セキュリティ特集
セキュリティ対策、過去の『常識』は現代の『非常識』!?
突然ですが、クイズです !
2012年にIPA 情報処理推進機構より刊行された「不正アクセス対策のしおり(※)」において、パスワード盗難対策として記載された次の①~④の対策の中で、現在は推奨されなくなった対策を1つ選んでください。
(※)現在、当該資料の公開は終了しています。
- パスワードは定期的に変更する
- 紙に書き留めたまま放置しない
- パソコンに保存しない
- 人に教えない
選んだ人は、次の最新のガイドラインを見てみましょう!
各種ガイドラインにおけるパスワードの管理
|
出典: 総務省『国民のためのサイバーセキュリティサイト』 |
|
■パスワードを複数のサービスで使い回さない(定期的な変更は不要) <中略>実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。 |
|
出典: 厚生労働省『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)』 |
|
8.利用機器・サービスに対する安全管理措置 ⑤ 情報機器に対して起動パスワード等を設定すること。設定に当たっては製品等の出荷時におけるパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情報機器の利用方法等に応じて必要があれば、定期的なパスワードの変更等の対策を実施すること。 ※第5.2版 (令和4年3月公表)までの記述「英数字、記号を混在させた8文字以上の推定困難な文字列を定期的に変更させる(最長でも2ヶ月以内)」 |
よって、クイズの答えは「1.パスワードは定期的に変更する」でした。10年も経過すると、推奨されるセキュリティ対策も変わっていきますね。あなたの組織のルールはどのように変わりましたか?
当社セキュリティアナリストの分析
「パスワードの定期変更は無意味」という人もいますが、必ずしもそうではありません。例えば、気づかない内にパスワードが漏えいしていても、定期変更していれば不正なログインを防ぐことができる場合もあります。
(ただし、パスワード認証だけの場合、漏えいから変更するまでの期間中は不正ログインされ放題です。)
本当の問題点は、パスワードが漏えいするとどのような影響があるのか想像できずに、パスワード入力が面倒という理由だけで簡易なパスワードを使い回して、セキュリティ対策を怠る利用者の『認識』にあります。
近年、医療機関では「医療情報システムは外部とネットワーク接続していないから安全である」という、いわゆる『常識』が崩壊し、大規模なサイバー攻撃の被害が相次いでいます。この事態を重く見た政府は、令和5年4月1日に「医療法施行規則の一部を改正する省令」を公布し、医療機関の管理者が遵守すべき事項にサイバーセキュリティ対策を位置付けました。今まさに情報セキュリティの『常識』がアップデートされています。時代に合わせて情報システムを利用する我々の『認識』もアップデートしていきましょう。
セキュリティポリシー研修
サービス概要
情報セキュリティの人的対策として、セキュリティコンサルタントによる研修サービスをご提供いたします。貴組織へ弊社講師を派遣させていただき、研修を実施します。
セキュリティポリシー研修: https://www.ryobi.co.jp/security/csirt/training
流れ
オプション
- 一般利用者、管理者向けなど、ご要望に応じて内容をカスタマイズします。
- オンラインでのWeb研修、動画による配信なども可能です。
人気記事
カテゴリ
