ホーム企業・組織の対策社員・職員全般の情報セキュリティ対策 > 安全なパスワード管理


安全なパスワード管理

  企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。

  他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。

安全なパスワードの作成

  安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。
  安全なパスワードの作成条件としては、以下のようなものがあります。

  • (1) 名前などの個人情報からは推測できないこと
  • (2) 英単語などをそのまま使用していないこと
  • (3) アルファベットと数字が混在していること
  • (4) 適切な長さの文字列であること
  • (5) 類推しやすい並び方やその安易な組合せにしないこと

  インターネットなどで配布されているツールの中には、パスワードクラッカーと呼ばれる機械的にパスワードを推測する機能を持つものがあります。このパスワードクラッカーには、パスワードでよく使われる単語が辞書として登録されており、この辞書に載っている単語や簡単な英数字の繰り返し(123やabc、aaaなど)を自動的に組み合わせることで、パスワードを探し出そうとします。このようなツールでパスワードを割り出されないようにするためには、推測しやすい文字列を使わないようにすることが大切です。

パスワードの保管方法

  安全なパスワードの作成だけでなく、他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう。自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう。

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

  また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

  なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

パスワードの活用

  現在の一般的なOSスクリーンセーバーでは、元の操作画面に復帰する際にパスワードの入力を促す設定を行うことができます。このように設定することで、離席中に不正な利用者がそのパソコンを操作することを防ぐことができるようになります。ただし、スクリーンセーバーが起動するには一定の時間が必要です。
  さらに情報セキュリティを強化するためには、離席する際にログアウトを行い、パスワードを入力してログインしなければパソコンを操作できないようにするなど、利用者が自発的にロックする方法が有効です。