朝日新聞の11月24日記事を見て、管理者パスワード管理を改めて考えてみました。
www.asahi.com
事件自体は、大分の消防士が副署長のパスワードを盗み見て、職員用メールをのぞき見し、10月1日付の人事情報を9月25日の内示日より前に不正に閲覧した。いわゆるメール不正閲覧の事件です。
事件が発覚したのは、副署長パスワードを教えていたその他の職員5人の内1人が、人事情報を誤って消防局総務課の職員に転送したためとあります。恐らくこれが無ければ、飲み屋で上長から内密に聞いた・・・程度で誤魔化せたのではないかと思いますが、、、転送ミス(グループに総務課の職員が入っていたのではないかと推測しますが)で処分を受ける事になったのは、何ともいまどきの内部犯行事件らしいところです。
では、何故、最初の副署長のパスワードが漏れたか、、という部分については、記事によれば、
消防士は以前、副署長の手帳からパスワードを盗み見て記録していた。
とありました。副署長と署長も監督責任を問われて戒告処分となっていますので、パスワード管理不備が招いた事件であるといえそうです。
パスワードを付箋紙でPC端末に貼っておく・・・といった事件ではないのですが、手帳にパスワードを書いておく際には、例えば一部を抜いて記録しておくことをお勧めしています。
管理したいパスワードが例えば Fox#9999 だとします
これを手帳に書く際には、自分が覚えやすい(頭で覚えておける)ルールとして例えば#を抜くと決めて、手帳には、
Fox9999 と書いておきます。
これを盗み見る人が居たとして、頭の中で覚えている#までは再現できません(すぐには気づかれない)ので、(比較的)パスワードが守られた状態をつくることができます。すべてのパスワードを手帳に書いていたから、パスワード流出という事になったのです。役職が上の方ですと、パスワード管理ソフトを使って・・・という極めて現実的な管理法は苦手の方も多いかもしれません。そんな際は、手帳での管理にも一工夫されると良いのではないでしょうか。
他にもパスワード強度を高める方法としては・・・
Fox9x4 (#を抜いて9999を9x4と記載)
#9999 (頭のFoxを秘匿情報として覚えておく)
といった方法もあるかと思います。他にもパスワード管理や生成法については書きたいところですが、長くなりそうなので、また機会があればご紹介させて頂きます。