• 締切済み

会社のPマークやISMSの安全対策でのパスワード管理について

会社でPマークの事務局の仕事をしています。 安全対策の利用者ID管理書で、PCの利用者IDとパスワードは、システム責任者が管理するようにと書いてあります。 個々の利用しているPCの利用者IDの管理はよいと思いますが、パスワードまで、システム責任者に通知すべきことがよいことでしょうか?。 情報管理の行き過ぎではないかと思っています。ISMSやPマークでの安全管理に詳しい方、ご教授下さい。

みんなの回答

  • LEG147
  • ベストアンサー率60% (31/51)
回答No.2

管理という意味が異なるのではないでしょうか。 利用者IDについては、「いつ・誰に・どのようなIDを発行したか」を 適切に管理し、複数ユーザが使い廻ししないよう管理したり、また、 退職者などのIDを削除することが必要です。 ただ、パスワードについては、その内容を管理者が知っては意味が ありません。パスワードの管理とは、利用者ID発行時の初期パスワード 設定や、パスワードロック時の解除、ポリシーに則った更新期間内に 更新できなかったIDの初期化などが管理項目です。 パスワードの中身知ってしまうと、統制が利きませんので、止めた 方が得策と思います。

friskjp
質問者

お礼

回答ありがとうございます。 私も利用者IDに関しては管理すべきことと思っていますが、パスワードを管理することには疑問に感じています。 ご意見ありがとうございました。

  • norakuma
  • ベストアンサー率29% (293/977)
回答No.1

ISMS審査員補です。 やりすぎっていえばやりすぎですが、そういうこともあったりします。 ただ、その場合、本当に利用者が操作したかどうかがわかりづらくなりますけど、その対策はしてますか?というのが気になるところです。 ID/PWの組み合わせは利用者本人しかしらないということであれば、 ある操作を行ったのが本人ということができますが、本人以外が 知っている場合、必ず、そのシステム責任者も可能性の範囲に 入れる必要が出てくるからです。 あとは、パスワードの変更都度連絡するのであれば、その手段とかに 興味が向きます。 ・メールで連絡してませんよねー?とか。

friskjp
質問者

お礼

早々の回答有難うございます。 パスワードの重要性から、慎重にすべきと思っています。当社のシステム責任者は、プロキシのログをチェックしており、私のインターネット閲覧もチェックしているみたいです。そして、それを社内の親しい人に話しているようです。セキュリティ記事を読んでいて、システム担当者による漏えいも多いと書いてあるので、当社の情報システム部員も信用してよいのやらという気持ちになります。 システム責任者に対してのチェック(内部牽制)の仕組みも必要なのではと思います。 これも見られている可能性大ですね。

  1. カテゴリ
  2. ビジネス・キャリア
  3. 経営情報システム

関連するQ&A

  • Pマーク取得の際の社内設備について

    Pマーク取得の際の社内設備について Pマーク取得を考えています。 事務所の引越し後に行う予定なのですが、PCIDSSと異なりISMSやPマークは具体的な詳細記述がない事もあり 下記、事務所(本社)設備で取得の際、大丈夫なのか、問題ないか教えて下さい。 1.無線LAN環境 2.コードレス電話 3.入退室記録のための出入り口のセキュリティロックシステム 上記の中でPマークで絶対に必要、逆に絶対にあってはならない、望ましくないものを教えて下さい。 ISMS(ISO27001)のケースでもどうなのか教えていただけると幸いです。 よろしくお願いします。

  • プライバシーマーク(Pマーク)について

    下記のご質問にお答え頂けますでしょうか。 ご回答よろしくお願いいたします。 1.企業が個人情報を漏洩させてしまうとその事業者が「6カ月の懲役もしくは30万円の罰金」が課せられますが、Pマークを取得している企業が個人情報を漏洩させてしまうと懲役の年数・罰金の金額は軽減されるのでしょうか? Pマークを取得している企業は法的に守られるので、例え個人情報を漏洩させてしまっても罰則が軽減されると聞いたことがありますので。。 2.近年で個人情報を漏洩させて問題になった企業(有名な企業)を教えてください。又、その企業が罰せられた内容も教えてください 3.PマークとISMSの対象ついて Pマークは企業全体が対象で、ISMSはその企業の部署単位で取得可能ですが、審査時に対象となるのは、その部署のメンバーが企業全体の情報資産の管理をしていることを示さなければいけないでしょうか。もし、企業内で複数の部署がISMSを取得していれば、その企業の情報資産の管理が分担されるから部署毎の負担も減るものなのでしょうか? 対象がよく分かりません。。

  • パスワードの管理について

     うちの会社ではシステムの種類が多く、IDやパスワードの管理に困っています。中高年の比率が高いので、パソコンになれてない方が多いのもネックになっています。こういう場合の安全で効率的な複数のパスワード等の管理方法を知っている方がいれば教えてください。

  • たくさんのパスワード、どう管理していますか?

