社員のセキュリティ意識が低すぎる。何とかならないものか。

レス109
お気に入り291
トピ主のみ1

コンシェルジュリー

働く

皆様のお知恵を拝借したいです。私は情報システム部門に配属され、セキュリティ対策のマネジメントを実践する業務に従事しています。しかし、社員のセキュリティ感覚が鈍く、認識が甘すぎて困っています。

我が社ではセキュリティを強化するため、従前は3ヶ月に1回だったパスワードの変更義務期間を、今年から1ヶ月に1回に短縮しました。ところが、その際には社員の中から不満の声が挙がり、私はその認識の差異に唖然とさせられました。もちろん現場が忙しいのはわかるのですが、そもそも誰のための施策なのか、あまりに当事者意識がありません。

そのため、我が社ではパスワード変更のチェック体制を厳格化したのですが、なぜかパスワードを連続して2回変更している社員が多数いることが判明しました。ヒアリングの結果、不変更のペナルティを逃れるための抜け穴として、一度別のパスワードに変更してから元に戻していた事実が判明しました。私は愕然とするやら悲しくなるやらでした。

そこで、私は監視を強化したのですが、今度は間を空けてパスワードを2回変更する社員が出てきました。私は気が遠くなりました。本当に、社員のセキュリティ感覚の低さは病気としか言えないレベルです。

そのため、私はこの点も周知を徹底して意識の向上を図ったのですが、今度は社員からログインの初期化の申請が目立つようになりました。我が社ではパスワードを3回間違えるとログインできなくなる設定になっているのですが、そのようなミスを犯す社員が必ずいるのです。

しかも、私からの注意に対して、「紙に書かないように言われた決まりを守っていました」などと言い訳をするのです。パスワードを変更させる方が悪いと言わんばかりの逆ギレの態度であり、私はもう万策尽きて手詰まりです。

何とか社員の危機意識を正常に高める方法はないでしょうか? お知恵を拝借したいです。

ユーザーID:8476816686

これポチに投票しよう!

ランキング
  • 0
  • 0
  • 0
  • 0
  • 0
  • 面白い
  • びっくり
  • 涙ぽろり
  • エール

このトピをシェアする

Twitterでシェア LINEでシェア はてなブログでシェア

このトピのレス

レス数109

レスする
このトピックはレスの投稿受け付けを終了しました
  • システムは人間が使います

    コンピュータシステムを提案したりコンサルしたりする仕事をしています。

    あなたはシステムのお守りが仕事かも知れませんが、社員の人にとってはそうではありません。毎月パスワードを変えさせたとして、どこか別の場所に記録しておかないと忘れてしまうのが普通です。本人のパスワードを覚えさせることに執着するのではなく、他のもっとユーザフレンドリーな認証方法を検討すべきではありませんか?。二要素認証、カード認証、指紋認証などいろいろあると思いますが、それらを組み合わせる事で、人の記憶に頼るパスワードの運用面の弱さをカバーすべきです。企画されてはいかがでしょうか?。

    コンピュータは人間が使うものです。人間が運用できないようなシステムは、システムの設計がダメ、という事ですよ。

    ユーザーID:1260319322

  • かわいいものではないですか

    パスワード月1回変更は弊社でもありますね。
    当然、3回間違えて初期化というのはよくありますが、それは仕方ないではありませんか?
    紙に書かずにやれっていう以上はそれくらいは許してあげなければ。
    ですけど、この前有名企業が「パスワードの変更回数を増やすほうがセキュリティ上問題ある」としたような。

    以前の職場など、もっと頭抱えましたよ。
    データを持ち帰(って転職に使おうと目論む)人がいましたからね。顧客の情報じゃないから……って論点違うだろ。
    ウイルス付添付ファイルは絶対に開く、職場のメールを私用に使う……ので精神的に病んでしまい辞めました。

    もっとひどい会社があると思う事で少し安らいでいただけませんかね。

    ユーザーID:6071492095

  • ちょっと情報古くないかな。力の入れるところ間違えてない?

