2018年11月06日に初出の投稿

Last modified: 2018-11-06

情報セキュリティに関するチェックシートみたいなものは、僕も相手に記入を求めるし、相手からも記入を求められることがある。そして、求められた場合のチェックシートというのは、たいてい「パスワードを90日おきに変更しているか」などという設問が入っている。しかし、この設問は回答のしようがないか、「いいえ」と回答するしかない。

まず、僕は情報セキュリティのマネジメントを預かる役職として、パスワードを定期的に変更する「対策」など、昔から方針として採用していない。PCI-DSS のように規程の文言に明記されているわけでもなし、ISMS とプライバシーマークの現地審査では審査員に「そんなことをする必要はない」と説明して、どちらの第三者認証も12年(つまり6回更新)に渡る認証・認定を維持している。有能な人間が Chief Privacy Officer をやっていれば、もともと必要ないなんてことは技術的にもマネジメントとしても分かることなのだ。(せっかくなので書いておくと、では内部犯行で他人のパソコンを使われたりするようなリスクにはどう対処するのかというと、これは教育・研修の方が効果的だ。簡単に言うと、SkySea などでログは取ってるし、ノートパソコンは BIOS や HDD のパスワードを別に設定している。「こういう対策をとっている限り、情報窃盗などできん」と対策を逆に開示する方が牽制になるのだ。そして、そんなことをする動機は情報セキュリティ対策だけで済むものではなく、従業員の待遇においても対策するべきことである。)

それに、「パスワードを90日おきに変更しているか」などという設問が何を意味しているのか、いつも回答に苦慮する。もしこれが会社でパスワードを設定できる全ての情報機器とかオンラインサービスのアカウントのことなら、そんな運用をしている会社があれば逆に教えてもらいたいほどだと言える。メールアカウントのパスワードなんて、たいていの会社では(それこそセキュリティ企業ですら)変更などしないだろう。では、この設問は何について問うているのだろうか。業務用のパソコンについてなのか、それとも社内の情報システムの管理者パスワードは含まれないのだろうか。考えるだけでも時間の無駄である。よって、「いいえ」と回答して、詳しい説明を記入する欄に「当社ではこれこれの場合にのみ、パスワードを変更します」と記入している。

だいたい、真面目に情報セキュリティのマネジメントというものを考えていれば、まず「文書管理」とか「取引先管理」の一環として、こういう設問を続けていていいのかどうかレビューしなくてはならないということが分かるはずである。そして、少なくとも1年に1回くらいの割合で設問を再検証してみて、取引先管理として適切な質問をしているのかどうか、設問の回答と実際の内容とに乖離はないかどうかといった、「情報セキュリティ事象」(兆候)を推し量るための材料として活用しなければいけない。文科省の役人じゃあるまいし、紙に文字を書かせたら業績になるというのでは、手順を調教したサルがやっても同じことである。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook