社内で、4月1日より新しい、イントラネットサービスが稼動し、各社員にIDと初期のパスワードが紙で配られました。

すぐにパスワードを変更するようにとのことだったので、初期IDとパスワードでログインし、変更をかけました。
パスワード変更後、自分のメールボックスに、下記のようなメールが来ました。

------------------
To: 私のメールアドレス
From: <管理人個人のメールアドレス>
CC: 管理人個人のメールアドレス

以下のとおりパスワードを変更しました。
▼ログイン情報
ログインID : aaaa(架空です)
パスワード : bbbbb(架空です)
-----------------

おいおい勘弁してよと思ったのですが、パスワードが平文そのままなのに、なんと(面識のある)社内の管理人にもCCで転送されているとは知らず、いつも使っている(へんてこな)パスワードにしてしまいました。
返信メールを見て初めて、パスワードがばればれ状態であることがわかり、情報モラルというか、ちょっと常識的におかしいのではないかと(私は)感じています。常識の通じない管理人に、どのようにしたら「おかしんじゃないか?」をわかってもらえるでしょうか?
よきアドバイスお願いいたします。

回答の条件
  • 1人2回まで
  • 登録:2008/04/03 09:33:17
  • 終了:2008/04/03 13:05:29

回答(8件)

id:TONTON3 No.1

TONTON3回答回数212ベストアンサー獲得回数42008/04/03 10:13:20

ポイント17pt

常識的に~ もおかしいとこはないと思いますが

会社の考え方もありますでしょうし

社員の端末は社員に貸されているので何をされてもしょうがないです。

もしあなたが休んだりいなくなったとして大事なファイルが開けないのでは大変ですし

id:cazzac

なるほど。

たしかに端末にログインするためのパスワードなら納得いかないまでもないですが(何かの場合には恐らくadminで入られるでしょうが)ネット上の掲示板へのアクセスなので・・・。

面倒だけど、オフィシャルな場面と個人の場面でパスワードを分けておこうと思いました。

2008/04/03 10:51:33
id:Gay_Yahng No.2

Gay_Yahng回答回数724ベストアンサー獲得回数262008/04/03 10:22:41

ポイント17pt

普通にセキュリティ的に問題があるのではないかと、言ってみれば良いのではないでしょうか?

そんなに管理人は意固地なんですか?

なんだったら、上司も巻き込んで問題提議してみては?

id:cazzac

至極真っ当な回答ありがとうございます。

意固地っていうほど面識があるわけではないのですが、いろんな意味でおかしいんです。この組織・・・。

私の過剰反応だったかもしれません。

上司を巻き込みたいところですが、その上司は全然パソコン使えないし。

ご回答いただいて、もういいさっという感じになってきました・・・(諦め?!)。ありがとうございました。

2008/04/03 11:00:02
id:akauo No.3

akauo回答回数43ベストアンサー獲得回数22008/04/03 11:02:57

ポイント17pt

会社イントラネットのパスワードは、質問者さんの隣席の方とかに対して情報をクローズしているだけで、管理側に対してはバレバレなのは当然と思います。質問者さんの「パスワードがばればれ状態なのがわかり、情報モラルというか・・・」というご発言部分につきましては、失礼ながらちょっとお門違いではと思いました。

もし問題があるとすると・・・

・この「管理人」のかたが、社内立場的に社内個人情報を知る立場に居ないはずの人物である

・こういった情報を、システム側の処理ではなく「メールベースで」行っている

ということでしょうか。

前者は、まさかそんなことはないと思いますがね・・・。

管理人さんにはストレートに「パスワード管理に問題がある」とお伝えするとともに、通常のパスワード認証の流れ(再入力で変更承認、メールでの通知はしないのが普通等)の例示をされることが、いいように思います。

id:cazzac

ご回答ありがとうございます。

私のパスワードに対する認識が間違っていたかもしれません。

社内でのパスワードというのは、対会社という意味においては知られて当然と思っておいたほうがよさそうですね。

例えが変ですが、洋服を見に行って、素敵なワンピースを見つけたとします。

店員さんに試着室に案内されて着替えて外に出てみたら、実はそのミラーはマジックミラーでした、ちゃんちゃんみたいな・・・。

今後は、社内のパスワードについては気をつけようと思いました(凹)。

2008/04/03 11:32:07
id:tkyktkyk No.4

tkyktkyk回答回数2183ベストアンサー獲得回数252008/04/03 11:11:05

ポイント17pt

わー、うちと同じ素敵な会社ですねえ(苦笑)