    2017年に、米国国立標準技術研究所の電子的認証に関するガイドラインとして、パスワードの定期的な変更はしないほうがいい旨が示されておりますよ?
    すでに日本においても、内閣サイバーセキュリティセンターからも同様のことがいわれてますよ。
    政府の文書だから、転記でもいい気がするけど、長いから自分で調べてね。
    情報システム部門としては、他の人にパスワードパスワードと言う前に、こういう情報を把握しては??
    情報システム部門として、大切なのは新しいセキュリティーに関する情報(ウィルスも含め)の把握と、流出時の速やかな対応なのではないかな。

    まさに、頻繁なパスワード変更で、ワンパターン化し簡単になったり、他のシステムと同じパスワードになっている可能性がありますよ??
    非常時以外変更の必要はないけど、複雑で他のシステムと違うパスワードを社員一人一人が設定する必要があるのでは??
    大文字小文字の区別と数字を必ず含めるとか、自分には意味があるかもしれないが他人にはわからないパスワードを作成してもらいましょう。
    例えばですが、「5m16YK2 」
    5歳にまりちゃんに片思い16歳でよしこさんと付き合いその後結婚して二人の子供に恵まれて幸せ
    自分のことだけど、他人にはわからないでしょ。
    ただね、例書いちゃうと同じパスワードが多くなるのよね。。。

    内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity、略称:NISC)
    情報セキュリティハンドブック Ver 3.00 第2章
    「セキュリティを理解して、 ネットを安全に使う」
    7 パスワードの定期変更は必要なし。流出時は速やかに変更する

    ユーザーID:4335185663

  • ワンタイムパスワードとかに変更できないんですか?

    何故不満なのか、聞き取りはされたのでしょうか?
    セキュリティ強化というなら、毎回パスが変更になるワンタイムパスワードとかを
    導入されたほうがよほど効率がいいと思うのですが…。
    費用をかけたくないというなら、社員を抑えつけるんじゃなくて、
    協力を仰いでくださいよ。

    ユーザーID:4638814055

  • やらせるのは徹底的?

    セキュリティは大切な事だけど、どうしてパスワードを毎月変更出来てないのだろうか?
    どうして、また同じパスワードを使うのだろうか?
    どうして、やってくれないのだろうか?

    まずそこからでは?

    やりなさいでは皆さん動きません。どうして?なんで?となるばかり。
    皆さん頭ではハッキングをされるからとわかってますが、それは稀じゃないか?と思っていると思います

    やれではなく、まず「何故やらないのか?やれないのか?」を突き止めるのが先では?
    やれやれだと皆嫌になりますよ。

    それから対策としてご提案、皆が覚えやすいパスワードを考えてみては?
    社員各自パスワードを持っているなら、それにプラスする文字をやってみては?
    共通の文字2文字+パスワード。これ忘れやすいパスワード対策でテレビで言っていた事です。
    一例として、ko-ここから皆さんのパスワード って感じでいいのでは?
    それなら皆出来ると思います。
    その文字を考えるのはトピ主さんのお役目だと思いますが。

    ユーザーID:2298920306

  • 一体何十個のパスワードが必要だと思ってんの?

    メールやラインやゲームやショッピングサイトなどなど
    ちょっとネット使うのに、一体幾つのユーザーネームやパスワードが必要だと思ってんの?
    おまけにどこにも書くな!毎月変えろって…(呆


    セキュリティ対策が大事なら、そんな古いテクノロジーに固執して
    いつまでもパスワードなんか使ってないで
    指紋認証でも、フェイスレコグニッションでも入れたら良いじゃん?

    ユーザーID:9246377813

  • メリットが実感できないとユーザは動かない

    ご苦労お察ししますが、社員の危機意識を高めるには、なぜその対応が必要かを粘り強く、語りかけるように訴え、理解してもらうしかありません。

    パスワードの更新頻度を上げる、最近使ったパスワードを使えなくする等、対応としてはおかしくないと思いますが、なぜそれがそんなに重要なのかの理解なしには、「一方的に不便になった」というユーザとしての不満しか残らないのは自明です。

    それをやることによってユーザにどんなメリットがあるのか、あるいはやらないことによってどんなデメリットがあるのか、そのことを実感できない限りユーザはついてきません。
    外部から会社のサーバに侵入されるとどんなにヤバいことになるのか、ビビらせる訳ではないですが他社事例なども含めて具体的に説明し、「なるほど、こりゃヤバい」と分かってもらわなければなりません。

    強権的にセキュリティを強化することも必要ですが、その裏腹として丁寧な周知・広報が必要だと思います。
    そこは取り組んでいますか。

    ユーザーID:8427615021

  • 面白い!

    アナタはどうしてるんですか?
    その方法を教えてあげたらいいんじゃないでしょうか?

