CompTIA(コンプティア)は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。


パスワードの管理不足は、ウイルス問題より深刻である(Security Channel 記事より)

関連情報
 CompTIA Security+
参照元

Poor Password Management Eclipses Virus Problem


企業データやネットワークにとって最も深刻な脅威とされるマルウェアはたびたび話題となっている。セキュリティベンダーもこの問題について絶えず報告書を提供しているが、果たして最も深刻とされる脅威であるのだろうか。
2009年上期、McAfeeは150万のマルウェアのサンプルを検出した。その数は、2008年1年間の数を比較しても30万多く、2006年度と比較すると1800パーセントも上回る。過去18ヶ月で検出したウイルス、ワーム、トロイの木馬の数は、前年から過去10年間すべて合計した発生数よりも多いことがわかった。

私たちは、ウイルス対策ソフトウェア(クライアントまたはネットワーク)は、いかなるコンピュータプラットフォームにおいての必需品であると認識している。市場調査では、ウイルス対策ソフトウェアの導入率は、90パーセント以上であることがわかった。しかしその一方シマンテックの調査では、中小企業3社のうち1社は、ウイルス対策の防護を行っていないことが報告されている。

また、近年にChannel InsiderとCompTIAが実施したセキュリティ調査では、ソリューションプロバイダーが実施したセキュリティ診断において問題視されているのが、「ウイルス対策アプリケーションやシグネチャファイルのアップデートを実施していない」という回答が38パーセントを占めていることである。

しかしこれよりさらに深刻と認識すべき問題がある。
同様に、Channel Insider/CompTIA調査では、アップデートされていないウイルス対策ソフトウェアよりも大きな問題として扱われているのが、「パスワードの管理不足」であった。セキュリティ診断を受けた43%のソリューションプロバイダーは、「パスワードの管理不足やセキュリティポリシーの励行や実行が十分でない」と回答している。
CompTIA Breakawayのパネルディスカッションにてモデレータとして参加した一人のパネリストが、彼が勤める医療機関では推測されにくいパスワードポリシーの必要性を認識し、社員それぞれが異なるアプリケーションやリソースごとに文字と数字を組み合わせたパスワードを作ることを必須としていると話した。唯一の問題は、経営者を含めユーザーが、パスワードが書かれた付箋紙をモニターに貼るなどして、パスワードを保管してしまうことであった。
パスワードの管理が面倒であるのは私も同感である。従って、多くの企業では見過ごされがちな問題となっている。企業のほとんどが複数のアプリケーションを使用し、ユニークIDを必要としているため、例えば「Pz7t49*q」のようなユニークパスワードを4つも5つも覚えることは非常に困難である。さらに徹底されているパスワード管理では、30日から60日に一度の頻度でパスワードを変更することを必須としている。「15日毎にパスワードを変更することも可能であるが、こうした頻繁に行われる変更に対して、記憶力がついていかないユーザーが出てきてしまう。」とパネリストは言う。

また多くのエンドユーザーは、こうしたパスワード管理不足により直接経費が発生することを認識していない。パスワードを忘れてしまったり、管理ミスによるパスワードトラブルは、ヘルプデスクに連絡をせざるを得ず、そのための経費が発生する。2000年初期には、パスワード再設定に要するコストを緩和させるため、「あなたが生まれた都市は?」というような予め設定したセキュリティ質問に回答することでパスワードの変更ができる、自動のセルフサービスシステムが作られた。このようなシステムは大きな企業では有効であり、いくつかの中小企業でも、このようなシステムが取り入れられた。
しかし、こうした自動システムにもソーシャルネットワーキングの普及から弱点が見えはじめた。今日ではFacebook、MySpace、Twitter等でユーザーによる個人情報の公表が増えたため、ハッカーが「ペットの名前」や「母親の旧姓」といった質問の答えを取得するのが容易となったことにある。実際にこうした手段でTwitter CEO Jack Dorseyのemailが危険にさらされた。以前にTwitter社員が持つGoogleアプリケーションアカウントのセキュリティ回答をハッカーに当てられていたからだ。そのGoogleアプリケーションは、Twitterネットワークのアクセスに通じるものであった。

パスワード管理は些細な問題として扱われるべきではない。事実、これは、技術的な問題でもあるが、人為的な課題も発生している。CompTIAパネルディスカッションのパネリストとして参加していたソリューションプロバイダーは、こうした課題はソリューションプロバイダーが、パスワード管理の改善に関する方法論とツールをエンドユーザーにいかに提供できるかにあるとしている。時に、パスワードを記載した付箋紙をモニターに貼り付けない等の常識的な問題も含まれ、またパスワード変更を強化するためポリシーや自動システムを作成するといった対策も必要となる。さらに、パスワード管理はシングルサインオンやマルチファクター認証システムといったことについて話し合うきっかけにもなり得る。






 

 



 
 
 

 

 

 
 

 
 
 資料・パンフレットダウンロード
 CompTIAライブラリー
 

 


 
 

 

CompTIA Japan Instagram

  友だち追加数
 


CompTIA 日本支局 住所:〒101-0061 東京都千代田区三崎町3-4-9 水道橋MSビル7F TEL:03-5226-5345 FAX:03-5226-0970