どれほど頑張っても、ユーザーは(そして時々はIT部門さえも)比較的簡単に対処できるセキュリティ上の問題を見過ごしてしまう。この記事では、読者が見過ごしている問題を修正するのに役立ててもらうため、10の避けられるセキュリティ上のミスを紹介する。
1.弱いパスワードを使っている
かつて、「password」というパスワードを使うことが、ハッカーやその他の悪人の裏をかく必勝法だと考えられていた時代もあった。そんなに馬鹿げたパスワードを使う人などいないはずだ、という考えの裏をかこうというわけだ。今ではこのパスワードのまずさを理解している人が多いが、社会的な交わりが多くなった現在でも、依然として多くのユーザーが、同じくらいまずいパスワードを使っている。例えば、せいぜい工夫をして、自分が結婚した年と、一番上の子どものミドルネームを組み合わせてパスワードを作ったとしよう。このどちらも、Facebookやそのほかの手段で入手することができる。強いパスワード作成方針を持つ組織でさえ、ユーザーがそのルールの裏をかこうとすれば、選び方がまずいパスワードによって苦しむ可能性がある。
対処法:パスワード中に分かりやすいパターンを使わない。複数のものを混ぜ合わせる。数字の1を感嘆符にし、8を&にするといった風に、文字を置き換える。パスワードに変化を多く持たせるほど、クラックするのは難しくなる。組織のパスワード作成方針を作る際には、パスワードに複数の文字セットを使うことを義務づけるのがよいだろう。
2.パスワードを変更しない
わたしはこれを実際に何度も見ている。ずっと同じパスワードを使い、複数のサイトで同じパスワードを使っている人は、クラックされる可能性がより高くなる。パスワード変更が義務づけられている組織でさえ、一部の人は定期的にパスワードを変えるのを避ける方法を見つけようとする。例えば以前、ドメイン管理者の権限を持つわたしの部下が、その組織のパスワード変更方針が自分に適用されないようにしていたこともあった。この部下には懲戒処分を与え(後から思えば、この部下はアクセス権の乱用で解雇すべきだった)、方針に従わせた。もちろん、このような状況は例外的だろうが、同じあるいは非常に似たパスワードを複数のサイトで使っており、パスワードの期限が切れると1文字だけ変えるという人は多いはずだ。
対処法:ユーザーに対して、強いパスワードの重要性と、頻繁なパスワード変更が必要不可欠であることを教育する。方針の一部として、サードパーティーツールを使って、パスワードの再設定時に似たパスワードを許さないようにし、より強いパスワードが作成されるようにすることを考えるべきだろう。
3.アンチウイルス・アンチマルウェアソフトをインストールしていない
これは当たり前のことだ。自分の環境で何らかのアンチウイルスソフトを使っていなければ、それは間違っている。最高のファイアウォールがあったとしても、多層化セキュリティの概念を適用すべきだ。ファイアウォールが捕まえきれなかったものは、アンチウイルスソフトで処理できる。
対処法:今すぐ、アンチマルウェアソフトをインストールすること。