【メモ】認証情報と端末の守り方

はじめに

認証情報と端末は、多くの人が業務の初期段階から毎日使うものです。
そして同時に、事故が起きやすい入口でもあります。¹

メール誤送信のような「送ってしまった事故」と違い、認証情報や端末まわりの事故は、気付きにくいまま広がることがあります。
だからこそ、最初の段階で守り方を具体的に理解しておく必要があります。

なぜ認証情報と端末が重要なのか

認証情報は、情報やシステムに入るための鍵です。
端末は、その鍵を使って仕事をする入口です。

このどちらかが崩れると、次のような連鎖が起きます。

第三者にアカウントを使われる
社内情報や顧客情報に不正アクセスされる
なりすまし送信や不正操作が起きる
誰が何をしたかの切り分けが難しくなる

つまり、認証情報と端末は単独の論点ではなく、他の多くの事故の起点です。

認証情報で守るべきこと

パスワードは本人だけが使う

パスワードは、同僚や上司でも共有しない前提で扱います。
「急ぎだから代わりに入ってほしい」という状況でも、共有を正当化してはいけません。

共有されると、事故が起きたときに誰が何をしたのか分からなくなり、追跡も再発防止も難しくなります。

使い回しを軽く見ない

同じ、または似たパスワードを複数のサービスで使うと、1か所の漏えいが他へ波及しやすくなります。
社内システム、外部サービス、個人利用のパスワードを混ぜる考え方は避けるべきです。

多要素認証は「面倒な追加作業」ではない

多要素認証は、パスワードだけに依存しないための重要な仕組みです。¹

認証要求が来たときは、単に承認するのではなく、自分が今その操作をしているかを確認してください。
身に覚えのない認証要求を流れ作業で承認すると、不正アクセスを自分で通してしまうことがあります。

認証情報を画面や文章に残さない

付箋、メモ帳、チャット、メール下書き、スクリーンショットに認証情報を残すと、本人が思う以上に広く漏れる可能性があります。

認証情報は、「覚えるか、会社が認めた安全な方法で管理する」前提で扱ってください。
具体的な管理方法は、自社ルールに従ってください。

端末で守るべきこと

離席時ロックを習慣にする

短時間の離席でも、画面を開いたままにしないことが基本です。¹

「社内だから大丈夫」「数分だから大丈夫」という考え方は危険です。
偶然見られる、触られる、送信される、設定変更される可能性はゼロではありません。

のぞき見と見え方を意識する

電車、カフェ、受付前、会議室外、エレベーター前などでは、画面を開いているだけで情報が漏れることがあります。
覗き込まれる意思がなくても、位置や角度によって見えてしまう場面は多くあります。

機密性の高い情報ほど、その場で開くべきかから考える必要があります。

持ち出し時は「なくす前提」で考える

ノートPCやスマートフォンは、移動中、会食、出張、在宅勤務で持ち出す機会があります。
そのときは、「自分はなくさない」ではなく、もし離れたら何が見えるか、何に入れるかで考えるべきです。

机上放置、座席への置き忘れ、カバンの口が開いたままの移動、無施錠保管は、典型的な事故の入口です。

印刷物も端末と同じように扱う

紙に出した時点で安全になるわけではありません。
印刷物は、置き忘れ、取り違え、会議室放置、持ち帰り忘れが起きやすいため、画面と同じく管理が必要です。¹

会社ごとの差が出やすい論点

次の論点は、会社により許可範囲や手順が異なります。

USBメモリを使ってよいか
私物端末を業務に使ってよいか
共有端末や共用アカウントをどう扱うか
端末を社外へ持ち出す条件は何か
端末紛失時にどの窓口へ連絡するか

本記事では一般的な注意点だけを扱います。
実務では、自社ルールを必ず確認してください。

起こしやすい誤り

すぐ戻るからロックしない

短時間離席での未ロックは、本人が想像する以上に起きやすい事故です。
たった数分でも、画面が見える、メールが開ける、ファイルが送れる状態は避けるべきです。

認証要求を機械的に承認する

多要素認証の通知が頻繁に来ると、確認せずに押してしまうことがあります。
しかし、それが不正アクセスの突破口になる場合があります。

パスワードを伝えなければ業務が進まないと思う

急ぎの業務でも、認証情報共有を正当化してはいけません。
本来は、代替手段、申請、権限付与、正式な引き継ぎの問題として処理すべきです。

私物や便利ツールを先に使ってしまう

USB、私物端末、個人クラウド、個人メモアプリなどは、便利でも会社ルールと衝突することがあります。
「使えるか分からない」ときは、先に確認するのが正しい順番です。

日常で意識したい原則

認証情報と端末の扱いでは、次の原則を繰り返し意識してください。

認証情報は本人だけが使う
認証要求は身に覚えがあるときだけ応答する
離席前にロックする
端末や紙は、見える場所、置き忘れやすい場所に放置しない
会社差がある論点は、自己判断せず自社ルールを確認する

ミニ確認

次の問いに答えられるか確認してください。

なぜパスワード共有は避けるべきか
多要素認証の通知を受けたとき、何を確認すべきか
「すぐ戻るからロックしない」が危険なのはなぜか
USBや私物端末の扱いで、最初に取るべき行動は何か

次に読む

参考資料（出典）

ユーザー提供資料, 企画書① 全社員向け共通セキュリティ研修案（内部構想メモ）。認証情報管理、多要素認証、離席時ロック、端末持出し、USBメモリ、印刷物管理などの論点整理の元資料。 ↩ ↩² ↩³ ↩⁴

はじめに​

なぜ認証情報と端末が重要なのか​

認証情報で守るべきこと​

パスワードは本人だけが使う​

使い回しを軽く見ない​

多要素認証は「面倒な追加作業」ではない​

認証情報を画面や文章に残さない​

端末で守るべきこと​

離席時ロックを習慣にする​

のぞき見と見え方を意識する​

持ち出し時は「なくす前提」で考える​

印刷物も端末と同じように扱う​

会社ごとの差が出やすい論点​

起こしやすい誤り​

すぐ戻るからロックしない​

認証要求を機械的に承認する​

パスワードを伝えなければ業務が進まないと思う​

私物や便利ツールを先に使ってしまう​

日常で意識したい原則​

ミニ確認​

次に読む​

参考資料（出典）​

Footnotes​