「複雑なパスワードより、スクリーンセーバが効果大」：米セキュリティ企業

　米TruSecureによると、強力なネットワークログインパスワードを発行するよりも、ユーザーのデスクトップ上で、パスワード保護のかかるスクリーンセーバを動かした方が、不正アクセスに対する保護能力は高まる場合が多いという。

　同社によれば、企業は高価なセキュリティ対策を導入しているが、実はそうした対策が、組織の脆弱性を低減するとの謳い文句とは裏腹に、かえって脆弱性を高めてしまっているため、結局お金の無駄遣いになっているという。

　TruSecureの主任アナリスト、Jay HeiserがZDNet UKに語ったところでは、不正アクセスの大半は組織のなかで起っており、これはユーザーが自分のデスクトップを保護せずに離席してしまうからだという。

　「ログイン済みの端末の前に座れば、そのユーザーのファイルを次々に開いたり、電子メールを送信したり、メールの内容を読むこともできてしまう。社内では、パスワード保護のかかるスクリーンセーバを起動して画面をロックするのが、最も効果的な対策だ」（Heiser）

　さらにHeiserによると、ユーザーに長く複雑なパスワードを渡すと、それをどこかに書き留める確率が高まるという。

　「ユーザーはパスワードを付箋に書いて、モニタの横やキーボードの下に貼ってしまう」（Heiser）

　調査によると、社員が自分のパスワードを忘れ、社内のヘルプデスクに問い合わせると、企業のコスト負担が大幅に上昇するという。今年初めに調査会社の米Meta Groupが行った試算では、こうした問い合わせには1件あたり25ドル（15ポンド）のコストが発生するという。

　Heiserによると、パスワードが複雑であれ単純であれ、Web上にはそれを解読するためのツールが氾濫しているため、アクセス権の強化にはトークンやスマートカードのようなハードウェアを使うのが賢明な方法だという。

　「ハードウェアなら盗まれれば分かるが、パスワードでは盗まれたことさえ分からない」（Heiser）

　Heiserはまた、事後対応であって事前対応でないという理由で、アンチウイルスの定義ファイルを毎日更新する習慣も一蹴した。

　 「アンチウイルスの定義ファイル更新は、毎日でも毎月でも大差ない。ウイルス対抗ソフトウェアはバンドエイドのようなもので、その最適化に多くの時間や労力を投入する価値はない。低コストでリスクを低減する方法はほかにいくらでもある」（Heiser）