GOLD PLAN加入企業が100件を突破しました!

Nipoに関するセキュリティ・ガイドラインについて

security アイキャッチ
この記事は約5分で読めます。

クラウドシステムを安全に使う心得-一般編-

システムは便利ですが、使い方を間違えると大変なことになるリスクも秘めています。システムの種類によって、気をつけなければならない点はさまざまです。では、Nipoはどうでしょうか?

Nipo=日報を作成し、クラウド(Webサーバ)上に保管するシステム

PCで作成した日報を、タブレットやスマートフォンから読んだり、コメントを付けたりできるのは、この「クラウド」のおかげです。

大変便利な仕組みですが、Nipoを使う上でユーザが気をつけなければならない点もあります。
このページでは、Nipoを使う上で気をつけるべきセキュリティガイドラインをご紹介します。

*Nipo自体が行っているセキュリティ対策についてはこちらを御覧ください

ログイン用のパスワードは推測されないものを使って下さい

Nipoのログインパスワードは、今の時代からすると制約が(かなり)ゆるい方です。最小文字数が6文字で、文字種による制限はありません。

そのため、「password」や「123456」といった容易に推測されてしまうパスワードが利用できてしまいます。

しかし、容易なパスワードの使用は絶対に止めて下さい。最低でも8文字以上で、できれば文字と数字を組み合わせたパスワードがおすすめです。

通常、Nipoは一度ログインすると次回以降は自動ログインとなります。そのため、パスワードの入力頻度は低く、ログインの手間はかかりませんので、強固なパスワードを設定しましょう。

パスワードを考えるのが大変であれば、パスワード生成をしてくれるサイトを使ってみるのも一つの手です

パスワードの再利用はダメっ!ゼッタイ

パスワードの再利用はダメです

IPA-情報処理推進機構 パスワード-もっと強くキミを守りたい-
画像出展:独立行政法人IPA
出典元URL:https://www.ipa.go.jp/security/keihatsu/munekyun-pw/

いまは様々なサービスで、それぞれにパスワードを要求されますNipoも例にもれず、あなたを識別するためにメールアドレスを使い、あなたであることを確認するためにパスワードを要求します。

パスワードを覚えきるのが無理なので、共通のパスワードを使う気持ちは痛いほどわかります。ですがリスクが増大するだけなので本当にやめた方がいいです。

「でもサービスごとにパスワードを変えると覚えきれないよっ」

あなただけにわかるルールを追加しましょう。例えば、サービス名の頭文字をパスワードの末尾に1文字付与するだけでも、十分安全性が高まるんです。

例:あなたが覚えている基本的なパスワードを、「iHaveAPen」としましょう。Nipoや、Googleアカウントなどすべてのパスワードを「iHaveAPen」にすることは最悪です。

少し頭をひねって、例えばパスワードの末尾にサービス名の頭文字を付してみましょう。

Nipoの場合・・・iHaveAPenn

Googleの場合・・・iHaveAPeng

Facebookの場合・・・iHaveAPenf

各種サービスの先頭1文字を、パスワードのお尻に追加してみました。パスワードの一部は使いまわしですが、1文字でも違うとパスワードははじかれます。

更に技術的なお話をすると、Nipoに限らず多くのサービスでは、パスワードは暗号化されて保存されます。暗号化前のパスワードが1文字でも違うと、暗号後のパスワードは全く別物に変わります。そのため、1文字違いだから「おしいっ」とか「近いっ」といったHintは一切ありません。たった1文字違うだけで、全く別の暗号文が生成されます。

公共の端末からログインしたら、必ずログアウトして下さい

例えば漫画喫茶や図書館など、誰でも使えるコンピュータからNipoにログインすることができます。これら公共の端末は、あなた以外の人も使えるため、注意が必要です。

基本的には、公共の端末からログインはしないほうが良いでしょう。やむを得ずログインした場合は、作業終了後、必ずログアウトをして下さい

 

Nipoのセキュリティを安全に保つために必ず一読して下さい

以下は、クラウドシステムの中でも、Nipoに限ったセキュリティ対策です。

退職したメンバーはグループから追放して下さい

会社を去ったメンバーがNipoを使用している場合、退職後も日報を読める可能性があります。特にグループモードが「パブリック」の場合は、全員の日報を読むことができます。

会社の業務報告が、全てダダ漏れの状態になってしまうので、グループから追放して下さい。

*グループから追放しても、作成した日報はそのまま残ります

グループのパスワードは定期的にシャッフルして下さい

日報の安全性は、グループという壁が守ります。グループに参加するためには、グループ固有のIDと、グループのパスワードが必要です。逆に言えばこの2つがわかれば、グループに参加することが可能です。

グループIDは固有のため、変更することができません。

そのかわりに、グループのパスワードを変更しましょう。パスワードは1クリックするだけで、8桁のランダムなパスワードが自動適用されます。そのパスワードを見ることができるのは管理者だけです。

では、パスワードのシャッフルはどの程度の頻度で行うべきでしょうか?

まず、Nipoを利用していたスタッフが退職した場合、上記の「メンバー追放」と併せてパスワードのシャッフルも行って下さい。

それ以外では、1ヶ月に1回程度、シャッフルをすると良いでしょう。

グループの招待用QRコードは必要時以外掲示しないで下さい

QRコードは、グループのIDとグループのパスワードが書かれています。

人間の目では判読できませんが、一般的なQRコードスキャナーを使ってスキャンしてみて下さい。

グループのIDとパスワードが表示されるはずです。

このQRコードがあれば、グループに参加することができてしまいます。そのため、QRコードはメンバーを招待するとき以外、表示しないようにしてください

コメント