現在位置は
です

発言小町

新しいトピを作成
本文です

社員のセキュリティ意識が低すぎる。何とかならないものか。

コンシェルジュリー
2018年3月11日 20:26

皆様のお知恵を拝借したいです。私は情報システム部門に配属され、セキュリティ対策のマネジメントを実践する業務に従事しています。しかし、社員のセキュリティ感覚が鈍く、認識が甘すぎて困っています。

我が社ではセキュリティを強化するため、従前は3ヶ月に1回だったパスワードの変更義務期間を、今年から1ヶ月に1回に短縮しました。ところが、その際には社員の中から不満の声が挙がり、私はその認識の差異に唖然とさせられました。もちろん現場が忙しいのはわかるのですが、そもそも誰のための施策なのか、あまりに当事者意識がありません。

そのため、我が社ではパスワード変更のチェック体制を厳格化したのですが、なぜかパスワードを連続して2回変更している社員が多数いることが判明しました。ヒアリングの結果、不変更のペナルティを逃れるための抜け穴として、一度別のパスワードに変更してから元に戻していた事実が判明しました。私は愕然とするやら悲しくなるやらでした。

そこで、私は監視を強化したのですが、今度は間を空けてパスワードを2回変更する社員が出てきました。私は気が遠くなりました。本当に、社員のセキュリティ感覚の低さは病気としか言えないレベルです。

そのため、私はこの点も周知を徹底して意識の向上を図ったのですが、今度は社員からログインの初期化の申請が目立つようになりました。我が社ではパスワードを3回間違えるとログインできなくなる設定になっているのですが、そのようなミスを犯す社員が必ずいるのです。

しかも、私からの注意に対して、「紙に書かないように言われた決まりを守っていました」などと言い訳をするのです。パスワードを変更させる方が悪いと言わんばかりの逆ギレの態度であり、私はもう万策尽きて手詰まりです。

何とか社員の危機意識を正常に高める方法はないでしょうか? お知恵を拝借したいです。

ユーザーID:8476816686  


お気に入り登録数:291
  • 携帯に送る
  • このエントリーをはてなブックマークに追加
古いレス順
レス数:109本

タイトル 投稿者 更新時間
システムは人間が使います
純一
2018年3月11日 23:01

コンピュータシステムを提案したりコンサルしたりする仕事をしています。

あなたはシステムのお守りが仕事かも知れませんが、社員の人にとってはそうではありません。毎月パスワードを変えさせたとして、どこか別の場所に記録しておかないと忘れてしまうのが普通です。本人のパスワードを覚えさせることに執着するのではなく、他のもっとユーザフレンドリーな認証方法を検討すべきではありませんか?。二要素認証、カード認証、指紋認証などいろいろあると思いますが、それらを組み合わせる事で、人の記憶に頼るパスワードの運用面の弱さをカバーすべきです。企画されてはいかがでしょうか?。

コンピュータは人間が使うものです。人間が運用できないようなシステムは、システムの設計がダメ、という事ですよ。

ユーザーID:1260319322
かわいいものではないですか
今回は匿名で
2018年3月12日 0:08

パスワード月1回変更は弊社でもありますね。
当然、3回間違えて初期化というのはよくありますが、それは仕方ないではありませんか?
紙に書かずにやれっていう以上はそれくらいは許してあげなければ。
ですけど、この前有名企業が「パスワードの変更回数を増やすほうがセキュリティ上問題ある」としたような。

以前の職場など、もっと頭抱えましたよ。
データを持ち帰(って転職に使おうと目論む)人がいましたからね。顧客の情報じゃないから……って論点違うだろ。
ウイルス付添付ファイルは絶対に開く、職場のメールを私用に使う……ので精神的に病んでしまい辞めました。

