第2章:アカウント/端末/認証(MFA/パスワード/セッション)
この章で学ぶこと
- アカウントは本人性と操作追跡の基盤である
- MFA/パスワード/セッションの最低限の守り方を理解する
- 端末管理(更新/ロック/紛失時対応)を運用に落とす
成果物(または判断基準)
- アカウント運用の最小ルール(MFA必須、共有禁止など)
- 付録チェックリストに組み込める観点(チェックリスト集)
本文
認証が弱いと、技術対策の多くが無効化される。まず侵入経路を減らし、不正操作の追跡を可能にする。
最小の考え方
- MFA: 可能な限り必須(管理者権限は特に)
- パスワード: 使い回し禁止、管理ツール利用
- セッション: 端末共有禁止、ログアウト/失効の理解
- 端末: OS/ブラウザ更新、画面ロック、紛失時の連絡手順
具体例(悪い例→良い例)
悪い例
共有アカウントでログインし、MFAは無効
端末更新は後回し
良い例
個人アカウントで運用し、MFAを有効化
端末更新と画面ロックを徹底
監査ログで操作が追える状態にする
チェックリスト
- MFAが有効
- 共有アカウントを使っていない
- 端末更新/ロックの運用がある
- 監査ログで追跡可能
まとめ
- 共有アカウントを避け、個人アカウント + MFA を前提に運用する
- セッション管理(ログアウト/失効)と端末運用(更新/ロック/紛失時対応)を最小ルールとして整備する
次章への接続
- 次章: 第3章