毎日のように起こることです。ITプロフェッショナルなら誰もが経験済みです。避けられないものです。綿密なプロジェクトに取り組んでいる時、あるいは集中力を要する緊急の案件に取り組んでいる時、あるいは会社の経営を何とか維持しようと奮闘している時に、突然依頼が舞い込むのです。「アカウントがロックされてしまいました。どなたかロックを解除してパスワードをリセットしてもらえませんか?」
はい、恐ろしいアカウントロックアウト/パスワードリセット要求です。
あなたはため息をつき、作業を中断して問題に対処します。新しいパスワードをユーザーに伝えるだけで済むこと、また、その後のアカウント ロックアウト、新しいパスワードの選択に関する問題 (「パスワードが十分に複雑ではない」と何度も表示されます)、新しいパスワードがシステムで受け入れられないこと、または他の取り組みを台無しにする可能性のあるその他の悲惨な問題などの頭痛の種に巻き込まれないことを願います。
はっきりさせておきましょう。IT部門はビジネスをサポートするために存在します。アカウントがロックされたりアクセスできなくなったりすると、業務が停止する恐れがあります。従業員は何もせずに給料をもらうために働いているわけではありません。パスワードは生活に不可欠なものであり、アカウントのロックアウトは企業データへの脅威を軽減するためのセキュリティ上の理由で発生します。
一度だけであれば、これらの問題を解決するのはそれほど大きな問題ではありませんが、ある日はパスワードのリセットだけをしているように感じられ、それが作業負荷(言うまでもなく士気)に悪影響を及ぼすことがあります。
生体認証ソリューションは、ハンズオンデバイス用の指紋スキャナーや網膜スキャナーでパスワードを置き換えることが可能ですが、多くのITプロフェッショナルの時間管理ニーズを満たすほどの進歩は見られません。組織を支援するには、技術的かつ戦略的なアプローチを推進するより良い方法があります。管理者とエンドユーザーの両方にとってアカウント管理を改善し、ロックアウトやリセットを削減するための10のヒントをご紹介します。
管理者向けのヒント
1. アカウントポリシーを確認する
ロックアウトやパスワードリセットの発生率を減らすには、アカウントポリシーの調整が必要になるかもしれません。パスワード要件が厳しすぎませんか?パスワード有効期限(ユーザーがパスワードを変更できるようになるまで一定期間待つ必要がある)の設定が長すぎませんか?パスワード変更の強制頻度が高すぎませんか?それとも、十分ではありませんか?一定期間後にアカウントが自動的にロック解除されるように設定することは可能ですか?
いつものように、変更を行う前にセキュリティ部門に確認する必要があります。
参照: セキュリティポリシー構築のガイドライン (Tech Pro Research)
2. パスワードの詳細を記録する
会社のパスワード要件、ローテーションスケジュール、特定のアカウントとパスワードが適用されるシステム、パスワード環境など、アカウント管理能力を最大限に高めるために必要な要素を、すべてのユーザーに明確に文書化し、提供してください。これは、新入社員だけでなく、既存の従業員にも公開する必要があります。
また、あなたやあなたのグループがアカウントやパスワードのリセットにどれくらいの時間を費やしたかを必ず記録しておいてください。この情報は、次のヒントに役立つかもしれません。
3. セルフサービス製品を使用する
セキュリティチームの承認があれば、ユーザーが自身のアカウントのロック解除やパスワードのリセットを行えるようにすることも可能です。アカウントのロック解除とパスワードのリセットを処理できる商用製品としては、Manage EngineのADSelfService Plus、Jiji Self Service Password Reset、Specops Password Resetの3つが挙げられます。
この種の製品は、セキュリティに関する質問、エンドユーザーへの新しいパスワードのメールまたはテキストメッセージ送信機能、多要素認証などを利用するため、ユーザーは操作を進める前に本人確認を行う必要があります。このような製品は一般的に設定と管理が容易であり、労力の削減(およびストレス軽減)を考慮すると、時間と資本の理想的な投資となります。
4. 環境の複雑さを軽減する
複雑な環境の場合、ユーザーだけでなくITスタッフも頭を悩ませることになるかもしれません。複数のパスワード「アイランド」、つまり一部のシステムがスタンドアロン認証を利用したり、特定のシステム間で認証情報を同期したり、アクセスを集中管理サーバーに依存したりする状況では、どのIDとどのパスワードが、どのシステムまたはサービスで使用されているかを把握することが非常に困難になります。これは、社内システムやクラウドベースのシステムを多数抱える大企業で蔓延しています。
シングルサインオンソリューションを導入することも可能です。このソリューションでは、サーバーがLightweight Directory Access Protocol(LDAP)を使用してActive Directoryドメインコントローラーに対してユーザー認証を行います。また、Okta Single Signon、OneLogin Secure Single Signon Solution、Centrify Identity Serviceなど、同様の機能を実行できるサードパーティ製品もあります。
Linuxサーバーを導入している場合、管理者がうまく対応できない解決策としては、/etc/shadow、etc/passwd、/etc/groupファイルを単一のソースサーバーから他のターゲットサーバーにrsyncする単純なcronジョブを作成するという方法があります。こうすることで、ユーザーはソースサーバー上でパスワードを管理でき、そのパスワードは他のすべてのシステムに、例えば5分ごとに複製されます。
5. 別のグループに委任する
アカウント/パスワードのリセットに対する最もシンプルな解決策は? 自分ではやらないことです。誰かに任せましょう。Tier 1ヘルプデスクや外部の組織、グループを立ち上げ、責任を負わせましょう。もちろん、この移行を成功させるには、冷静さを保ち、「今回だけ」と誰かのアカウントのロックを解除したいという誘惑に打ち勝つ必要があります。