もっとひどい会社があると思う事で少し安らいでいただけませんかね。

ユーザーID:6071492095
ちょっと情報古くないかな。力の入れるところ間違えてない?
三人娘の母
2018年3月12日 2:09

2017年に、米国国立標準技術研究所の電子的認証に関するガイドラインとして、パスワードの定期的な変更はしないほうがいい旨が示されておりますよ?
すでに日本においても、内閣サイバーセキュリティセンターからも同様のことがいわれてますよ。
政府の文書だから、転記でもいい気がするけど、長いから自分で調べてね。
情報システム部門としては、他の人にパスワードパスワードと言う前に、こういう情報を把握しては??
情報システム部門として、大切なのは新しいセキュリティーに関する情報(ウィルスも含め)の把握と、流出時の速やかな対応なのではないかな。

まさに、頻繁なパスワード変更で、ワンパターン化し簡単になったり、他のシステムと同じパスワードになっている可能性がありますよ??
非常時以外変更の必要はないけど、複雑で他のシステムと違うパスワードを社員一人一人が設定する必要があるのでは??
大文字小文字の区別と数字を必ず含めるとか、自分には意味があるかもしれないが他人にはわからないパスワードを作成してもらいましょう。
例えばですが、「5m16YK2 」
5歳にまりちゃんに片思い16歳でよしこさんと付き合いその後結婚して二人の子供に恵まれて幸せ
自分のことだけど、他人にはわからないでしょ。
ただね、例書いちゃうと同じパスワードが多くなるのよね。。。

内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity、略称:NISC)
情報セキュリティハンドブック Ver 3.00 第2章
「セキュリティを理解して、 ネットを安全に使う」
7 パスワードの定期変更は必要なし。流出時は速やかに変更する

ユーザーID:4335185663
ワンタイムパスワードとかに変更できないんですか?
片倉
2018年3月12日 7:47

何故不満なのか、聞き取りはされたのでしょうか?
セキュリティ強化というなら、毎回パスが変更になるワンタイムパスワードとかを
導入されたほうがよほど効率がいいと思うのですが…。
費用をかけたくないというなら、社員を抑えつけるんじゃなくて、
協力を仰いでくださいよ。

ユーザーID:4638814055
やらせるのは徹底的?
ぷ〜にゃんぱん
2018年3月12日 8:01

セキュリティは大切な事だけど、どうしてパスワードを毎月変更出来てないのだろうか?
どうして、また同じパスワードを使うのだろうか?
どうして、やってくれないのだろうか?

まずそこからでは?

やりなさいでは皆さん動きません。どうして?なんで?となるばかり。
皆さん頭ではハッキングをされるからとわかってますが、それは稀じゃないか?と思っていると思います

やれではなく、まず「何故やらないのか?やれないのか?」を突き止めるのが先では?
やれやれだと皆嫌になりますよ。

それから対策としてご提案、皆が覚えやすいパスワードを考えてみては?
社員各自パスワードを持っているなら、それにプラスする文字をやってみては?
共通の文字2文字+パスワード。これ忘れやすいパスワード対策でテレビで言っていた事です。
一例として、ko-ここから皆さんのパスワード って感じでいいのでは?
それなら皆出来ると思います。
その文字を考えるのはトピ主さんのお役目だと思いますが。

ユーザーID:2298920306
一体何十個のパスワードが必要だと思ってんの?
kitten
2018年3月12日 8:19

メールやラインやゲームやショッピングサイトなどなど
ちょっとネット使うのに、一体幾つのユーザーネームやパスワードが必要だと思ってんの?
おまけにどこにも書くな!毎月変えろって…(呆


セキュリティ対策が大事なら、そんな古いテクノロジーに固執して
いつまでもパスワードなんか使ってないで
指紋認証でも、フェイスレコグニッションでも入れたら良いじゃん?

