「パスワード定期変更」の廃止と、MFA(多要素認証)強制への移行
導入前の課題(摩擦のピーク)
情報システム部門が「90日ごとのパスワード変更」を全社員に強制(システム上のシキ)していました。 その結果、社員はパスワードを変えるたびに「Summer2024!」「Autumn2024!」と安易な連番をつけるか、付箋に書いてモニターの裏に貼る(最悪のセキュリティホール)ようになりました。さらに、ログインできなくなった社員からの「パスワードリセット依頼」で、情シス部門の工数の10%が毎月奪われていました(巨大な組織的摩擦)。
アルゴリズム化された「余白生成」へのアプローチ
-
「定期変更ルールの廃止(無駄なシキの撤廃)」 NIST(米国国立標準技術研究所)や総務省の最新ガイドラインに則り、「パスワード漏洩の事実がない限り、定期変更は要求しない」という新しい社内ルールを制定。社員の「パスワードを考える・覚える」という無駄な認知負荷を削除します。
-
MFA(多要素認証)の全社強制(真のパイプライン防御) パスワード変更を免除する代わりに、全社システム(Google Workspace、Microsoft 365など)のログインにおいて、スマホアプリ(Authenticator)や指紋・顔認証等の「多要素認証(MFA)」を必須化します。これにより「パスワードが万が一漏れても、物理デバイスがないと入れない」状態(極めて強固な定位置)を作ります。
削除された摩擦と、創出された余白
| 項目 | 導入前(摩擦) | 導入後(余白) | | :--- | :--- | :--- | | 社員の認知負荷 | 3ヶ月に一度、以前使ったものと被らない文字列をひねり出す | 最低15桁の「パスフレーズ」を一度作れば、二度と変えなくて良い | | 情シスの問い合わせ | 月初の月曜朝にパスワード忘れの問い合わせが殺到 | リセット依頼が激減(ほぼゼロに) | | 実質的な安全性 | 人間が覚えやすい安易なパスワードが横行 | MFAという「本人にしか突破できない壁」による強固な防御 |
ROI(投資対効果)
「人間を信用し、人間に努力させる」という性弱説に基づく自己矛盾のルール(バグ)を廃止し、「機械(スマホや生体認証)に確認させる」システムへ移行しました。
全社員(仮に500名)が3ヶ月に1回、パスワード変更とログインし直しに費やしていた「1人10分×500人=約80時間の全社的無駄」が年間で320時間(約2人月分)消滅。情シスの対応コストも消え、それでいて「パスワードリスト攻撃」のリスクはMFAによって劇的に低下するという、利便性と安全性が同時に向上する最高のROIを叩き出します。