パスワードを共用してはいけない理由-うんこの思い出と共に
最終更新日:2022/10/12 公開日:2017/05/29
札幌や富良野、東京とか長崎とか神奈川とかとにかくあちこちでホームページ制作のお仕事をしていると、しばしば「このシステムのパスワードはこれです」と恐らくみんなで使い回しているあろう一つのパスワードセットをぽろっと頂いたり、あるいは全員がいるチャットやメーリングリストにそれを書いてくる方がいらっしゃいます。
こういうとき、弊社では出来れば次回からはDMチャットで送って頂く事、もし可能なら(というかかなりマストで)一人一人にユニークに(個別に)アカウント(ログインするためのIDとPASSWORDのセット)を発行して貰う事をお願いしています。
アカウントは共有してはいけない、という事は一般論としては分かっている人がほとんどだと思うのですが、では、どうしてそうしなければならないのか?という事は意外と知られていません。ルールを守るのであれば、そもそも何のためにそのルールがあるのか、どういう趣旨なのか、という事がわからなければ守る方も身が入りません。
子供の頃「うんこをした後手を洗いましょう」としつけられ、ルールは一般論としては皆誰もが知っていますが、それをなぜ守らないとならないのか、守る事によってどういうメリットが、守らない事によってどういうデメリットがあるのかという事がわかれば、よりもっとちゃんと、自主的に手を洗うはずです。私はトイレに「うんこを吹く時うんこの大腸菌がトレペを通り抜けて手に沢山つくから、吹かないと不衛生でお腹を壊します」という注意書きを見て震え上がり、それ以来ちゃんと手を石けんでごしごし洗うようになりましたが、学生になってからそれは実は嘘だと知りました(分子サイズ的に紙の繊維を大腸菌が透過する事は出来ない)。今やうんこはドリルで大活躍です。
そこで、今回はどうしてうんこした後手を洗うのか、ではなく、どうしてアカウントを共有してはいけないのか、その理由についてご説明したいと思います。
簡単に言ってしまうと「自分は知らない、という事が、自分や他の人の身を守ることになる」という事です。
アカウントが何かの理由で漏洩してしまい、それでサーバーに入られてしまった場合、当然そのアカウントを誰が管理していたいのか、という話になります。すると多かれ少なかれ、その人の管理責任の話になってしまうでしょう。その時、例えば5人でそのアカウントを使い回していた場合、その5人のうちの誰かが管理に問題があった、という事になります。例え4人はしっかり守っていたとしても、一人だけルーズな管理をしていた、あるはちょっとしたケアレスミスで不幸にも外部に漏洩してしまった場合、5人全員に疑いの目が向けられることになってしまいます。つまり、そもそも一人一人がユニーク(個別)なアカウントを持つようにする、という事は結果的にいらぬ嫌疑を避けられ、自分のみならず他の人の身を守ることにつながるのです。
また、アカウントを皆で使い回していると、誰かが退職した際、その人が知っているまま外部に出ていくことになります。よっぽどの事が無い限り、退職者は古巣に意図的な悪さはしませんが(今や法律上も犯罪ですし)、私物のPCでログイン出来るようにしたままで退職後ウイルスに感染して外部に流出する、という拡散効果も当然考えられます。なので退職者が出た場合、その共有アカウントを変更削除すればまだ良いのですが、ほとんどの場合は他の全員に周知をしないとならない、またそもそも誰が知っていたのかも良く覚えていないのでその確認からして面倒(何しろユニークじゃないのでアカウントを持っている人のリストが明示的に存在していない事が多い)、またそのリスク自体を意識していないため、結局何もせずに忘れがちです。結果漏洩リスクは上がります。SSLかけて安心している場合ではありません。
ユニークなアカウントを持っていると、誰から(どこから)漏れたかが分かりやすくなります。これは単なる責任追及のためではなく、原因を把握し、有効な対策をいち早く立てる上で大変有効になります。逆に言うとアカウントが共有されていると、もし漏洩した場合、漏洩ルートを調べる事が無駄に困難さが増してしまいます。
セキュリティ上の問題が生じた場合、原因をしらべ、有効な対処をする、という事が「大至急」、秒単位で求められます。実際にはサーバーがハッキングされた場合、アカウントを使って正面玄関から堂々と進入されたのか、何かサーバーのセキュリティホールから入られたのか、という事自体の検証も大変な困難を伴います。ハッキングの証拠、原因を調べるのは、砂漠の中からダイヤを探すような困難な作業を伴う事がほとんどなのです。なので、可能な限り、余計な可能性を予め潰しておく事が重要です。この点でもアカウントの共有はNGになります。
ちなみにそういう緊急事態の際に「個人の責任」を追及したり、処分をしたり、叱責するような事をすると、関係者の協力も得られにくくなりますので、おのずと原因の解明も対策も遅れてしまいます。愚の骨頂と言えますので、そういう事は絶対にやってはいけません。
ネットの情報漏洩というのは、オンラインよりも、オフラインで漏れるケースの方がかなり高いのです。パスワードをポストイットに書いてPCに貼っていたとか、USBメモリ落としたとか、パソコン無くしたとか、基本的なミスが圧倒的に多いです。情報の漏洩のかなりの部分はシステム上のセキュリティというよりアナログな生活の中で起きています。
この手の解決策は、結局のところは地道な基本の徹底しかありません。アカウント、パスワードを共有しない、他の人に晒さない、という第一歩をまずきちんとやっていきましょう。もしスタッフの方が使い回していたら注意喚起してあげてください。そして手は勿論良く洗いましょう。札幌、首都圏のホームページ制作はこちらまでお気軽にどうぞ。
