ユーザ自らがパスワードを変更できないシステムについて(2)

ユーザ自らがパスワードを変更できないシステムがあった場合、監査人としてはどのように助言すればよいでしょうか。最も良いのは、「ユーザ自らがパスワードを変更できる機能を実装する」ように助言することです。

しかし、「相応の費用がかかる。」や「システム更新を予定しており、今更費用をかけて実装できない。」という意見も多く聞きます。
その場合は代替案を検討します。例えば、
1 ユーザにシステム部門に出向いてもらい、①システム管理者がパスワード画面を開き、②ユーザ自らでパスワードを入力してもらう（この時、システム管理者は画面を見ない）。
2 ユーザに他のシステム（ユーザのプライベートで使用しているシステムも含む）とは異なるパスワードを入力するよう助言する。
3 アクセスログをモニタリングし、通常とは異なる接続元の場合はアラートを通知する。
4 パスワード管理台帳のような台帳があった場合は破棄する（パスワード忘れの場合はシステム管理者による強制変更で対応する）
といった方法が考えられます。

上述の①については、ユーザの拠点がシステム部門と離れている場合は難しいですが、某病院で助言しました。別拠点に勤務する職員もいらっしゃいましたが、出張時に対応頂くなど、少々時間をかけましたが対象システムが取り扱う情報の重要性を鑑み、ご納得いただき対応いただいた事例となります。