意外と知らない適切な管理方法!パスワードの管理方法と注意点とは

この記事は約12分で読めます。

ITシステム、ソフトウェア、サービス、アプリケーションなどの利用においてIDとパスワードによる認証は非常に一般的な手法です。しかしながら、IDとパスワードが適切に管理ができていない場合、サイバー犯罪者などに悪用されるケースが報告されています。パスワードが悪用されてしまった場合には、対象のシステムにもよるものの、業務の停止金銭的な被害などにつながりえます。パスワードの管理は、セキュリティ上の重要事項とも言えるものです。 

パスワードの管理については、パスワードそのものの複雑性の確保、定期的な更新、利用する対象ごとにパスワードを変えるなどの様々な方法がこれまでも広められてきました。しかし、時流に合わない方法も含まれているため最新の管理方法を確認しておく必要があります。また、パスワードを描いた付箋がパソコンに張られているといった管理状況も聞かれ、問題視されています。 

企業や組織にとって、IDとパスワードの管理は重要性が高まるセキュリティ対策です。本記事では、パスワードの管理方法、注意点、パスワード流出によるセキュリティインシデントの対応策などを紹介します。 

また、企業のセキュリティ対策を担当している方へ。LRMでは、現役セキュリティコンサル作成のセキュリティチェックシートを無料で配布しています。 

パスワードの管理とは

パスワードは、企業や組織内の情報資産へのアクセスの可否を決める重要な情報です。その他にも各種のITシステムやサービス、ソフトウェアやアプリケーションを利用する際にも、パスワードを利用した認証の仕組みは一般的によく取り入れられています。 

アカウントID(ログインID)やメールアドレスと組み合わせて利用される形が多いのですが、アカウントIDとパスワードの両方が他者に知られてしまうと悪用されてしまう可能性もあります。第三者からアカウントを不正利用されないためには、推測されにくいパスワードを設定し、他人の目に触れない場所に保管することが大切です。 

総務省の「国民のための情報セキュリティサイト」の「安全なパスワード管理」ページ内に、具体的なパスワード管理の方法について紹介されているので、一度、目を通しておくと良いでしょう。独立行政法人情報処理推進機構(IPA)の「パスワードと安全な付き合い方を優しくご紹介!」もパスワード管理の基本を学ぶのに適したサイトです。 

安全なパスワードの作成

パスワード管理の最も基本的な施策が、安全なパスワードを作成することです。他人から推測されにくい安全なパスワードを作るためのポイントとして、下記の5点が挙げられます。 

  • 名前や生年月日などの個人情報からは推測できないこと 
  • 英単語、日本語の単語のローマ字表記などをそのまま使用していないこと 
  • アルファベットと数字が混在していること(可能であればアルファベットは大文字と小文字が混在し、記号も使われている方が良い) 
  • 適切な長さの文字列であること(長ければ長いほど安全性を高めやすい) 
  • 類推しやすい並び方やその安易な組合せにしないこと 

まずは上記の5点を心がけてパスワードを作成しましょう。

インターネット上には、パスワードを解析する「パスワードクラッカー」と呼ばれるソフトウェアが無料で公開されています。パスワードクラッカーには、大量の有名な単語を辞書のように記録しており、それらの単語とパスワードが照合するまで繰り返し比較したり、数字やアルファベットの組み合わせを総当たりで自動的に組み合わせて照合させたりする機能を持つものがあります。

もしパスワードとして単純な文字列が設定されていると、パスワードクラッカーによって簡単に類推されてしまうため注意が必要です

利用するITシステムやソフトウェア、Webサービスなどによっては初期パスワードを自動生成してくれる場合もあります。この自動生成されたパスワードについては、上記の5点のポイントの条件に当てはまるかを確認しておきましょう。もし当てはまらないような場合には類推しやすいパスワードとなっていますので、新たなパスワードを作成して利用してください。 

パスワードの適切な保管

パスワードの作成後、重要となるのが保管・管理です。安全なパスワードを作成しても、他人に知られてしまったら意味がありません。パスワードを管理するには、他人に知られないように、かつ自分でも忘れないような管理が大事です。 

複雑なパスワードを作成し、自分でもそのパスワードを忘れないようにメモに記録した場合は、そのメモを厳重に保管しなければなりません。WordファイルやExcelファイルなどのデータでパスワードを管理する場合は、そのファイル自体にもパスワードをかけることが重要です。 

作成したパスワードを紙のメモに記録したり、データに記録したりする場合は、記録されたパスワードへのアクセスを制限させるための対策を忘れないようにしましょう。電子メールやチャットによるパスワードのやり取りは、情報の流出につながりえるため避けます。 

