「パスワードは8文字以上で,3カ月以内に変更する」――。業務で利用しているパソコンにおける,パスワード運用の平均的な姿である。
業務に利用するパソコンで,アンチウイルス・ソフト導入やOSアップデートを怠ってはいけない。だが,それだけでも十分ではない。ソフトウエアのアップデート漏れによるウイルス感染や,重要なメールの誤送信などリスクは身近にある。システム利用者の日常的な習慣次第で,リスクは大きく増減する。
万一,重要な情報を漏らしてしまった場合,世間一般並みのセキュリティ運用を実施していたかどうかが問われることになる。世間ではどの程度のセキュリティ運用をしているのか,その実態を知っておくのは価値がある。ITproでは,2008年4月8日から4月15日にかけて「業務で利用しているパソコンの情報セキュリティ運用に関する調査」を実施した。2030人から有効回答を得た。
約半数が「3カ月以内」にパスワードを変更
まず,パスワード変更の頻度を聞いた。セキュリティ・ポリシーに変更の頻度を定めている企業も多いだろう。カード業界のセキュリティ基準「PCI DSS」(参考記事)では「ユーザー・パスワードは少なくとも90日ごとに変更する」ことを最低限,守るべき指針としている。
今回のアンケート結果では,パスワードを前回変更した時期が「1カ月以内」が26.2%,「3カ月以内」が21.1%だった(図1)。つまり,約半数の人がPCI DSSに定める90日でパスワードを変更していることになる。パスワードの定期的な変更が定着しつつある姿が読み取れる。一方,2割の人が「わからない」,1割の人が「1年以内」と回答するなど,セキュリティ運用が甘いシステムの存在も浮かび上がった。
 |
| 図1●パスワードを前回変更した時期 |
パスワードの主流は「アルファベット(小文字)+数字」
パスワードには強度がある。文字数が多いほど破られにくい。また,「最強のパスワードを作る」によれば,「\」や「%」といった記号を含めるだけで,パスワードは強くなる。そこで,パスワードの文字数とそこに使用している文字の種類を聞いてみた。
文字数は,「9文字以上」(29.6%)と「8文字」(37.2%)の合計で,7割近くに上る(図2)。以下,「7文字」(7.7%),「6文字」(11.1%),「5文字」(2.2%)と続く。文字数が少なくなるほど,回答数も減る傾向にある。つまり,パスワードは「8文字以上」が当たり前なのである。
 |
| 図2●パスワードの文字数 |
組み合わせる文字の種類で,最も多かったのは「アルファベット(小文字),数字」(37.2%)で,全体の3分の1以上を占めた(図3)。アルファベット(大文字),アルファベット(小文字),数字,記号のうち,3種類以上を組み合わせている人が全体の約4割(39.7%)もいる。最低でも2種類,できれば3種類の文字を組み合わせるのが一般的であることが分かる。ただし,強度の高い記号を組み合わせたパスワードはまだ少ない。
 |
| 図3●パスワードに使用している文字の種類 |
「添付ファイルへのパスワード設定」は約半数
 |
| 図4●メールに添付するファイルへのパスワード |
添付ファイルにパスワードを設定する人と,設定しない人の数は拮抗している(図4)。「設定している」が47.2%,「設定していない」が47.2%だった。