ユーザーID:9246377813
メリットが実感できないとユーザは動かない
テナガエビ
2018年3月12日 8:21

ご苦労お察ししますが、社員の危機意識を高めるには、なぜその対応が必要かを粘り強く、語りかけるように訴え、理解してもらうしかありません。

パスワードの更新頻度を上げる、最近使ったパスワードを使えなくする等、対応としてはおかしくないと思いますが、なぜそれがそんなに重要なのかの理解なしには、「一方的に不便になった」というユーザとしての不満しか残らないのは自明です。

それをやることによってユーザにどんなメリットがあるのか、あるいはやらないことによってどんなデメリットがあるのか、そのことを実感できない限りユーザはついてきません。
外部から会社のサーバに侵入されるとどんなにヤバいことになるのか、ビビらせる訳ではないですが他社事例なども含めて具体的に説明し、「なるほど、こりゃヤバい」と分かってもらわなければなりません。

強権的にセキュリティを強化することも必要ですが、その裏腹として丁寧な周知・広報が必要だと思います。
そこは取り組んでいますか。

ユーザーID:8427615021
面白い!
p-Ko&Love
2018年3月12日 8:38

アナタはどうしてるんですか?
その方法を教えてあげたらいいんじゃないでしょうか?

外部からのセキュリティは気を付けても気を付けすぎることは無いですが、
これは主様の業務ですよね。

トピ文のパスワードは社内(PCの立ち上げ時)のパスワードですよね。
そこまで厳しくする必要があるのですか?
自分の仕事を諦めて、使用者に犠牲だけを強いるってどうかと思いますよ。

ひどいのになると、出張先から電話してきて、PC内のデータ知りたいから
同僚にパスワード教えて見てもらうとかする人もいますよね。

ユーザーID:5176439919
その通り
世間様
2018年3月12日 8:59

日常生活で、1)いつもの銀行のパスワード、2)ネット銀行のパスワード、3)入室時のパスワード、4)アマゾンのパスワード、5)楽天のパスワード、6)マックのパスワード、7)図書館のパスワードなどなど。
どうすれば間違えずに覚えておけるのか、本当に困りものです。自分の頭の中でしか記録できないので、自分が死んだら家族は困りますよね。
トピ主に質問です。なにか名案はありませんか。是非教えて下さい。

ユーザーID:4356403240
講習に参加するなど、もっと勉強して!
はな
2018年3月12日 9:01

あなたがですよ!
ここで書ききれないので、割愛しますが。
上級試験受けてます?

ユーザーID:3055672444
パスワードの定期変更は時代遅れ
ukid
2018年3月12日 9:29

社内のセキュリティ強化を声高に叫ぶのでしたら、ちゃんと勉強してからにしましょう。

パスワードの定期変更、特に強制的に一定期間ごとに変更させるのは、無意味どころか害が多い事が指摘されています。
Google、MS、FB等のクラウドサービスで定期的にパスワード変更を求められていることろはほとんどなくなっています。
検索すれば沢山出てきますが、一例を挙げておきます。定期変更を強制した結果、御社の社員の方々が陥っている状況が世界中で起こって、かえってセキュリティリスクを増したのです。

指紋認証とか顔認証とか、物理的な認証手段(WindowsならWindows Helloとか)を検討しましょう。

ユーザーID:5358318279
大きな勘違い
亀爺
2018年3月12日 9:47

>本当に、社員のセキュリティ感覚の低さは病気としか言えないレベルです。

いや、こんなの全くもって普通です。
こんな感想を持つ時点で、主さんが勉強不足だと言わざるを得ないですね。
これだけ社員の意識が低いとか言っておきながら、直近のパスワードに戻せる仕組=脆弱性には気付いてないみたいですし。

近年の研究では、パスワードの変更を強要することのデメリット(と言うか、変更することの意義そのもの)について疑問が呈されていたりもしますし、主さんも社員を嘆く前にご自身がもう少し勉強されてはいかがですか?

生体認証も最近は随分安くなりましたし、打つ手は色々あるのに細かいとこだけみて憤慨してるだけにしかみえないです。

ユーザーID:9504679298
お気持ちはわかりますが携帯からの書き込み
さすらいパート
2018年3月12日 10:32

お気持ちは分かります。

でもね、変更を戻す方々の気持ちも、初期化をする方々の気持ちもわかります。

覚えられないのです!

