国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策情報管理担当者パスワード管理の推奨 トップページへ戻る
「企業・組織」の情報セキュリティ対策:情報管理担当者
ウイルスからの防御
ユーザー権限とユーザー認証の管理
パスワード管理の推奨
バックアップの推奨
ソーシャルエンジニアリングの対策
サーバーの設置と管理
機器障害への対策
ハッキングによる被害と対策
社員の不正による被害
廃棄するコンピュータやメディアからの情報漏洩
情報セキュリティポリシーの導入と運用方法
持ち運び可能なノートパソコンを利用する上での危険性と対策
持ち運び可能なメディアを利用する上での危険性と対策
ASP・SaaSを利用する際の情報セキュリティ対策
SQLインジェクションへの対策
パスワード管理の推奨

重要!
 社内のユーザーに対して、アクセス権限に応じた個別のユーザーアカウントを発行していたとしても、実際にそれぞれのユーザーが適切なパスワード管理を行っていなければ意味がありません。そのためには、すべてのユーザーに対して、適切なパスワードの管理方法を指導する必要があります。

 適切なパスワード管理には、以下の4つの要素があります。

■安全なパスワードの作成

 安全なパスワードとは、他人に推測されにくく、ハッキングツールなどの機械的な処理で割り出しにくいものを言います。

 安全なパスワードの作成条件としては、以下のようなものがあります。

名前などの個人情報からは推測できないこと
英単語などをそのまま使用していないこと
アルファベットと数字が混在していること
適切な長さの文字列であること
類推しやすい並び方やその安易な組み合わせにしないこと

 逆に、危険なパスワードとしては、以下のようなものがあります。

×自分や家族の名前、ペットの名前
×電話番号や郵便番号、生年月日など、他人から類推しやすい情報
×社員コード
×辞書に載っているような一般的な英単語
דaaaaa”など、同じ文字の繰り返し
×ユーザー名と同じ文字列
×短かすぎる文字列

 インターネットなどで配布されているハッキングツールの中には、機械的にパスワードを推測する機能を持つものがあります。それらのハッキングツールでは、辞書に載っている英単語や簡単な英数字の繰り返し(123やabc、aaaなど)を自動的に組み合わせることで、パスワードを探し出そうとします。このようなハッキングツールパスワードを割り出されないようにするためには、機械的に推測しやすい文字列を使わないようにすることが大切です。

■パスワードの保管方法

 せっかく安全なパスワードを設定しても、ユーザーのパスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関してユーザーに指導すべきものです。

パスワードは、同僚などに教えないで、秘密にさせること
ユーザー名パスワード電子メールでやりとりさせないこと
パスワードのメモを作ったり、ディスプレイにそのメモを貼ったりさせないこと
パスワードWebブラウザなどのソフトウェアに記憶させないこと

■パスワードの発行方法

 情報管理担当者としてユーザーにパスワードを発行する際に、以下のようにいくつか留意しなければならない点があります。

初期にパスワードを発行する際の方法の検討(メモや電子メールを使うことが妥当であるか)
ユーザーからパスワードの再発行依頼があった時の対応方法の検討

 ユーザー数が多く、初期のパスワードの伝達に電子メールやメモを使わざるを得ない場合は、ユーザーが初めてログオンした際に、サーバー側でユーザーに強制的にパスワードを変更させるということも可能なシステムが多いので、このような方法を検討しましょう。

 ユーザーからパスワードの再発行依頼があったときには、ユーザーの本人性の確認が必要になります。単に電話で問い合わせがあったから回答するというのでは、なりすましなどのソーシャルエンジニアリングが起きやすい状態であると言えます。受け付けは電子メールで、再発行は電話でという方針を取るなど、あらかじめ適切な対応方法を決めておきましょう。

■パスワードの定期的な変更

 安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。ユーザーには定期的にパスワードを変更するように指導しましょう。また定期的な変更といっても、2つか3つのパスワードをあらかじめ決めて、使いまわすのも避けるように指導した方が良いでしょう。

 初期パスワードの変更と同一の仕組みを使い、一定期間が過ぎたらサーバー側で強制的にパスワードを変更させる仕組みを導入したり、パスワードの変更の際には何回か前までのパスワードに変更できないといったサーバーパスワードの世代管理機能を導入したりすることで、ユーザーの定期的なパスワードの変更を手助けする仕組みもあります。

 パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。

他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワードが割り出されてしまうこと
仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること

 正しい管理方法をユーザーに理解してもらうとともに、ソーシャルエンジニアリングなどによるパスワード漏洩の危険性の認識を広めながら、定期的にパスワードを変更するといったルールを策定することも情報管理担当者の重要な役割です。

ディスプレイにパスワードを貼り付けている 他のユーザーにパスワードを教えている

ページ参照知識:なぜパスワードが必要なのか?
ページ参照対策:ソーシャルエンジニアリングの対策(情報管理担当者向け)

(2009年3月更新)

国民のための情報セキュリティサイトトップへ