設定と管理のあり方

  他人に自分のユーザアカウントを不正に利用されないようにするには、適切なパスワードの設定と管理が大切です。

  適切なパスワードの設定・管理には、以下の3つの要素があります。

安全なパスワードの設定

 安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、無関係な(文章にならない)複数の英単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

  逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。

  • (1) 自分や家族の名前、ペットの名前
    • yamada、tanaka、taro、hanako(名前)
    • 19960628、h020315(生年月日)
    • tokyo、kasumigaseki(住所)
    • 3470、1297(車のナンバー)
    • ruby、koro(ペットの名前)
  • (2) 辞書に載っているような一般的な英単語ひとつだけ
    • password、baseball、soccer、monkey、dragon
  • (3) 同じ文字の繰り返しやわかりやすい並びの文字列
    • aaaa、0000(同じ文字の組み合わせ)
    • abcd、123456、200、abc123(安易な数字や英文字の並び)
    • asdf、qwerty(キーボードの配列)
  • (4) 短すぎる文字列
    • gf、ps

  この他、電話番号や郵便番号、生年月日、社員コードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。

パスワードの保管方法

  せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要なものです。

  • パスワードは、同僚などに教えないで、秘密にすること
  • パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
  • やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること

 なお、各サービスごとに異なる充分に安全なパスワードを覚えておくのは大変なので、パスワード管理ツールやサービスの利用も一考です。もちろん、充分に信頼できる安全なツールやサービスを利用することは重要です。
 これらのツールやサービスは、マスターパスワード(覚えられる充分に安全なもの)や、利用デバイス(スマートフォンなど)のロック(生体認証など)で守る必要があります。

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

  またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

  なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

コラム ~ 生体認証とは?

生体認証バイオメトリクス認証)とは、IDパスワードの代わりに、身体的または行動的特徴を用いて個人を識別し認証する技術です。

生体認証に用いられる身体的な特徴として、指紋、顔、静脈、虹彩(瞳孔周辺の渦巻き状の文様)などが、行動的特徴として、声紋(音声)、署名(手書きのサイン)などがあります。 生体認証は、広く個人認証として用いられているパスワードによる認証やICカードによる認証と比較して、パスワードの記憶やICカードの管理が不要なため利便性が高く、また、記憶忘れや紛失によるトラブルもないという長所があります。

その一方で、生体認証の種類によっては、以下の課題があります。

  • 安定性の課題(人の成長、老化などによる身体的特徴の変化によって、認証が正しく行われないなど)
  • 秘匿性の課題(サインなどの行動的特徴を盗み見られてなりすまされるなど)
  • 識別性能の課題(双子など身体的特徴が似ている人を誤認識するなど)
  • 認証情報の変更の課題(パスワードICカードと異なり身体的特徴は、意図的に変更できないなど)

なお、これらの課題に対策を施した製品も出てきています。