パスワードの定期的な変更は不要、使いまわしはしないこと

過去にはセキュリティ対策としてパスワードの定期的な変更が推奨されていたことがありました。しかし現在では、パスワードの漏えいが疑われる以外は、定期的なパスワードの変更は不要とされています。 

大切なことは、パスワードの定期的な変更ではなく、機器やサービス間で同じパスワードを使いまわさず、固有のパスワードを設定することです。 

このことは、2017年に米国国立標準技術研究所(NIST)からのガイドラインからも示されています。また日本においても、総務省の国民のためのサイバーセキュリティサイトにて、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。 

パスワード管理PCへの安易なログイン防止

企業や組織においては、パスワードは一つのPCに集約して管理する場合もあります。また、各従業員が個別にパスワードを自分のPC上で管理するケースもあるでしょう。 

このパスワードを管理しているPCなどには、第三者が不正に操作できないよう、必ず端末やOSのログインにもパスワードをかけておきます。安易にログインできないようにしておくことで、パスワード流出の被害を防ぐことが可能です。 

具体的には、OSのスクリーンセーバーの解除にパスワードの入力を要求させたり、ちょっとした離席時でもパソコンをロック状態にしたりするなどの対策が有効です。通りすがりで情報が盗み見られるショルダーハックという手口への対策ともなります。

紙でパスワードを管理する場合は

紙でパスワードを管理する方法は、パソコンの中にデータとして保管する方法と比べて、消失の心配が少ないメリットがあります。またパソコン内にデータとしてパスワードを保管する方法と組み合わせて二重に管理すれば、万が一、紙かパソコンのどちらかの情報が失われてしまっても、復元可能というメリットもあります。 

一方で、管理している紙にアクセスできればパスワードが漏れてしまうため、従来の物理的な窃盗などには弱いデメリットもあります。パスワードがかかれた紙が誰でもみれる状態では、パスワードのセキュリティ効果は期待できません。 

パスワードを紙で管理する場合、ノートやカードホルダー、メモ帳などに記録することになります。これらの書類は金庫や鍵をかけられる引き出しに入れて保管させることが必須です。また、書類へのアクセスには制限をかけ、必要な相手に必要な場合にのみ開示するようコントロールします。 

管理しているパスワードを使用する際の注意事項

管理しているパスワードを実際に使用する時には、いくつかの注意事項があります。一つずつポイントを確認していきましょう。 

パスワードを使用するWebサイトの正当性を確認

パスワードの入力が促されているのがWebサイトの場合、Webサイトが正当なものかどうかは確認の必要なポイントの一つです。いわゆるフィッシングと呼ばれるサイバー犯罪の手口では、偽のサイトが用意されており、そこから情報の略取を行います。 

例えば、本物のネットバンクの見た目に良く似せてある不正なWebサイトにアクセスしている状態で、そのネットバンクのパスワードを入力してしまうと、そのパスワードが盗まれることがあります。 

メールやショートメール、SNSなどのリンクからWebサイトに誘導していることが多いため注意が必要です。 

偽サイトの見分け方は複数存在しますが、代表的なチェックポイントには下記が挙げられます。 

  • URLのドメインは正しいものか 
  • 過去に利用したなど身に覚えのあるWebサイト、サービスか 
  • Webサイトの日本語に不自然な点はないか 
  • 不必要にパスワードや個人情報の入力を促す内容でないか 
  • URLはWeb上で注意喚起がなされているものではないか 
  • https(SSL認証)は利用されているか 

パスワードの窃取に注意 

パスワードはサイバー犯罪者から様々な方法で狙われており、窃取されないよう気をつける必要があります。 

人前や外出先などでパスワードを入力する際には、周囲や背後から第三者が覗き見していないかどうか確認しましょう。このような覗き見は「ショルダーハッキング」と呼ばれるサイバー攻撃として知られています。テレワークなどで外でパソコンやスマホを利用する機会が増えている場合には、注意が必要です。 

またメールや電話などで知らない人から連絡が来て、パスワードの入力を促されたり、パスワードを伝えたりするように要求されたときは要注意です。基本的にメールや電話でパスワードを要求されることはありえないと思っていて構いません。 

電話でパスワードを聞き出す手口はソーシャルエンジニアリングの一種で古くから存在するものです。管理者を装った電話などは疑ってみる必要があります。 

メールからWebサイトに誘導し、パスワードの入力を促す攻撃はフィッシングと呼ばれる手法です。フィッシング対策協議会の緊急情報などの注意喚起をチェックし、フィッシング対策を行います。 

最近では、IDとパスワードを保存してWebサイトにアクセスすると、自動的に入力されている状態になるパスワードマネージャ―などのブラウザの機能、ツールなどもありますが、できる限りそのような機能は使わない方が好ましいです。多少面倒でも、IDとパスワードはブラウザには保存せず、毎回手動で入力する方が安全です。パソコンやスマートフォンを紛失した場合や盗難に遭った場合に被害が広がる要因ともなり得ます。 