SNIFFING

パソコンのセキュリティ / 情報漏えい対策

個人情報危機管理のススメ

上記URLとかをぽんぽんぽんと管理者に送りつけて、

「危機管理能力が足らない。これではいつ情報漏洩してもおかしくない」

と伝えてみてはどうでしょう。


ただ。

管理面から言うと、リマインドのためにパスワードを平文で送付しておくのは非常に楽なのです。

というのは、PWを忘れる人は少なくないので「リマインダメール送ってるでしょ!」という方が

余計な工数を必要としないのです。

セキュリティレベルとユーザビリティ/アクセシビリティは相反しやすいもんです。

それも理解してあげてください…。


管理者にPWをCCしているのもおそらく同様の理由でしょうが、こればっかりはさすがにBccにするか、

もしくは「管理者は感知してません」とCC送付してないことを明らかにしておくべきでしょうねえ。

CCに関してはより強く抗議してみるべきではないかと思われます。

id:cazzac

ご回答ありがとうございます。

世の中には素敵な会社が他にもあるということをお知らせいただいて何よりです。

元気が出ました。

2008/04/03 11:36:15
id:y-kawaz No.5

y-kawaz回答回数1419ベストアンサー獲得回数2252008/04/03 11:18:22

ポイント17pt

まだ管理人と話し合ってはいないんですよね?

常識の通じない、というよりは常識を知らないだけだと思います。

いきなり喧嘩腰でいくのではなく、まずこの行為の何が問題なのかを説明してやれば分かってもらえないでしょうか?


>面倒だけど、オフィシャルな場面と個人の場面でパスワードを分けておこうと思いました。

それは賢明だと思います。

id:cazzac

そうですね。

何が問題なのか私自身ちゃんと整理しきれていないのですが、確かに喧嘩腰はまずいですね。

気をつけます。

それにしても、社員のパスワードって何なのかわからなくなってきました・・・。

個人のものなのか、会社のものなのか・・。う~む。

2008/04/03 11:37:47
id:oya-bin No.6

oya-bin回答回数73ベストアンサー獲得回数42008/04/03 11:43:23

ポイント17pt

結論としてはさほど問題が無いように思えます。

社内システムのパスワードという点と

それを確認する人間が限られているからです。

またメールの文面には社内システムのアドレスが見られないので

たとえ外部にこのメールが漏れたとしてもID・パスワードでは

外部の方は侵入できませんよね。さらに、社内システムということで

社内ネットワークや固定IP以外からは接続できないようになって

いるのではないでしょうか

そもそも社員のパスワードをメールに添付し

CCに管理者がついているという場合のリスクを想定してください。

どのような社内システムだわかりませんが

パスワードが管理者に伝わっているというリスクはなんですか?

個人的に機密情報が非公開の状態で載っているものなのでしょうか

おかしいというのはきちんとこの問題に対する脅威・問題点に対し

どれだけリスクがあるか検討しないと問題に成りえないと思います。

例を挙げておきますので一度検討されてみてはいかがでしょうか

・外部からの不正アクセスにつながる

・改ざん、成りすましの恐れがある

・情報の漏洩につながる

最近情報セキュリティがどんどん注目されてきてはいますが

本来の目的を見失ってどんどん過剰になったり、

間違った方向に進んでいると思います。

id:cazzac

ご回答ありがとうございます。

今回認証がかけられているページは社外からも参照可能でして、今回の件はリスクという側面より、ユーザサイドの感情(パスワードが管理者に伝わるということが事前に知らされていなかった)から湧き出た問題です。

本来の目的、、見失っていたかもしれませんね。

ユーザの利用という側面とうまくバランスが取れてるといいのですが。

2008/04/03 13:02:57
id:AZUY No.7

AZUY回答回数343ベストアンサー獲得回数122008/04/03 12:02:11

ポイント17pt

こんにちは。

>常識の通じない管理人に、どのようにしたら「おかしんじゃないか?」をわかってもらえる

>でしょうか?

