【連載第5回】パスワード管理とアカウント運用のベストプラクティス
「全員同じパスワードを使っている」「退職者のアカウントがまだ生きている」「admin / password で管理画面に入れる」――中小企業の現場では、こうした状況は珍しくありません。
パスワードに関する最新の考え方
NISTの推奨(2024年改訂版)
米国国立標準技術研究所(NIST)のガイドラインでは、従来の「定期変更」から方針が大きく変わっています。
- 定期的なパスワード変更は不要(漏洩が確認された場合のみ変更)
- 最低8文字以上(推奨は12文字以上)
- 複雑性ルール(大文字小文字記号必須)は非推奨(覚えにくく、単純なパターンに陥りやすい)
- パスフレーズを推奨(例: 「コーヒー好きな猫が3匹いる」)
パスワードマネージャーの導入
1Passwordやbitwardenなどのパスワードマネージャーを導入すれば、各サービスに固有の強力なパスワードを設定しつつ、ユーザーが覚えるのはマスターパスワード1つだけで済みます。
アカウント管理の5つのルール
1. 個人アカウントを原則とする
「info@」「admin@」のような共有アカウントは、誰が何をしたか追跡できません。各社員に個人アカウントを発行し、権限管理を行いましょう。
2. 入社・退職のアカウント管理フローを整備する
- 入社時: アカウント作成 → 必要なライセンス付与 → 端末キッティング
- 退職時: アカウント無効化 → ライセンス回収 → データ保全 → 一定期間後に削除
3. 管理者アカウントと通常アカウントを分離する
IT管理者であっても、日常業務には通常アカウントを使い、管理作業時のみ管理者アカウントに切り替えます。
4. アクセス権の定期棚卸し
半年に1回、誰がどのサービスにアクセスできるかを確認します。不要な権限は削除します。
5. 退職者アカウントは即日無効化
退職日当日にアカウントを無効化するプロセスを確立してください。「引き継ぎが終わるまで」と残しておくのは非常に危険です。
次回は、メールセキュリティの設定方法を解説します。
← 前回: 【連載第4回】多要素認証の設定ガイド | 次回: 【連載第6回】メールセキュリティ設定 →
まとめ・ご相談
セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。
貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。