質問
持ち出しパソコンに限らず、全ネットワーク接続パソコンは半年ごとにパスワードを変更しています。ところが担当者は「忙しい」などと言ってなかなかやらないので「監査人(私は情シスから離れて今は内部監査の仕事をしています)の立場から×をつけました」そうしたらあわてて「1月に行います」と返答してきました。本来は10月に行わないといけないので「遅すぎる!」と文句を言っています。
半年ごとに変更する根拠は特にありません。私は「1年に1回でいい」といったのですが担当者は「3か月に1回行う」というので、やってみたら「やっぱり作業が大変なので半年にする」となっただけです。
「不定期に変更する」というのもありでしょう。サーバから強制的に「180日でパスワードを無効にする」という方法もあります。そのあたりは自分の会社の様子から適当に決めればよいと思います。
回答でなくてすみません
持ち出しPCはパスワードの変更を行なっていません
変更して機密性が向上するか、とは思えないからです
それよりもパスワードの機会を増やす事(BIOSやHDDやWindows)、パスワードの桁数を増やす事、さらに盗まれた場合を想定し、暗号化や初期化ソフトを用いる事で対処しています
機密性向上を望むシステム管理者、可用性向上を望むユーザー
このバランスをイイカンジにしないと独りよがりな管理となりかねません
システムに頼るか、規則に頼るか、人に頼るか。いつも悩む事であります
こんにちは。
過去に携わった業務で考えますと、短いケースでは30日、長いところでも180日で変更していました。
45日、60日、90日の3つが多かったと思います。
人の出入り(入退社)が多い会社、持ち出しPCが多い会社、個人情報等の秘匿性の高い情報を扱う会社は、概して短くしているケースが多かったです。
逆に、そこまで短くしなくても、といった意識のある会社は90日や180日といった眺めにしているケースが多かったです。
「たま屋」さんが仰っているように「独りよがりな管理」とならないように、社内のキーマンとなる方とコンセンサスをとって、会社方針として進めて頂いた方がいいです。
大抵の場合、パスワード更新を設けたり、変更期間を短くすると、「めんどくさくなった」、「そんな手間のかかることする必要はないだろ!」という苦情がでてしまいますので。
頑張ってください!
状況がよくわからないので、外していたらごめんなさい。
共用PCが何台か保管してあり、一時的な利用のために、随時貸し出す
ということであれば、定期的じゃなくて、貸し出す都度に変更すべきだと思います。Aさんに貸し出したのに、そのPCのパスワードを以前に借りたBさんが知っているって、あり得ないと思います。
そうじゃなくて、客先常駐などのために、長期間貸し出すということなら、
貸し出す都度の変更に加えて、社内の通常のPCと同じサイクルで変更してもらえばいいかと。
個人的には、定期的なパスワードの変更というルールは無意味だと思いますけど。
質問
客先など社外に持ち出す共有PCを管理しており、今までは
PCのパスワードを定期的に変更していなかったのですが、
今後は変更していくことになりました。
そこで持出し用PCのパスワードを定期的に変更して
いる方がいましたら、その周期とその周期に決めた
根拠(あれば)を教えて頂けないでしょうか。
参考にさせて頂こうかと思います。