ライフハッカー［日本版］

企業などでは、社員に定期的にアクセスパスワードの変更を要求することがあります。恐らく、複雑な規則に従って行っていることなのですが、これが裏目に出てしまう可能性も...。少なくともBoston Globeの編集者、Mark Pothier氏はそのように感じているそうです。

彼はMicrosoftのリサーチを引用し、パスワードの定期的変更などのITルールに対して、異論を述べています。以下に一部を抜粋、引用します。

ほとんどのユーザーは、理由を知らされることなく、インターネットセキュリティを厳重にするよう説明されます。そもそも、次から次へと更新されていくサイバー犯罪と戦う術を、詳細に学べない、その時間もないユーザーには、対処方法というものが限られています。

セキュリティのプロフェッショナルによると、ネット上に存在する脅威の詳細なデータは、ほとんどないとのこと。そのため、ユーザーに対して「リスクを軽減するには、対処方法はなるべく全てやってください」と言わざるを得ないのだそうです。そして、例え全てを行っても、絶対に安全とは当然言い切れません。PCのセキュリティは大きな問題ではありますが、ありえない完璧な防御を目指して、対処方法を片っ端から行うのは、時間の無駄ともいえます。

2億人のインターネットを使用しているアメリカの成人が、全体で少なくとも倍の賃金を稼いでいるとすると、一分間の賃金は、合計で160憶ドルにもなります。要するに、時間に見合うセキュリティを行うべきなのです。30分ほどで実行できる、強固なパスワードの設定、最新のセキュリティソフトのインストールを行いましょう。そして脅威を自ら招き入れるようなことをしないよう注意すれば、十分だと思います。

パスワード変更を勧めない理由としては、ハッカーなどは、パスワードが変わるのを待っていることがあるからだそうです。

米ライフハッカーでは以前に、パスワード変更を繰り返すことよりも、強固なパスワードと巧妙なバリエーションを作り、カンタンかつ、厳重なブラウザツールを使うことを（リンク先ともに英語）オススメしました。過去記事では、パスワード設定指南、米ライフハッカー推奨の「Last Pass」も紹介しているので、参照してみてください。

読者の皆様の職場では、どのようにパスワードを管理していますか？そして、その管理方法は効果的だと思いますか？PCのセキュリティに対しての考え、ご意見などありましたら、是非コメント欄に記入お願いいたします。

[Boston Globe via Gizmodo]

Kevin Purdy （原文／訳：松井亮太）

Norton Internet Security 2010