パスワードは覚えてはいけません!?
こんにちは。株式会社ゼタントでCEOをやっている久保です。企業の情報セキュリティの認証(ISMS)取得のお手伝いをすることがあるのですが、よく相談を受けるのがパスワードの管理についてです。今回は、ゼタントでの利用例について紹介します。特定の製品やアプリを宣伝したい訳ではなく、こんなこともできるんだな、ということを知っていただければ嬉しいです。
そもそもパスワードをどうやって管理してます?
まず、パスワードといっても、
個人で使うサービスのパスワード
業務で使う個人のパスワード
業務で使うチーム共有のパスワード
があります。もしかすると家族で共有するパスワードというのもあるかもしれません。一応、プライベートと仕事は分けているはずですよね?^^ この3つをちゃんと管理できていますでしょうか?ノートに書いたり、付箋に貼ったりしていませんか?ダメですよ。エクセルでの管理も、、、、よくないですね。
スマホとかを使ってると「パスワードを保存しますか」と聞かれることがあると思います。あれがまさにパスワード管理アプリです。例えばiPhoneだとApple IDと紐付けてiCloudで保管してくれるので、iPhone、iPad、Macとかで共有までできてしまいます(キーチェーンという仕組みです)。個人では気付かぬうちに利用していることも多いと思います。ちなみに私は、個人のパスワード(プライベート、業務とも)はKeePassというオープンソースのアプリを使って管理しています。
負の連鎖が起こってませんか?
この記事で話題にしたいのは、「業務で使うチーム共有のパスワード」の管理についてです。こんなこと起こってませんか?
Aさん:「パスワードを忘れた。急ぎで使いたいからパスワードリセットしよう」
Bさん:「え、なぜか、パスワードが使えないんだけど」(Aさんが伝えていなかった)「仕方ないからパスワードリセットしよう」
Cさん:「Aさんから聞いたパスワード使えないんだけど・・・」
たとえばこんな感じです。あとは、誰かがパスワードを知っているだろうと期待して自分が管理してなくて、急に必要になったけど知っている人が捕まらないとか。それで、うろ覚えのパスワードを何回か入れたら、ロックされてしまったとか。。
パスワード管理アプリに任せれば楽になりますよ
チームで利用できるパスワード管理アプリが色々あります。有名どころだと1PasswordとかLastPassといったアプリのShared vaultやSecure password sharingという仕組みです。チームの人だけが見ることができるパスワード保管庫をクラウド上に作るイメージです。
当社は、絶対安心できるという確信が欲しかった&あまりコストをかけたくなかったので、bitwardenというサービスのオープンソース版であるVaultWardenのプログラムの中身を調べて安全を確認して、自社サーバで運用しています。
どのアプリでも、デスクトップアプリ、Webアプリ、ブラウザプラグイン、スマホアプリが提供されているので利用自体は簡単です。ログイン画面とかでは勝手にパスワードを入力してくれますし、パスワードを更新したらクラウド保管庫の方も更新してくれます。もちろん、チームで共有しているので、メンバーは誰でも最新のパスワードを利用できます。そもそも「キーボードでパスワードを打ち込む」という行為が必要ないので、パスワードの桁数も思いっきり長くして安全性を高められます。しかも、ランダムなパスワードをいい感じに作ってくれるので、どんなパスワードにするか悩む必要もありません。
どちらかというと、パスワードを保管するフォルダの整理方法、共有範囲の適用など、運用ルールを決めるのが大事かつちょっと面倒です。当社では、担当業務、担当案件ごとに共有範囲を決めて、必要なメンバーだけでパスワードを共有しています。
最後に
パスワード管理アプリは最初の導入がちょっと面倒なことが多いですが、一度この便利さを知るともう元には戻れません。当社ではセキュリティ技術の開発も行っていますが、結局は足元のこういうところがしっかりしていないと、効果半減です。便利なのに安全なので、まだ使ってないようでしたら導入を検討してみてはいかがでしょうか。
この記事が気に入ったらサポートをしてみませんか?