2017/05/04
サイバーセキュリティの最弱リンクを強化する 2 つの方法
CompTIA の最近の調査によると、セキュリティ違反の原因として多いのは、テクノロジの脆弱性よりも人的ミスであるようです。最高のセキュリティソリューションであっても、人的ミスによって、無為になりかねません。テクノロジ主導の分野では、基礎的な教育によって、データ漏えいにつながる可能性のある、人間によるミス、見落とし、怠慢に対処できるという事実を忘れてしまいがちです。ウォッチガードの情報セキュリティ脅威アナリスト、Marc Laliberte が Help Net Security の記事で、社員教育によってセキュリティの大幅な向上が可能になる 2 つの分野、すなわち、パスワード保護とフィッシング詐欺について説明しています。一般論として、強力なセキュリティ対策を実施するのと同時に、セキュリティポリシーが複雑過ぎないようにする必要があります。ポリシーが複雑で業務に支障をきたすようになると、従業員がそれを迂回しようと考えるためです。
Marc の記事の中から、強力なパスワードの使用を従業員に促す方法の説明を抜粋してご紹介します。
一部のポリシーと保護を適切な方法で緩和することでパスワードセキュリティが強化される可能性がある、とする意見があります。米国国立標準技術研究所(NIST)が最近、新しい「Digital Identity Guidelines」文書の草案を発表しましたが、複雑な覚えにくいパスワードが必要となるパスワード作成ルールには反対し、長くても覚えやすい、TVBrainsHurtEverything や SometimesDoggyOthersChair といったパスフレーズを企業が従業員に対して推奨するよう提案しています。
詳細は Help Net Security の Marc の記事(英文)をお読みください。
カテゴリー:
セキュリティニュース