パスワードの変更は1回しかできないのでしょうか?

可能なら、パスワードの変更を1時間おきに毎日続けることをおすすめします。

バスワードに、管理人の馬鹿と言う文言がアルファベットで分かるように

何回も変えてあげてください。

向こうから、なぜ頻繁にパスワードを変えるのか?と聞いてきたら、

常識的におかしいことを教えてあげましょう。

手間かかりますね。

まだ、BCCで送られてないだけマシでは(苦笑)。

id:cazzac

先ほど、他の社員に聞いてみました。

皆同様の動揺をしておりまして、結局管理者に連絡してみました。

管理者も把握しておらず、外部の業者に委託したのでその旨連絡してみますとの返答でした。

同僚の一人がAZUYさんと同じことを言っていました(笑)。

確かにBCCでなかったことがまだましでした。

2008/04/03 12:58:03
id:memo77 No.8

memo77回答回数238ベストアンサー獲得回数202008/04/03 12:31:36

ポイント17pt

質問者さん支援の意味で回答。


どうすればいいという回答ではないです。ごめんなさい。

参考アドレスは他の人が書かれているので、そのサイトを見せればいいんじゃないですかね。



管理者はパスワードをキャンセルする権限は持つべきですが、入力されたパスワードを見られるべきではありません。

管理者の身を守るためにもね。

また、パスワードは複合可能な状態で保存するべきではなく、一方向ハッシュを使って暗号化し、暗号化後に比較すべきです。


どうしても管理者がユーザーの設定したパスワードを見られるシステムを使うときは、事前にユーザーに告知すべきです。



まだ認識の甘いエンジニアも多いですし、そういうダメシステムを提案してくるベンダーも絶えません。

あと3年ぐらいすれば一般常識になるかなぁ・・・


http://www31.atwiki.jp/memo77/pages/12.html#id_ad495e82

id:cazzac

ご回答ありがとうございます。

この辺で回答を打ち切らせていただこうと思います。

2008/04/03 13:03:57
  • id:Gay_Yahng
    意外と皆さん上司や管理者がパスワードを知っているのは当たり前って思っているのですね。意外です。社員自身が厳重に管理するのが当たり前かと思っていました。
    会社にメール内容を監視されたり、貸し与えられたPCに管理者が管理者権限で入るとか言うことはあってもしょうがないかなと思いますが、個々人のパスワードは会社側が知っている必要はないと思います。

  • id:memo77
    回答されている方にも「問題ない」という人が多いのに驚きました。


    パスワードの管理はシステム一つを切り取るのではなく、「パスワードを使用するシステムすべて」を念頭において管理しなくてはなりません。
    果たしてどれだけのユーザーが、システムごとに別のパスワードを使ってくれるでしょうか。
    銀行口座や他のシステムと同じパスワードを使用してしまうユーザーも多いです。


    管理者がユーザーのパスワードを知っているということは、管理者がユーザーになりすませるということです。
    逆に言えばユーザーのアカウントでなにかまずいことを行っても、ユーザーは「管理者が成りすましたんだ」と言えば、管理者にはそうでないことを証明する必要があります。
    従って、ユーザーのためというよりも管理者のために、管理者が人のパスワードを知ることができてはいけないのです。


    管理者はパスワードをリセットでき、リセットしたことが記録に残るのが正しいシステムです。


    ユーザーのパスワード忘れには、リマインダーによる一時パスワードの発行や時間制限つきのパスワードリセットURLで対応するべきです。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません