意外と知らない適切な管理方法!パスワードの管理方法と注意点とは

この記事は約7分で読めます。

パスワードの管理が不適切だと、Webサービスなどに不正アクセスされて情報が盗まれたり、金銭的な被害にあったりする可能性が発生します。そうならないためにも適切なパスワード管理が必要不可欠です。この記事では、パスワード管理の具体的な方法と、その注意点について詳しく解説します。

また、弊社では、多くの方に情報セキュリティの最新情勢を知り、備えていただくために、今知っておくべき身近なサイバー攻撃10選を無料でご用意しております。こちらも併せてご活用ください!

パスワードの管理とは

パスワードは、企業や組織内の情報資産へのアクセスの可否を決める重要な情報です。第三者からアカウントを不正利用されないためには、推測されにくいパスワードを設定し、他人の目に触れない場所に保管することが大切です。

総務省の「国民のための情報セキュリティサイト」の「安全なパスワード管理」ページ内に、具体的なパスワード管理の方法について紹介されているので、一度、目を通しておくと良いでしょう。

安全なパスワードの作成

他人から推測されにくい安全なパスワードを作るためのポイントは、以下の5点です。

  1. 名前などの個人情報からは推測できないこと
  2. 英単語などをそのまま使用していないこと
  3. アルファベットと数字が混在していること
  4. 適切な長さの文字列であること
  5. 類推しやすい並び方やその安易な組合せにしないこと

まずは上記の5点を心がけてパスワードを作成しましょう。

インターネット上には、パスワードを解析する「パスワードクラッカー」と呼ばれるソフトウェアが無料で公開されています。パスワードクラッカーには、大量の有名な単語を辞書のように記録しており、それらの単語とパスワードが照合するまで繰り返し比較したり、数字やアルファベットの組み合わせを総当たりで自動的に組み合わせて照合させたりする機能を持つものがあります。

もしパスワードとして単純な文字列が設定されていると、パスワードクラッカーによって簡単に類推されてしまうため注意が必要です

パスワードの適切な保管

たとえ安全なパスワードを作成しても、他人に知られてしまったら意味がありません。パスワードを管理するには、他人に知られないように、かつ自分でも忘れないような管理が大事です

複雑なパスワードを作成したとき、自分でもそのパスワードを忘れないようにメモに記録したときは、そのメモを厳重に保管しなければなりません。WordファイルやExcelファイルなどのデータでパスワードを管理する場合は、そのデータ自体にもパスワードをかけることが重要です

作成したパスワードを紙のメモに記録したり、データに記録したりする場合は、記録されたパスワードへのアクセスを制限させるための対策を忘れないようにしましょう。

パスワードの使いまわし停止

安全なパスワードは覚えにくい複雑なものになりがちです。しかしだからといって、同じパスワードを使いまわすのは厳禁です。

サイバー攻撃の中には「パスワードリスト攻撃」と呼ばれるものがあります。これは何らかのWebサービスやアプリケーションから流出したアカウント情報を使って、別のWebサービスやアプリケーションへの不正ログインを試みる手法です。

例えばAというサービスのアカウントのパスワードが流出して攻撃者に知られてしまった場合、その攻撃者が流出したパスワードを使って、Bというサービスのアカウントの不正ログインを試みたとしましょう。この時、ユーザがAとBで同じパスワードを使いまわしていると、サービスBの不正ログインが成功してしまいます。

このようなパスワードリスト攻撃による被害は実際に発生しています。アカウントの不正ログインを防ぐためにも、同じパスワードを使いまわすことは絶対に避けましょう

また、そのほかにも身近に起こりうる、知っておきたいサイバー攻撃をまとめた資料はこちら

パスワードの定期的な変更は不要

過去にはセキュリティ対策としてパスワードの定期的な変更が推奨されていたことがありました。しかし現在では、パスワードの漏えいが疑われる以外は、定期的なパスワードの変更は不要とされています。

大切なことは、パスワードの定期的な変更ではなく、機器やサービス間で同じパスワードを使いまわさず、固有のパスワードを設定することです

このことは、2017年に米国国立標準技術研究所(NIST)からのガイドラインからも示されています。また日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

PCへの安易なログイン防止

パスワードを管理しているPCなどには、第三者が不正に操作しないように、必ずパスワードをかけて安易にログインできないようにしましょう。

具体的には、OSのスクリーンセーバーの解除にパスワードの入力を要求させたり、ちょっとした離席時でもパソコンをロック状態にしたりするなどの対策が有効です。

紙でパスワードを管理する場合は

紙でパスワードを管理する方法は、パソコンの中にデータとして保管する方法と比べて、消失の心配が少ないメリットがあります。またパソコン内にデータとしてパスワードを保管する方法と組み合わせて二重に管理すれば、万が一、紙かパソコンのどちらかの情報が失われてしまっても、復元できます。

パスワードを紙で管理する場合、ノートやカードホルダー、メモ帳などに記録することになりますが、これらは金庫や鍵をかけられる引き出しに入れて保管させることが必須です

管理しているパスワードを使用する際の注意事項

管理しているパスワードを実際に使用する時には、いくつかの注意事項があります。

まずパスワードの入力が促されているWebサイトが正当なものであるか確認しましょう。例えば本物のネットバンクの見た目に良く似せてある不正なWebサイトにアクセスしている状態で、そのネットバンクのパスワードを入力してしまうと、そのパスワードが盗まれることがあります。

なお、パスワードの入力の際には、周囲や背後から第三者が覗き見していないかどうか確認しましょう。このような覗き見のことは「ショルダーハッキング」と呼ばれるサイバー攻撃として知られています。

またメールや電話などで知らない人から連絡が来て、パスワードの入力を促されたり、パスワードを伝えたりするように要求されたときは要注意です。基本的にメールや電話でパスワードを要求されることは、ありえないと思っていて良いでしょう。

最近では、IDとパスワードを保存してWebサイトにアクセスすると、自動的に入力されている状態になるブラウザの機能もありますが、できる限りそのような機能は使わない方が好ましいでしょう。多少面倒でも、IDとパスワードはブラウザには保存せず、毎回手動で入力させた方が安全です。

パスワード管理が不要なワンタイムパスワードの採用も増えている

従来のIDとパスワードの組み合わせではなく、ワンタイムパスワードと呼ばれる使い捨てのパスワードを利用した認証を採用するWebサービスも増えてきました。ワンタイムパスワードとは一定時間ごとに変更されるパスワードのことです。

このワンタイムパスワードはネットバンクなどでよく採用されています。ユーザは予め入手してある、スマートフォンアプリやトークンと呼ばれる専用の機器を使って、必要なときに都度パスワードを生成して入力します。

また認証が必要なWebサービスのログイン時に、予め登録してあるメールアドレスや電話番号のSMS宛に、第二のパスワードを送信して、パスワードを二重化しているWebサービスもあります。

ワンタイムパスワードパスワードの二重化は、ユーザの利便性を多少損なうことになっていますが、セキュリティ対策上では、従来のIDとパスワードのみによるログインよりは堅牢です。特にネットバンクなどお金を扱うような重要なWebサービスにおいては、面倒くさがらずに積極的に活用すべき機能と言えるでしょう。

まとめ

この記事では適切なパスワード管理の方法について紹介してきました。IDとパスワードによる認証は古くから使われているため、適切なパスワード管理の大切さも良く知られています。どれも基本的なことですが、セキュリティ対策としてはとても効果的です。この記事に書いている内容を参考にして、適切なパスワード管理を始めましょう。

また、弊社では今知っておくべき身近なサイバー攻撃10選を無料でご用意しております。全項目に概要から対策・事例までついて、読むだけでセキュリティ対策になること請け負いです。ぜひ本記事と併せてご活用ください!

情報セキュリティ対策組織体制・ルールの構築
タイトルとURLをコピーしました