BetaNewsは3月26日(米国時間)、「Punishing employees won't improve password security」において、現在多くの企業が取り組んでいるパスワード管理のやり方は現状に合わなくなってきており、パスワードに関する考え方を完全に見直す必要があると指摘した。
サイバー攻撃の発端は正規のパスワードを悪用することから始まっていることが多い。このため企業は、従業員に対して強力でユニークなパスワードを使い回すことなく利用するように圧力をかけている。フィッシング詐欺の被害にあった場合、従業員に対して金銭的な罰則が与える企業もあるようだ。しかし、こうした罰則は適切ではないし、そもそも安全確保にもつながらないとBetaNewsは指摘している。
このように、従業員に対して強いパスワードを使用するように圧力をかけるやり方自体が間違った取り組み方であり、この考え方を変える必要があると提言している。
新しい従業員が入社すると、企業はオフィスのさまざまな場所にアクセスするために必要となる鍵、スマートキー、カードなどを渡す。従業員が退職するとそうした鍵、スマートキー、カードは回収し、退職した従業員が会社の資産にアクセスできないようにする。
一方、デジタルの世界はそうではないという。従業員にパスワードの設定を許可している。これは、従業員がオフィスの建物、エレベータ、フロア、ドア、データルームにアクセスするための鍵を自分で作ることを許可しているようなものと説明している。このように、従業員にパスワードの設定を許可することはアクセス制御権を手放すことであり、従業員を失敗に陥れる原因になっているという。
BetaNewsは、強力でユニークかつ暗号化されたパスワードの管理を企業が行うこと、従業員は管理されたパスワードを使えるように、会社側で従業員をサポートする技術を適用することをアドバイスしている。これにより、従業員は強力なパスワードを覚える必要がなくなり、管理された鍵を使えるようになるという。物理鍵の管理と同じことをデジタル鍵においても行うという発想だ。
サイバー攻撃はますます巧妙になっており、頻度も増えている。フィッシング詐欺は以前にも増して巧妙であり、スキルを備えたユーザーでも判断が難しくなってきている。パスワードはこうしたサイバー攻撃の最初の段階で防御を果たす重要な部分であり、より適切な対応を行っていく必要がある。