私も20年近くネット生活をしてきましたが、最近パスワードが長く複雑で覚えられなくなってきました。全てのサイトで全て違うパスワード…10は超えてます。
滅多に使わないサイトなど、何度パスワード初期化をしたことか。

毎月変える→忘れますし、初期化の原因です。

正直な話、人間の頭には限界があるので、自動でパスワードを作るアプリと組み合わせてもらうしかないと思います。

ユーザーID:1695765419
老婆心のまなざし
無常の風
2018年3月12日 11:11

危機管理とは、本人の心の中に
危機意識が生まれることが必要です。

どんな危機が起きるのか、抽象論や一般論ではなく、
あなたがマネージャーとして具体的に示す必要があります。

それが出来なければ、
相手に強制、命令をすることになり、
単に相手を俺の言うことを聞けとして奴隷化するだけです。
それでは反発を食らうだけですよ。

ユーザーID:9882047191
うちでは
もちもち猫
2018年3月12日 11:13

二世代前までのパスワードは使えません。
なので設定し直しができません。

初期化には上長の承認が必要です。

いろいろ、やり方はあると思います。

ユーザーID:8636956617
お気持ちはわかりますが
おっちゃん
2018年3月12日 11:15

三ヶ月毎でも負担なので、ましてや一ヶ月毎って、やり過ぎでしょう。そんなに狙われてるんですか(驚)

ユーザーID:2227840380
私もパスワード覚えられません
あい
2018年3月12日 11:15

パスワードが必要なものって沢山ありますが、全てのパスワードを同じものがないようにして、定期的に変えて、紙などに書かないで頭の中だけで覚えておくということが出来ません。

能力の問題なので、意識では解決できません。

私の場合は、会社のものじゃなくて個人的なものは、自分のエクセルにパスワードをかけて、表を作ってそれぞれのパスワードを書いています。自分だけでわかる暗号も入れているので、もしエクセルを読まれても他人にはなかなか分からないようになっていますが。
会社関係のパスワードだったらこういうメモに残したら駄目でしょう。
それを1ヶ月ごとに変えなきゃいけないって無理です。
能力の限界を越えています。

虹彩認証とか、偽装が行いにくいものも組み合わせてセキュリティを高めたらいかがでしょうか。

ユーザーID:3284068552
あなたの考え方は古いです。
sky
2018年3月12日 11:35

定期的なパスワードの変更には、セキュリティを高める意味がないという論文をご存じないのでしょうか。そうした部門の人間なら、必ず目を通すべきニュースメディアに何度も取り上げられているのですが。

本当にセキュリティ部門の担当者なのか、正直疑いを持つレベルです。

ユーザーID:5502806489
どんな会社なの?
おばちゃん
2018年3月12日 11:42

どんな規模でどんな業務内容がメインでどんな勤務体系でどんな年齢層が多いのでしょうか?

デスクワークがメインで外部業者がバンバン入り込むような会社で個人情報を取り扱っているのなら、それくらいは必要かな?
ただ、少人数で出入りはないのだったら3か月に一回で十分だと思います。
また、同じパスワードに戻せるのは問題です。
私が以前いた個人情報が飛び交っている会社では、3か月に一回の更新で、前々回までのパスワードは使えない仕組みになっていました。
しかも更新時期は指定だったので(それ以外に変更する場合は申請)1年間で最低でも3つのパスワードは必要でした。
他にも夜に業者が入る会社ならノートパソコンにして引き出しにしまって帰るとか、書類は全て机にしまうとか…そんな会社もありますよね。

逆にパスワード以外の対策を考えた方が良いと思いますよ。

ユーザーID:6781648924
あっはっは
2018年3月12日 11:59

あなたの自己満足の為にみんなの仕事のジャマしないで。お願いします。

ユーザーID:5450913354
 
現在位置は
です