者が配置転換や退職などでアカウントの使用権を失ったら、すぐに変更しなくてはならない。

 このようなことから、グループに割り当てられたID/パスワードを知っている者は必要最低限に限るのが望ましい。

小林 ということは、僕はまだその「必要最低限」の中には含まれないってことですね……。

高柳 そりゃ新人なんだから仕方ないだろう。ウチの場合は主任以上でないと教えてもらえないことになってるんだ。とにかく今回は、課長に許可をもらった上でオレが代わりにデータベースにアクセスしてやるよ。

小林 ありがとうございます。でも将来、実際にそんなIDとパスワードを教えてもらっても、管理できるか不安です。何だかヘマをしそうで……。

高柳 ちょっと脅かしすぎたかな(苦笑)。確かに滅多に使わないから、記憶しておくということも難しいし、だからといって紙に書いて机の中に入れておくわけにもいかないよな……。でも、例えばロックをかけたデータに書き留めておくというのはどうだ?

小林 えっ?

高柳 比較的簡単なのはWordのロック機能を組み合わせる方法だ。パスワードの一部だけを書いた文書を作って、それにお前が記憶しやすいパスワードでロックをかけて保存しておく。ここでポイントは、パスワードの一部を書いておくこと。全部を書くと万が一パスワードが破られたとき心配だからな。

小林 それでどうするんですか? 結局覚えておかなきゃならないなら不便ですよね。

高柳 そこでパスワードを2つに分けるんだ。「G8k39bY27s7」というパスワードだったら、前半の「G8k39b」だけをWordにファイルに記載してパスワードをかけておく。後半の「Y27s7」は手帳に書いておいてもいい。こうしておけば、Wordファイルのパスワードが破られても、小林の手帳が盗まれても、同時に同じ犯人やられない限りは被害を防ぐことができる。パスワード全部を1つのところに書いておくよりはよっぽど安全な方法だろう。

小林 なるほど、それならできそうです!!

高柳 詳細はBiz.IDのこの記事を読むといいぞ。でもWordのロックをかけるパスワードを忘れたりしちゃったら意味がないから、厳密に管理しないとな。

小林 はいっ!

Officeでの「読み取りパスワード」のかけ方


 Word、Excel、PowerPointなどマイクロソフトの「Office」シリーズで、パスワードを入力した場合だけ開ける「パスワード保護」を使うには、[ツール]−[オプション]−[セキュリティ](左)から[読み取りパスワード]ボックスに、パスワードを入力して[OK]をクリック(中央)。[読み取りパスワードをもう一度入力してください]ボックスに、再度パスワードを入力して[OK]を押す(右)。なお、Office 2007の場合は、[保存]−[ツール]−[全般オプション]から[読み取りパスワード]を入力。再入力して完了。


 グループのID/パスワードの管理には様々な方法があるが、高柳が説明したようなID/パスワードを記した電子データをパスワードロックする方法は、比較的よく使われる方法である。他にも、ID/パスワードを記した電子データを暗号化ソフトウェアを使って暗号化する方法もある。いずれの方法を採用するにしても、使い勝手だけでなく、会社のセキュリティポリシーに照らして問題がないかを充分に検討してから採用の可否を決定しなくてはならない。

著者紹介 山賀正人(やまが・まさひと)

セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