米TruSecureによると、強力なネットワークログインパスワードを発行するよりも、ユーザーのデスクトップ上で、パスワード保護のかかるスクリーンセーバを動かした方が、不正アクセスに対する保護能力は高まる場合が多いという。
同社によれば、企業は高価なセキュリティ対策を導入しているが、実はそうした対策が、組織の脆弱性を低減するとの謳い文句とは裏腹に、かえって脆弱性を高めてしまっているため、結局お金の無駄遣いになっているという。
TruSecureの主任アナリスト、Jay HeiserがZDNet UKに語ったところでは、不正アクセスの大半は組織のなかで起っており、これはユーザーが自分のデスクトップを保護せずに離席してしまうからだという。
「ログイン済みの端末の前に座れば、そのユーザーのファイルを次々に開いたり、電子メールを送信したり、メールの内容を読むこともできてしまう。社内では、パスワード保護のかかるスクリーンセーバを起動して画面をロックするのが、最も効果的な対策だ」(Heiser)
さらにHeiserによると、ユーザーに長く複雑なパスワードを渡すと、それをどこかに書き留める確率が高まるという。
「ユーザーはパスワードを付箋に書いて、モニタの横やキーボードの下に貼ってしまう」(Heiser)
調査によると、社員が自分のパスワードを忘れ、社内のヘルプデスクに問い合わせると、企業のコスト負担が大幅に上昇するという。今年初めに調査会社の米Meta Groupが行った試算では、こうした問い合わせには1件あたり25ドル(15ポンド)のコストが発生するという。
Heiserによると、パスワードが複雑であれ単純であれ、Web上にはそれを解読するためのツールが氾濫しているため、アクセス権の強化にはトークンやスマートカードのようなハードウェアを使うのが賢明な方法だという。
「ハードウェアなら盗まれれば分かるが、パスワードでは盗まれたことさえ分からない」(Heiser)
Heiserはまた、事後対応であって事前対応でないという理由で、アンチウイルスの定義ファイルを毎日更新する習慣も一蹴した。
「アンチウイルスの定義ファイル更新は、毎日でも毎月でも大差ない。ウイルス対抗ソフトウェアはバンドエイドのようなもので、その最適化に多くの時間や労力を投入する価値はない。低コストでリスクを低減する方法はほかにいくらでもある」(Heiser)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス