「パスワードは90日ごとの変更」が義務づけられる！？ ＠ ITpro

システム運用側としては興味深い記事なのですが、こういった取り組みはここに取り上げられているPCIDSSのセキュリティ基準だけではなく、既に日本でも色々うるさく言われだしている話題です。

こういったセキュリティ基準をどのように利用者に徹底させるかという取り組みに対しては、システム的な取り組みと業務ルールにおいての取り組みの双方が必要になります。

前者のシステムの取り組みは、後者のルールを補完する意味合いでしかないために、まずはどのようなルール設定をしてユーザーに守らされるかと、その基準を明文化しておくことが重要になります。

ただ、システムにおける取り組みはシステムそのもの制限がつきまといます。

例えば、この記事に書かれている要件8.5.xの決まりごとは、Windows OSだと（グループポリシーで）対応できますが、Linuxなどその他のシステムを利用している場合少なくとも何らかのセキュリティ管理用のS/Wを導入しなくてはなりません。

利用者側の視点から経てば、これらの制限と言うものはさほど負担にはなりません。

90日でパスワードを変更する、しかも数世代前のパスワードは使用禁止ということであれば、自分の情報は自分で守ろうという意識からかそこまで億劫になることはないでしょう。

ただ、システム管理者側の視点に立てばこれらのセキュリティ基準は煩わしいもの以外の何者でもありません。

パスワードの変更だけでも、システムに与える影響などを考えれば遠慮しがちになっている場合が多いですし、共有アカウント禁止ともなると（そもそもrootはどうなんだろう・・・）、アカウントの管理が煩雑になるとこれまた遠慮したい事項になります。

ただルールが整備されているだけではユーザーは多くの場合、守ろうとしませんからシステムによる補助は必要不可欠な状態です。

現状だと、これらはトレードオフで何かをルールで縛り、ある意味逃げの一手を打っている場合が多いですが、こういった基準が厳格化されればシステム運用者の負担と言うものはかなり大きいものが出てくると思います。

ただ、システム上の制限と業務ルールの制限、どちらが負担が大きいかというと後者の方です。

これは、例えばこういう運用管理をする場合には、こういったフローをとりなさいというものです。

その中には、承認フローが出てきたり、紙に残すと言う記録のフローが入ったりとシステム管理者にとっては、非生産的に思えるような業務ルールがそこに舞い込んできてしまうためです。

今まで、ピッとカードをかざすだけで入れた部屋が、まず目的を書いた申請書を出して、承認を得て、入退室の際にはまた記録を取られて・・・、と10分の作業にその何倍もの時間がかかってしまいます。

結局のところシステムと言う人を幸せにするための仕組みが、結局のところそこまで便利に働かないという状況を作り出してしまっているのは、なんとも皮肉に見えてしまいますが。