    外部からのセキュリティは気を付けても気を付けすぎることは無いですが、
    これは主様の業務ですよね。

    トピ文のパスワードは社内(PCの立ち上げ時)のパスワードですよね。
    そこまで厳しくする必要があるのですか?
    自分の仕事を諦めて、使用者に犠牲だけを強いるってどうかと思いますよ。

    ひどいのになると、出張先から電話してきて、PC内のデータ知りたいから
    同僚にパスワード教えて見てもらうとかする人もいますよね。

    ユーザーID:5176439919

  • その通り

    日常生活で、1)いつもの銀行のパスワード、2)ネット銀行のパスワード、3)入室時のパスワード、4)アマゾンのパスワード、5)楽天のパスワード、6)マックのパスワード、7)図書館のパスワードなどなど。
    どうすれば間違えずに覚えておけるのか、本当に困りものです。自分の頭の中でしか記録できないので、自分が死んだら家族は困りますよね。
    トピ主に質問です。なにか名案はありませんか。是非教えて下さい。

    ユーザーID:4356403240

  • 講習に参加するなど、もっと勉強して!

    あなたがですよ!
    ここで書ききれないので、割愛しますが。
    上級試験受けてます?

    ユーザーID:3055672444

  • パスワードの定期変更は時代遅れ

    社内のセキュリティ強化を声高に叫ぶのでしたら、ちゃんと勉強してからにしましょう。

    パスワードの定期変更、特に強制的に一定期間ごとに変更させるのは、無意味どころか害が多い事が指摘されています。
    Google、MS、FB等のクラウドサービスで定期的にパスワード変更を求められていることろはほとんどなくなっています。
    検索すれば沢山出てきますが、一例を挙げておきます。定期変更を強制した結果、御社の社員の方々が陥っている状況が世界中で起こって、かえってセキュリティリスクを増したのです。

    指紋認証とか顔認証とか、物理的な認証手段(WindowsならWindows Helloとか)を検討しましょう。

    ユーザーID:5358318279

  • 大きな勘違い

    >本当に、社員のセキュリティ感覚の低さは病気としか言えないレベルです。

    いや、こんなの全くもって普通です。
    こんな感想を持つ時点で、主さんが勉強不足だと言わざるを得ないですね。
    これだけ社員の意識が低いとか言っておきながら、直近のパスワードに戻せる仕組=脆弱性には気付いてないみたいですし。

    近年の研究では、パスワードの変更を強要することのデメリット(と言うか、変更することの意義そのもの)について疑問が呈されていたりもしますし、主さんも社員を嘆く前にご自身がもう少し勉強されてはいかがですか?

    生体認証も最近は随分安くなりましたし、打つ手は色々あるのに細かいとこだけみて憤慨してるだけにしかみえないです。

    ユーザーID:9504679298

  • お気持ちはわかりますが

    お気持ちは分かります。

    でもね、変更を戻す方々の気持ちも、初期化をする方々の気持ちもわかります。

    覚えられないのです!

    私も20年近くネット生活をしてきましたが、最近パスワードが長く複雑で覚えられなくなってきました。全てのサイトで全て違うパスワード…10は超えてます。
    滅多に使わないサイトなど、何度パスワード初期化をしたことか。

    毎月変える→忘れますし、初期化の原因です。

    正直な話、人間の頭には限界があるので、自動でパスワードを作るアプリと組み合わせてもらうしかないと思います。

    ユーザーID:1695765419

  • 老婆心のまなざし

    危機管理とは、本人の心の中に
    危機意識が生まれることが必要です。

    どんな危機が起きるのか、抽象論や一般論ではなく、
    あなたがマネージャーとして具体的に示す必要があります。

    それが出来なければ、
    相手に強制、命令をすることになり、
    単に相手を俺の言うことを聞けとして奴隷化するだけです。
    それでは反発を食らうだけですよ。

    ユーザーID:9882047191

  • うちでは

    二世代前までのパスワードは使えません。
    なので設定し直しができません。

    初期化には上長の承認が必要です。

    いろいろ、やり方はあると思います。

    ユーザーID:8636956617

  • お気持ちはわかりますが

    三ヶ月毎でも負担なので、ましてや一ヶ月毎って、やり過ぎでしょう。そんなに狙われてるんですか(驚)

    ユーザーID:2227840380

  • 私もパスワード覚えられません

    パスワードが必要なものって沢山ありますが、全てのパスワードを同じものがないようにして、定期的に変えて、紙などに書かないで頭の中だけで覚えておくということが出来ません。

    能力の問題なので、意識では解決できません。

    私の場合は、会社のものじゃなくて個人的なものは、自分のエクセルにパスワードをかけて、表を作ってそれぞれのパスワードを書いています。自分だけでわかる暗号も入れているので、もしエクセルを読まれても他人にはなかなか分からないようになっていますが。
    会社関係のパスワードだったらこういうメモに残したら駄目でしょう。
    それを1ヶ月ごとに変えなきゃいけないって無理です。
    能力の限界を越えています。

    虹彩認証とか、偽装が行いにくいものも組み合わせてセキュリティを高めたらいかがでしょうか。

    ユーザーID:3284068552

  • あなたの考え方は古いです。

    定期的なパスワードの変更には、セキュリティを高める意味がないという論文をご存じないのでしょうか。そうした部門の人間なら、必ず目を通すべきニュースメディアに何度も取り上げられているのですが。

    本当にセキュリティ部門の担当者なのか、正直疑いを持つレベルです。

    ユーザーID:5502806489

  • どんな会社なの?

