webサイトを運用しているとどうしても必要になるのが、サーバーのパスワード。
パスワードが流出すると、簡単にwebサイトを改ざんされたり、悪質なプログラムを埋め込まれたり、被害に遭う可能性が高くなります。
どのように保管すればよいか、対応策を考えてみました。
パスワード自体の安全性
パスワード自体が推測しやすいものになっていれば、パスワードの保管方法以前に、危険性は高まります。
サーバー会社などでは、
- 8文字以上
- IDを含まない
- 小文字だけでなく大文字、数字、記号も混ぜる
というようなパスワードを推奨しています。
パスワードの保管方法
サーバーのパスワードは、申し込んだ担当者、webサイトを更新する担当者、サイトの調整をする外注業者さんなど、複数の人が利用することが多いはず。
そうなると保管方法も工夫が必要です。
アナログ
パスワードを紙に書き出しておく、最もアナログな方法。
web上での流出は起こりませんが、覗き見られたり、紙を紛失する可能性もあるので、あまりオススメ出来ません。
何より、毎回紙を見なければ行けないのは、作業効率が悪すぎます。
エクセル管理
エクセルもしくはスプレッドシートにIDとは別にパスワードを記載し、エクセル自体にもパスワードをかける方法。
Gsuiteなどでユーザーごとに閲覧権限を与えていれば、ある程度、セキュリティーは確保できそうですが、こちらも毎回コピペしなければならないので、生産性の面で問題があります。
クラウドツールを使う
LastPassやセキュリティーツール会社の出しているパスワード管理サービス。
どの端末でも利用できて便利な一方、LastPassは流出する可能性のある脆弱性で騒がれていました。
パスワードマネージャー「LastPass」に重大な脆弱性、ユーザーが行うべき3つの対策はコレ
ただ、対応も早く、ユーザーへの対応策の提示も早かったので、今でも使われています。
作業する際の生産性を考えると、クラウドツールを使うのがベスト。
ただ、そのパスワードマネージャーの脆弱性情報は、常にチェックが必要です。
最善策はどれ
各管理方法とも、一長一短なので、会社やチームの体制によって、どれがベストか考えるべきです。
作業効率を重視すると、
クラウドツールで管理
+
クラウドツールへのログインは2段階認証
+
サーバーへのログイン履歴を定期的にチェック
+
怪しい動きがあったらパスワード変更
+
複雑なパスワード
というのがベストかと思われます。
まとめ
サーバーのパスワードは、一度流出して、改ざん用のプログラムを仕込まれたりすると、復旧作業にかかる工数と費用は、かなりのものになります。
ちょっとした手間でも、改ざんされるリスクは減らせるので、パスワードの管理も工夫しておきましょう。
コメント