ローコード開発の記事
ARTICLEシステムのテスト環境用パスワードに要注意!|組織の中心でセキュリティをさけぶ Vol.1
上記は、よくあるやり取りかもしれませんが、セキュリティ上の問題について考えたいと思います。
なぜテスト用のパスワードを簡単に扱うの?
実はニュースになる不正アクセス事案の中にはテスト用システムの被害事例を見ることがありますし、テスト用のパスワードをIDと同じにする、いわゆるJoeアカウント事例※をみかけてヒヤリとすることもあります。
ログインIDと同一のパスワードを設定した状態。パスワードがIDと同一であるため簡単に突破されやすく最も脆弱なパスワード設定例とされる。
テスト用のシステムも重要
テスト用だから問題ない
「重要情報は含んでいない。」「不正アクセスが起きても被害がない。」
だから「大丈夫だ」と考えていませんか?
システムのテスト用環境とは
テスト用の環境とは、そもそも本番のシステム環境を再現したシステムです。
テスト用データに本番データを使用していなかったとしても、システム上のソースコードや提供機能、処理フロー等は本番同様です。重要情報が含まれるため、テスト環境への不正アクセスは本番環境の技術的な情報の搾取や、資材・コンテンツの改ざんなど本番環境に対する脅威につながります。
したがって、テスト環境は保護すべき重要な対象であり、そのアクセスに使用されるテスト用のIDやパスワードは決して簡便に扱うべきではないのです。
確かに、アクセス制御(IPアドレス制限等)が実施され厳格に管理されたテスト環境であれば、利便性のためにテスト用パスワードを簡便にしてもいいのではないか、という視点はあると思います。ただし、昨今の脅威に対しては多層防御の考えに基づく対策がパスワード以外に適切に実施され、パスワードが突破される可能性が相対的に低いと評価できてはじめて言えることです。
まとめ
このように、本来は適切なリスク評価の結果に基づいて判断されるべきことが、
「テスト用だから簡便でもよい」という短絡的な判断につながっている点は大きなリスクでしかありません。
一事が万事。
テスト用のパスワードを簡便に扱う行動は、本番用に対しても同様に扱っている
可能性を示唆します。
テスト用だからと適切にリスク評価した結果に基づく意図的な設定を行なっている人がはたしてどれほどいるでしょうか。
「一事が万事。テスト用のパスワードであってもしっかり守ろう。」
(参考)「最悪のパスワード」ランキング、6年連続で「123456」が1位
パスワードの作り方について詳しくは「最悪のパスワードにするとどうなる?そのリスクと正しい作り方」をご一読ください。
