「全員同じパスワード」の事務所が今すぐやるべきこと——士業のパスワード管理の現実
- 4月28日
- 読了時間: 2分
士業事務所のIT整備を支援していると、パスワードの管理状況に話が及ぶ場面で必ず「まずい状態」に遭遇します。事務所の共有アカウントを全員で使い回している。パスワードをExcelにまとめて共有フォルダに置いている。所長が全アカウントのパスワードを知っているが誰も他に知らない——それぞれに別の問題があります。
「使い回し」がなぜ危ないか
同じパスワードを複数のサービスで使い回している場合、どこか1つのサービスでパスワードが漏洩した瞬間に、他のすべてのサービスへの不正アクセスのリスクが生まれます。これを「パスワードリスト攻撃」と言います。「身に覚えのないログイン記録がある」という相談の多くはこのパターンです。
「所長しかパスワードを知らない」問題
所長が急病で連絡が取れなくなったとき、事務所のシステムにアクセスできる人間が誰もいなくなります。クラウドの書類が取り出せない。期限のある申請業務が止まる。情報漏洩とは逆方向のリスクですが、実害という観点では同じくらい深刻です。
今すぐできる対策
多要素認証(MFA)の全員設定——Microsoft 365の管理者画面から全ユーザーへの強制適用が数分でできます。追加費用不要。これが現在使えるセキュリティ対策の中で最もコストパフォーマンスが高いものの一つです。
パスワードマネージャーの導入——パスワードマネージャーツールを使えば、各サービスに複雑で異なるパスワードを設定しつつ、職員は1つのマスターパスワードだけを覚えておけます。退職時にはアカウントを削除するだけでアクセスが切れます。
緊急時用の鍵管理ルール——重要なアカウント情報を封書や金庫に「緊急時のみ開封」という形で保管することも現実的な解決策です。
「ルールを決めるだけ」では機能しない
「複雑なパスワードを使ってください」とメールで通知しても実態は変わりません。管理者権限から設定を強制する、技術的に簡単なパスワードを登録できない状態にする——仕組みで管理することが現実的です。
行政書士事務所では、士業の情報セキュリティについて、技術面、運用面からサポートしています。いつでもご相談ください。
▶ 士業向けIT・セキュリティ整備サービス
行政書士事務所みまもり / セキュリティ研究者・デジタルフォレンジックエンジニア 成田 浩志