    どんな規模でどんな業務内容がメインでどんな勤務体系でどんな年齢層が多いのでしょうか?

    デスクワークがメインで外部業者がバンバン入り込むような会社で個人情報を取り扱っているのなら、それくらいは必要かな?
    ただ、少人数で出入りはないのだったら3か月に一回で十分だと思います。
    また、同じパスワードに戻せるのは問題です。
    私が以前いた個人情報が飛び交っている会社では、3か月に一回の更新で、前々回までのパスワードは使えない仕組みになっていました。
    しかも更新時期は指定だったので(それ以外に変更する場合は申請)1年間で最低でも3つのパスワードは必要でした。
    他にも夜に業者が入る会社ならノートパソコンにして引き出しにしまって帰るとか、書類は全て机にしまうとか…そんな会社もありますよね。

    逆にパスワード以外の対策を考えた方が良いと思いますよ。

    ユーザーID:6781648924

  • あっはっは

    あなたの自己満足の為にみんなの仕事のジャマしないで。お願いします。

    ユーザーID:5450913354

  • 言いたいことはわかりますが

    文章の書き方のせいもあるかもしれませんが、ずいぶん乱暴ですよね。

    そもそも1か月に1回は変更を義務付けるというのはかなり無理があります。
    もちろんセキュリティー上必須であるとするなら
    それで3回ログインしてNGで再発行はむしろ致し方なしとしなしとして
    気持ちよく再発行するべきじゃありませんか。
    それでいちいち呼び出してしかりつけているなんてちょっと行きすぎです。

    それだけトラブルが多いという事は設定に無理があるという事です。
    頻繁にパスワードを変えなければならないほどの機密性がついよなら
    いっそのことワンタイムパスワードを導入してはいかがでしょうか?
    それなりに費用はかかりますが、そちらの方がずっと現実的だと思いますよ。

    ユーザーID:3507525499

  • ん?

    主さんの仕事ってセキュリティ対策だけ?
    なんだか燃えて熱くなってらっしゃるけれど少し落ち着いて。
    確かにセキュリティは大事だけれどそればかりにかまってちられないでしょ。他の社員さんは大切な仕事があるんだから。
    主さん元々熱くなり過ぎて空回りするタイプじゃないですか?
    もしかして厄介払いで閑職に回されたのでは?
    少し落ち着いておとなしくしましょう。
    セキュリティ大事だけれどそれが全てではないですよ。

    ユーザーID:6220038026

  • 理想と現実

    年を取ると、新しいことが覚えにくくなります。
    同じパスワードを使うな! わかっています。
    パスワードを更新しろ! わかっています。
    パスワードをメモに書くな! わかっています。
    でも、年を取ると無理です。
    パスワードがいる作業がどれであるかは、わかっています。
    どういうパスワードを設定したかも、わかっています。
    しかし、どの作業がどのパスワードだったかが、混乱します。
    トピ主はお若いのでしょう。
    パスワードでなくても、上司から説明を受ければ、1度で全てを記憶できるでしょう。しかし、年を重ねると、だんだんと難しくなります。やがて、実感できるでしょう。
    逆ギレされる?トピ主からは逆ギレと受け取られるでしょうけれど、社員さんからは、精一杯の訴えです。
    じゃぁ、パスワードの更新ができない社員は、管理職には就けないようにしましょうと提案してみてください。どういう反応が返ってくるか、実感してください。
    それとも、年配者にはパスワードが必要な作業をさせないように提案してください。
    パスワードを更新しなくても、外部からの攻撃から守れるようにすれば良いだけ。トピ主にはそれができるのでしょう。あるいは、会社外部とはネットでつなげない、電子メール禁止とか。外部からの電子メールは、セキュリティマネジメントのチェックがなければ、受け付けられないとか。それができないのに社員に責任を押しつけているのは職務怠慢と言われてもおかしくないよ。
    社員さんは社員さんで精一杯やっているのだから。

