情報セキュリティ・ポリシーの整備が進み,パスワードの定期的な変更を義務付ける会社が増えてきた。その一方で,業務アプリケーションやバッチ・ファイルに接続先サーバーのアカウントを埋め込んでいる場合も数多くある。こうしたアカウントもセキュリティ・ポリシーに従って,定期的にパスワードを変更しなければならない。 だが,「変更できる設計ではない」「変更作業のためには長時間業務停止しなければならない」などの理由で実質例外扱いされている場合が多い(図1)。しかし,これは危険な行為だ。 犯人の特定が困難になる セキュリティの観点からは埋め込まれたアカウントも通常の利用者用アカウントも区別は無い。むしろパスワードが変更されずに使用される埋め込みアカウントは,攻撃の対象として狙われやすい。 また,アカウントを記述したプログラムを複数システムで使った場合,その複数システムで同じアカウントで動作する状態になってしま