半月前ほど前に埼玉県の老人ホームで元職員による殺害事件というニュースがありましたが、施錠されて外部からは容易に立ち入ることができないはずなのに侵入したと新聞で目にし、おそらく暗証番号が設置当時の設定のままだったのだろうなと考えていたところ、続報でまさにその通りでした。
暗証番号方式で運用する場合、この番号を知っている全員が施錠可能なため、一定期間経過後や退職者が出た際などの適切なタイミングで変更をしないでいると、今回の事件のように組織を離れた人に対しては意味のセキュリティ対策になってしまうし、口頭やメモなどによる部外者への漏洩も容易な脆弱性を回避できません。今回のケースと同様に長期間同じ暗証番号が使われて、退職者の発生に応じてまめに設定変更を行っているところはそれほど多くはないでしょう。
最近では暗証番号を入力するタイプではなく、磁気ストライプ式カードやICカード・NFCカードといったタイプのカードを使った方式が増えているように思いますが、こういった物理的なキーを必要とする仕組みであれば、退職などのタイミングでカードを確実に回収することで今回のようなリスクを回避可能になります。
IT関連のシステムでもこれと同様にシステムの利用者に対してユーザーアカウントとパスワードなどの認証情報を発行してセキュリティ管理を行う機会が数多くあります。利用者に対してそれぞれ個別の認証情報を付与するのが一般的ですが、運用上その他の要因でアカウントとパスワードを共有にして利用者全員が同じアカウントとパスワードを使用することも皆無ではありません。あるいは複数のアカウントを用意するにしても、例えばUse01、User02….と特定個人に紐づかない形で設定し、それぞれを特定の利用者に割り当てるといった方法もあり得ます。
もちろんこういった運用は推奨できませんが、サーバーその他のシステムのセキュリティ設定に関して必要なスキルを持った運用管理担当者を置けない組織では、こうった簡易な方法で運用せざるを得ないことがあります。特にコロナ禍以降にテレワークの一般化が進み、リモートアクセスVPNで認証設定にユーザーアカウントとパスワードの組み合わせを使用している場合、この観点で運用の見直しを行ったほうがよいでしょう。VPNの接続アカウントが共用されている場合は、必要がなくなった利用者や退職者で出た時点でパスワードを変更しておかないと、組織外からリモート接続可能な状態になってしまい、セキュリティ的に大きな穴が開いてしまいます。
また、利用者に対して個別にアカウントとパスワードを発行しているのであれば、利用終了・退職のタイミングでアカウントの削除や無効化が必要になります。ファイルサーバーや業務システムなどについてもリモートアクセスのアカウント管理と同様にパスワードの変更やアカウントの削除・無効化しなければなりません。
2025年11月