厳しすぎる管理は管理してないのと同じ
谷川さんや加山さんがパスワードについて書かれてますが、この悩みは万人に共通でしょうね。一人の人が管理しなければならないパスワードや暗証のたぐいは平均でいくつくらいあるのでしょうか?自分の場合は少なくとも30個はありそうです(もっと多い人もいるでしょうね)。
全部共通にすれば楽ですが、リスクも高いので、数個のパスワードを使い分けています。ここではあんまり詳しく言えないですが、加山さんが書かれているように、英語のフレーズや歌詞の頭文字を使って覚えやすくしたパスワードを使ってます。
パスワードについて思い出すことと言えば、私がよく知る某社(^_^;)での話(大昔の話です)。当時、この会社はセキュリティに異常なほど神経質になっていました。で、情シス部門はセキュリティ強化のためにパスワードの規制を強化して、ユーザーにパスワードを自分で決めさせるのではなく、システムが選んだランダムなパスワードの使用を強制することにしました。しかも、月1回エクスパイアする設定で、毎月新しいランダムなパスワードが発行されるわけです。
こうなると何が起こるか容易に想像できますよね。こんなパスワードは誰も覚えられないですから、みんなメモ帳にパスワードを書いておいたり、付箋に書いて端末に貼ったり、ひどい時には端末に直接鉛筆で書いたりするようになってしまったわけです。会社の思惑とは裏腹に、セキュリティは大幅に悪化したと思います。
この例に限らず、どうやっても守れないような非現実的に厳しい管理を強制すると、結局、みんなそれを無視することになって、管理してないのと一緒、ないし、それより悪い状況になってしまうことはよくありますよね。ガバナンスは緩すぎても厳しすぎてもいけなくて、ちょうどよい塩梅でやるのが大事だと思います。
この件についてはもっと書きたいことありますが、続きはまた来週。