    ユーザーID:3055648273

  • 情報システム部の知識レベルが低すぎる。何とかならないものか。

    最近では、パスワードの定期的変更はセキュリティ対策として効果が乏しい(場合によっては、むしろ危険)という議論が多くなっていて、専門機関でも定期的変更の推奨を止めているのですが、ご存知ないのでしょうか。
    もしご存知ないのであれば、一般社員のセキュリティ意識を嘆く前に、自らの勉強不足を反省したほうがよいと思います。

    定期的変更はむしろ危険、というのは、変更が頻繁すぎると新しいパスワードを考えるのが面倒になり、ハッカーに見抜かれやすい安易なパスワードの使用がむしろ増えてしまうという理由が大きいようです。

    ユーザーID:1027199269

  • さすがに

    月1は多すぎ。
    そんなに頻繁に変えないといけないような軟弱なシステムなんですか?
    初期化の回数が増えるのは変更が頻繁すぎるからですよ。
    嫌なら変更させなければいい。

    ユーザーID:4535502940

  • 私も2回してます

    パスワードの変更、私も2回続けてしています。

    そもそも、パスワードがあるのかないのかで、どのくらいセキュリティの信用性が上がるのでしょうか?

    どういう場面で、どのくらい?
    何から何を守ろうとしているの??

    社外秘の重要なデータがあるとして、社外に流出したら会社の利益に多大なる損害を与えるのはわかります。

    でも、個人のログインパスワードを月1回変更することで、そのリスクは1年に1回の場合とどのくらい違うんですか?

    他人にパスワードを知られる危険性が12倍になるって事ですか?

    データの盗難に合う確率はどのくらい?
    パスワードを知られるリスクはどのくらい?

    結果としていくら位の損失額が想定されるの?

    そういう事を具体的に教えて回れば、意識は向上すると思いますが、それよりも、変な迷惑メールからウィルス感染する可能性の方がよっぽど高そう。

    ユーザーID:6214027844

  • セキュリティの重要性

    セキュリティの重要性についてどれぐらい周知されているのでしょうか。
    徹底して、といっても例えば文書を送って読めといっても面倒で読まない人も多いでしょう。

    パスワードは個人のパソコンのパスワードなのでしょうか。
    ログインの初期化ぐらい気軽にできるようにできないんですかね。
    怒りに任せて書かれているのかもしれませんが、
    厳しくすることばかり書かれていてどう言う努力をしたのかを知りたいと思いました。

    私がいた会社ではelearningでセキュリティ講座を作って全員が受けるようにしました。
    合格するまで受けること、期限までにできていない場合はメールで催促されるようです。
    私はネット関係の部署にいたので同じ部署の人たちは一発でクリアできていたけど
    普段気にしていない部署の人たちは苦労していたようですので、
    セキュリティとはなんぞやが今まで必要でなかった(んですよね、おそらく)人たちに
    「甘すぎる」と怒ってもしょうがないと思いますよ。
    そこを何とかするのがトピ主さんなのです。

    ユーザーID:4025743256

  • もっと勉強・仕事してください

    パスワードの強制定期変更は時代遅れというのは、もう数年前から言われています。

    セキュリティをきつくすればするほど、仕事の効率は低下します。その一方で、情報漏洩の可能性を 0 にすることは出来ません。なので、あなたの仕事は、セキュリティ強化による生産性低下と、情報漏洩のリスクのバランスを取ったポリシーを設定し、さらに万が一、情報が漏洩した場合の対策を事前に練っておくことです。

    完璧ではない人間に、完璧を求める方策はセキュリティであれ何であれ、失敗の可能性を高くするだけです。セキュリティについての最新の考え方を勉強し、それをポリシーに反映させるよう仕事してください。

    ユーザーID:6930917418

  • 貴方の意識も相当低い

    セキュリティ担当者が匿名とはいえ巨大掲示板で社内事情を暴露。

    一か月に一回のパスワード変更が御社の業務内容に照らし合わせて
    適当かどうか、現状含めて一度上司に相談・確認をすることをお勧め致します。
    若干?業務に支障も出ているようですし、
    このままだと貴方を飛び越えて上司にクレームがいくかもしれません。
    場合によっては一ヶ月に一回は大袈裟と言われて、
    貴方に何らかの処分が下る可能性もあります。

    私個人の印象としては、セキュリティ担当者が平然と掲示板に書き込んで
    いる状況から三か月に一回で十分と思います。

    ユーザーID:0502622298

  • 対策すれば?

    「過去10回までのパスワードは受け付けない」
    「乱数表でランダムにパスワードを作成し支給する」

    ソフトであるっしょ。

    ユーザーID:7883191137

お気に入りに追加しました

レス求!トピ一覧