Scribble at 2022-03-02 15:22:44 Last modified: 2022-03-02 15:25:47

Google Workspace のアプリケーションは数多くあるため、一元的に管理してセキュリティ・ポリシーを適用することは理に適うし、実際に強力なポリシーを適用すれば効果は高い。ただ、現実的かどうかまでは保証の限りではない。たとえば、セキュリティが低いアプリケーションからのアクセスを認めないというポリシーを適用すると、Thunderbird が使えなくなったりするからだ。また、Google アカウントのパスワード・ポリシーについても、最大はともかく最小の桁数を10桁とかにしても、結局は "password" などというバカげたパスワードを使っている人間なら、"passwordpassword" というパスワードを設定するだけだろう。理想としては、Google アカウントのパスワードは管理者が生成して配布するのが望ましい。実際、当社では僕が Google Workspace の管理者としてパスワードをランダムな文字列で発行している（というか、Google Workspace でユーザを作成したらランダムな文字列のパスワードが発行される）。ポリシーについても、「安全なパスワードを適用する」を有効にして、桁数は最大で96桁にしてある。なお、僕はポリシーを設定している責任者として96桁にしてあるが、これは通常の運用としては異例だろう。でも、当社で実施しているガイダンスでも新入社員に説明していることだが、メール・ソフトとかブラウザに記憶させて構わないようなパスワードについては、利用するたびにパスワードを入力するわけでもないのだし、最初から強力なパスワードを使えばいいのである。

ちなみに、ブラウザにパスワードを保存するリスクについて、ISMS でもプライバシーマークでも監査の担当者は懸念する場合がある。しかし、毎日のように使うアプリケーションやオンライン・サービスについて、ブラウザに記憶させないでいた場合に起こりがちなのは、やはりパスワードを付箋に書いてモニターに貼り付けるという悪習だ。まだまだ、パスワードの管理ソフトウェアは普及していないし、これ自体の使い方が多くの人には難しい。加えて、僕は 1password をはじめとするクラウドないしオンラインのパスワード管理サービスは、ブラウザに保存するよりも危険だと思うので、これは敢えて明示的に社内で禁止している。