    ネットを利用する様になってID・パスワードの数が格段に増えてしまいました。 ネットバンキング・クレジットカード・プロバイダ・ヤフー・ネットショッピング・そして教えてgooなどなどどこもかしこもID・パスワードだらけです… そこで皆さんはIDやパスワード、どうやって管理していますか? 私は(ネットショップとか特にあまり利用しないサイトのは)いちいち覚えきれないし、紙に書いて管理するのも面倒だし、PCに記憶させるのも無用心だと思うので、パスワードは3つほど常に記憶しておくのを考えてそれに優先順位をつけて使いまわしています。 皆さんはID・PASSの管理、どうされていますか?

  • パスワード管理ソフトの安全性について

    パスワード管理ソフトを使用する際 ・オンラインオフラインを問わず、他人から情報を読み取られる危険性はないか ・データの完全削除は可能か(コンピュータに残らないか) ・提供元に確実な信頼性があるか など、セキュリティ面で不安に思うことがいくつかあります。 多数の方が使用しているツールなので大丈夫だろうとは思うのですが、何故安全と言えるのか、一般PC使用者にもわかるように教えていただきたいです。 ちなみに私は現在、シマンテック社のノートンパスワードマネージャーでパスワード管理をしていますが、ウィンドウでIDとパスワードを目視確認できなかったり、入力による直接登録ができなかったり、同一サイトで複数IDは登録できなかったり、IE以外のブラウザ(Lunascape)では作動しなかったり、何かと不便です。 余計なポップアップが出ない、ノートンのフォーム自動入力機能は重宝しているので、単純にID、パスワード、シリアルキー等を記憶するだけのソフトを併用しようかと考えています。 これは効率の悪いことでしょうか? シマンテックという名前だけで安全性を信じ使っていますが、他に安全性を約束してくれる高機能な製品があれば、併用ではなく切り替えをした方がいいのでしょうか。 回答・アドバイスどちらでも構いませんのでよろしくお願いします。

  • パスワード管理について

    現在パスワードの管理を会社で考えています。 使いたい方法としては、 協力会社へ何かIDやパスワードを伝えて作業してもらう際に、 実際のパスワードではなく、安全な方法で伝えたいのです。 なにかいいソフトや方法があれば教えてください。 宜しくお願いいたします。

  • 安全にIDとパスワードを一括管理するソフトのお勧めありますか?

    HPのサイトやネットバンク・証券会社とIDとパスワードがたくさん有りすぎて管理に困っています。 今は、IDだけメールで自分に送って検索するようにしているのですが全部パスワードは一緒にしていることから何かの拍子でメールが盗まれてしまったら困ります。 そこで、安全にIDとパスワードを管理するソフトでお勧めがあれば教えて下さい。

  • IDとパスワードの管理はどのようにしていますか?

    こんにちは。 最近のサイトでは、IDやパスワードを入力しなければならないところが多いと思います。 そしてよく、「パスワードを定期的に変更してください」といわれますが、とても無意味な文字や数字の羅列を憶えることができません。 そこであるパスワードの管理ソフトで自動的にIDとパスワードを入力できるソフトを利用していましたが、最近なぜか使えなくなりました。 IDとパスワードは、あらかじめメモしていたのですが、同じようなIDとパスワードを長期に使っています。また一つ一つノートを参照しながらIDとパスワードを入力するのは、キーボードを利用するのでセキュリティー上、疑問があります。 そこで、何かお勧めのIDとパスワードを管理できるソフトがあれば、ご推薦をお願いします。

  • パスワードなどの大事な情報はどうやって管理してる?

    パスワードなどの大事な情報はどうやって管理してますか? 銀行にログインする際のパスワード、ID、暗証番号や 教えてgooなどの情報をエクセル上で管理してパスワードをかけてるのですが、 もしパソコンを盗まれて、パスワード解析ツールを使われたらバレちゃいますよね? データで管理したいのですがどのような管理方法が一番安全なのでしょうか?

  • ID・パスワードの管理について

    twitterやgmail、ここOKWaveなど、IDやパスワードの管理についてです。 パスワードなどはよく、記憶することが一番だといいますが、1つや2つならまだしも 20も超えれば、いちいち記憶何かしていられません。 定期的にパスワードを変更もしますし… 管理方法も、それぞれ長所と短所がありますよね? 一例を挙げると、 ○記憶による管理 長所:流出の心配が無に等しい  短所:忘れたときに思いだすことができるか ○文字として残す 長所:気軽に見る・書き留めることができる 短所:気軽に見れることから、他人に見られるリスクもある ○パスワード管理ソフト・アプリでの管理 長所:安全度が高い(一概には言えませんが) 短所:何らかの原因でPCや携帯などのデータ自体が消失・流出したとき などありますよね。 まあ短所を言えばキリがないのですがね… ここで質問です。 皆さんは各サイト等のIDやパスワード等はどうやって管理していますか? ちなみに私はロボフォームで管理しています。 ご回答お待ちしています。 こんなのがおすすめだという回答もお待ちしています。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する