パソコンやスマートフォンには不要なソフトウェア、アプリをインストールしないように注意することも重要です。インターネット上から入手したソフトウェアには、キー入力を外部に送信するキーロガーと呼ばれる悪意のあるソフトウェアを混入しているケースもあります。 

パスワードの使いまわしは厳禁 

安全なパスワードを作ろうとした場合は、覚えにくく複雑なパスワードになりがちです。しかし、だからといって、同じパスワードを使いまわすのは厳禁です。 

サイバー攻撃の中には「パスワードリスト攻撃」と呼ばれるものがあります。これは何らかのWebサービスやアプリケーションから流出したアカウント情報を使って、別のWebサービスやアプリケーションへの不正ログインを試みる手法です。 

例えばAというサービスのアカウントのパスワードが流出して攻撃者に知られてしまった場合、その攻撃者が流出したパスワードを使って、Bというサービスのアカウントの不正ログインを試みたとしましょう。この時、ユーザがAとBで同じパスワードを使いまわしていると、サービスBの不正ログインが成功してしまいます。 

このようなパスワードリスト攻撃による被害は実際に発生しています。アカウントの不正ログインを防ぐためにも、同じパスワードを使いまわすことは絶対に避けましょう。 

パスワードの流出は、利用者が窃取される場合Webサービスやアプリケーションの運営者が情報を流出させてしまう場合がありえます。そして、パスワードリスト攻撃はこのいずれに対しても利用される可能性があります。たとえ個人がパスワードが流出しないように気を付けていても、他の理由でパスワードが漏れる可能性は防げません。その場合にパスワードを使いまわしていなければ、さらなる被害を防ぐことが可能です。 

パスワード管理が不要なワンタイムパスワードの採用も増えている

従来のIDとパスワードの組み合わせではなく、ワンタイムパスワードと呼ばれる使い捨てのパスワードを利用した認証を採用するWebサービスも増えてきました。ワンタイムパスワードとは一定時間ごとに変更されるパスワードのことです。

名前の通り一度利用した後はそのワンタイムパスワードは破棄され、次に利用する際には新たにワンタイムパスワードを発行します。パスワードを都度作成するため流出を防げる仕組みです。 

このワンタイムパスワードはネットバンクなどでよく採用されています。ユーザは予め入手してある、スマートフォンアプリやトークンと呼ばれる専用の機器を使って、必要なときに都度パスワードを生成して入力します。

また認証が必要なWebサービスのログイン時に、予め登録してあるメールアドレスや電話番号のSMS宛に、第二のパスワードを送信して、パスワードを二重化しているWebサービスもあります。

ワンタイムパスワードパスワードの二重化は、ユーザの利便性を多少損なうことになっていますが、セキュリティ対策上では、従来のIDとパスワードのみによるログインよりは堅牢です。特にネットバンクなどお金を扱うような重要なWebサービスにおいては、面倒くさがらずに積極的に活用すべき機能と言えるでしょう。

二重認証の導入 

先の項目で触れたワンタイムパスワードやパスワードの二重化に加え、生体認証やカード認証を組み合わせてセキュリティ性能を高めることが可能です。 

生体認証は人間の指紋や網膜、虹彩、顔などの身体的な特徴などを利用した認証技術です。スマートフォンやパソコンにも指紋認証用のセンサーがつけられていたり、付属のカメラを利用して顔認証なども利用しやすくなっています。 

また、ICチップを埋め込んだカードやタグでの認証、電話番号やコンピュータの機器固有の番号を利用した認証などをパスワードと組み合わせて利用することでもセキュリティ性能を高めることができます。 

これらの二重認証は仕組みの導入が必要であり、コストがかかります。パスワードを提供する側となった場合には、サービスにどれだけのセキュリティ性能が必要とされるかを整理し、コストとのつり合いをとって導入を図りましょう。 

まとめ

パスワードを作成する際には、類推されづらい一定の複雑さを持ったパスワードを設定し、使いまわしをしないことが基本です。また、パスワードの管理においては外部からの攻撃、のぞき見や内部不正など様々な危険性を考慮する必要があります。近年普及が進むワンタイムパスワードやパスワードの二重化などは、セキュリティ性能を高めるものですので積極的に活用するとよいでしょう。 

また、弊社では今知っておくべき身近なサイバー攻撃10選を無料でご用意しております。全項目に概要から対策・事例までついて、読むだけでセキュリティ対策になること請け負いです。ぜひ本記事と併せてご活用ください!

情報セキュリティ対策組織体制・ルールの構築
タイトルとURLをコピーしました