安全なパスワード管理

  企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。

  他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。

安全なパスワードの作成

  安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。

  理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

  インターネットなどで配布されているツールの中には、パスワードクラッカーと呼ばれる機械的にパスワードを推測する機能を持つものがあります。このパスワードクラッカーには、パスワードでよく使われる単語が辞書として登録されており、この辞書に載っている単語や簡単な英数字の繰り返し(123やabc、aaaなど)を自動的に組み合わせることで、パスワードを探し出そうとします。このようなツールでパスワードを割り出されないようにするためには、推測しやすい文字列を使わないようにすることが大切です。

パスワードの保管方法

  安全なパスワードの作成だけでなく、他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう。自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう。

  なお、各サービスごとに異なる充分に安全なパスワードを覚えておくのは大変なので、パスワード管理ツールやサービスの利用も一考です。もちろん、充分に信頼できる安全なツールやサービスを利用することは重要です。
  これらのツールやサービスは、マスターパスワード(覚えられる充分に安全なもの)や、利用デバイス(スマートフォンなど)のロック(生体認証など)で守る必要があります。
  なお、利用にあたっては、企業ごとに決まりを定めていることもあるので、情報システム担当者に相談・確認しましょう。

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

  また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

  なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2)インターネットの安全・安心ハンドブック Ver 4.20 p.61
    https://www.nisc.go.jp/security-site/handbook/index.html

パスワードの活用

  現在の一般的なOSスクリーンセーバーでは、元の操作画面に復帰する際にパスワードの入力を促す設定を行うことができます。このように設定することで、離席中に不正な利用者がそのパソコンを操作することを防ぐことができるようになります。ただし、スクリーンセーバーが起動するには一定の時間が必要です。
  さらに情報セキュリティを強化するためには、離席する際にログアウトを行い、パスワードを入力してログインしなければパソコンを操作できないようにするなど、利用者が自発的にロックする方法が有効です。

パスワードの活用のイメージ