本当に使える「パスワードポリシー」の作り方 「BYOI」を考慮すべし：パスワードポリシー作成方法【後編】

パスワードポリシーを定める際、従業員にとっての使いやすさを考えなければならない。そのためには何に注意すればよいのか。パスワードポリシー作成の勘所をまとめた。

[Paul Kirvan，TechTarget]

　企業が攻撃による被害を防ぐには、パスワードを保護する必要がある。そのためにはパスワードポリシーの策定が有効だ。前編「『パスワードポリシー』とは何か？　明文化で認証情報を安全に」はパスワードポリシーとはどのようなもので、なぜ必要なのかを説明した。後編となる本稿は、パスワードポリシーを作成するためのヒントを集めた。

　企業はパスワードポリシーを作成する際、下記の項目を軸にするとよい。

• パスワードポリシーの目的と範囲
• パスワードに関連する用語の定義
• パスワードポリシーを管理する従業員の役割
• パスワードの作成手順
• パスワード管理
• パスワードのリセット
• 不正使用されたパスワードへの対処手順
• 作成や承認の日付と担当者名

「BYOI」を検討すべし　パスワードポリシー作成8つのポイント

　「セキュリティ重視」と「従業員にとっての使いやすさ」を両立させたパスワードポリシーを作成するために、企業は下記の点を考慮しよう。

併せて読みたいお薦め記事

パスワードレス化への道のり

• “パスワードのいらない世界”への道　「パスワードレス認証」の第一歩とは
• “パスワードのいらない世界”実現に「ゼロトラスト」「行動生体認証」が役立つ理由

• ワンタイムパスワードの使用を検討する
• パスワード管理ソフトウェアを使用し、ユーザーがパスワードを作成、暗号化、保存、更新できるようにする
• セキュリティチームの中にパスワードチームをつくる
• 必要なパスワードの数を最小限に抑えるために、「BYOI」（Bring Your Own Identity：個人IDの転用・仕事利用）を検討する
• ツールごとに異なるアクセス方法による手間を減らすために、シングルサインオン（SSO）の使用を検討する
• IDおよびアクセス管理の方針の一環として、パスワードポリシーの使用を検討する
• セキュリティ侵害を把握・管理するための手順を確立する
• 全従業員を対象に、パスワード関連の研修を定期的に実施する

　企業はパスワードポリシーの原案を作成したら、セキュリティ専門家にレビューしてもらうとよい。必要に応じて修正した上で、経営幹部の承認を得ることが必要だ。セキュリティ専門家に加え、弁護士のレビューを受けることもお勧めする。パスワードポリシーが確定した後は、従業員に周知する。ヘルプデスクを設け、パスワードポリシーの実施に関する質問に回答できる体制をつくるとよい。

　パスワードポリシーも他のポリシーと同様、有効性を維持することが欠かせない。そのために定期的な見直しと更新を実施することが望ましい。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。