エンドユーザー向けのヒント
率直に、そして経験から言わせていただきます。パスワード管理は新しい概念ではありません。だからこそ、ユーザーは自ら進んでパスワード管理の責任を負わなければなりません。ITスタッフは日々、対応すべき問題を抱えており、パスワードを変更するたびにアカウントがロックされてしまうと、ITスタッフの善意は失われてしまいがちです。エンドユーザー向けのこれらのヒントは、状況の改善に役立つはずです。
1. パスワードマネージャーを使用する
パスワードを管理する最もシンプルで簡単な方法は、KeePassやPassword Safeのようなパスワードマネージャーを使うことです。私は両方使ったことがありますが、ビジネスでもプライベートでもアカウント管理に非常に便利です。どちらの製品も無料で、マスターパスワード(もちろん、このパスワードは必ず覚えておき、書き留めないようにしてください)付きの暗号化されたデータベースを使用しています。パスワードを保存しておき、必要に応じてコピー&ペーストできるので、パスワードを入力する必要も、覚えておく必要もありません。
参照: すべてのデバイスで動作する5つのパスワード管理アプリ
2. より良いパスワード技術を使用する
いくつかの簡単なコツを活用すれば、より効果的で使いやすいパスワードを選ぶことができます。私の友人のパイロットは、最後の5文字が常に同じ8文字のパスワードを使用しています。彼は最初の3文字を空港コード(ボストンならBOS、サンフランシスコならSFOなど)に変更し、パスワードを思い出す必要があるときは、その空港コードを表す都市名を思い浮かべるだけで済みます。
記憶術的なトリックが役に立つ場合があります。通常のパスワードではなく、「パスワードフレーズ」の使用を検討してください。例えば、0range c0w 3lender(文字「o」を数字「0」に、「b」を数字「3」に置き換えたもの)は覚えやすく、ほとんどのパスワード要件を満たします。夏には、オレンジ色の牛が冷たい飲み物の入ったミキサーを手渡している様子を想像するのは簡単です。また、「We love Boston in the spring 2017(2017年春のボストンが大好きです)」のような具体的なフレーズを考え、各単語の頭文字を取って「Wlbits2017」のようなパスワードを作成することもできます。これは、前のヒントに特に効果的です。
また、適切な「キーボードフロー」でパスワードを設定することも重要です。つまり、キーボードの左から右へ入力するなど、文字を快適なパターンで入力することです。キーボードのあらゆる部分のキーを叩かなければならないほど面倒なことはありません。これは、単純なタイプミスでアカウントがロックアウトされる原因となる可能性があります。
3. 適切なセキュリティ対策を維持する
セキュリティはパスワードの管理や記憶とは関係がないように思えるかもしれませんが、この 2 つの概念の間には微妙なつながりがあります。
できれば、Web ブラウザなどにパスワードを保存しないでください。古いパスワードが変更された場合、アカウントがロックされる可能性があります (明らかに、このヒントを実行すると、受信トレイを確認するたびに携帯電話で電子メールのパスワードを入力しなければならないなど、面倒な作業が発生する可能性があります)。
メールアカウントについて言えば、パスワードはしっかりと管理してください。あなたのメールアカウントは、他のアカウントにとっていわば「王国の鍵」を握っていると言えるでしょう。自動パスワードリセットの通知は、おそらくそこに届くからです。誰かがあなたのメールアカウントに侵入した場合、それを利用して他の場所でパスワードをリセットし、大きな混乱を引き起こす可能性があります。
ログインしている場所とデバイスを必ず把握し、必要に応じてパスワードを全面的に変更してください。必要であれば、パスワードリストを作成してください。
参照: パスワードセキュリティガイド(そしてなぜ気にする必要があるのか)(CNET)
4. 可能な限り同じパスワードを使用する
これは議論の余地があるかもしれないので、説明させてください。明らかに、メール、電話、パソコン、銀行口座、クレジットカード口座、映画チケットサイト、ソーシャルメディアサイトなどで同じパスワードを使い回すのは、非常に危険な考えです。
ただし、開発、テスト、その他の低レベルシステム(侵害されてもセキュリティリスクがない)に複数アクセスしている場合は、それらすべてのパスワードにMyPass2017を使用するのが賢明です。パスワードが変更された場合は、すべての該当する場所でパスワードを更新して、一貫性を確保してください。
5. 積極的に行動する
私が管理しているシステムの中には、パスワードが間もなく変更されることをユーザーに事前に通知しないものがあります。そのため、ユーザーはログインしようとした時に初めてパスワードの有効期限が切れていることに気づき、パスワードの選択ミスや新しいパスワードでの認証エラーにつながります。
パスワードの有効期限が切れる前に、パスワード変更のリマインダーを設定することをユーザーによく勧めています。これは、Outlookに定期的なタスクや予定を設定するのと同じくらい簡単です。
また、Active Directory環境などで事前に通知を受ける場合でも、パスワードの有効期限を必ず把握しておいてください。パスワードの有効期限が切れる日に外出する予定がある場合(休暇など)は、退社前に必ずパスワードを変更してください。
テクノロジーを管理する方、あるいはテクノロジーを使う方にとって、これらのヒントがお役に立てば幸いです。何かご意見やご提案がありましたら、ぜひコメント欄でお知らせください。
以下も参照:
- データに基づくフィードバックを利用してより強力なパスワードを作成する方法 (TechRepublic)
- 従業員にサイバーセキュリティへの関心を高める10のヒント(TechRepublic)
- 人々が今でも使っている最も愚かなパスワード(ZDNet)
- セルフサービスツールはシステムを最新の状態に保ち、より安全に保つことができます(Tech Pro Research)
- 倫理的なパスワードハッキングとセキュリティ(TechRepublic Academy)
