パスワード管理の誤った運用に潜むリスク、正しくパスワードを共有する方法とは

　企業・組織では、IT管理者パスワードをはじめ特権パスワードを複数人で共有しているケースが多い。パスワードを紙のメモやスプレッドシート、テキストファイルに平文で保存したり、DevOps環境で資格情報を埋め込んだりなど故意に行うケースもあるが、サイバー攻撃や内部不正のターゲットとなり、重要情報が漏えいする危険性と常に隣り合わせといえる。

　本資料では、パスワード共有の行為を「故意」または「意図しない」の2つのケースに分類し、それぞれのケースを解説している。「意図しない」ケースでは、フィッシングなどの「ソーシャルエンジニアリング」、ランサムウェアやスパイウェアなどの「クライアントやWeb経由での攻撃」によるパスワード流出のリスクを例示。その上で、管理用などの重要パスワードを多様な脅威から保護するための具体的対策と、パスワードを正しく共有するための管理のヒントを紹介する。

　さらにはパスワード管理ツールを用いたより効果的な対策についても記しているので、特権ID・パスワード管理に悩む情報システム部門のセキュリティ担当者などは参考にしてほしい。