国民のための
サイバーセキュリティサイト

ご意見・ご提案

国民のための
サイバーセキュリティサイト

安全なパスワードの設定・管理

企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。

他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。

安全なパスワードの設定

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。

理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。

近年では、スマートフォンやWebブラウザの標準機能として、パスワード生成機能があるものもありますので、そういったものをうまく活用しましょう。

逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。

(1) IDと同じ文字列

(2) 自分や家族の名前、電話番号、生年月日

  • yamada、tanaka、taro、hanako(名前)
  • 09011112222(電話番号)
  • 19960628、h020315(生年月日)
  • tokyo、kasumigaseki(住所)
  • 3470、1297(車のナンバー)

(3) 辞書に載っているような一般的な英単語ひとつだけ

  • password、baseball、soccer、monkey、dragon

(4) 同じ文字の繰り返しやわかりやすい並びの文字列

  • aaaa、0000(同じ文字の組み合わせ)
  • abcd、123456、200、abc123(安易な数字や英文字の並び)
  • asdf、qwerty(キーボードの配列)

(5) 短すぎる文字列

  • gf
  • ps

この他、電話番号や郵便番号、社員コードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。

また、組織の情報セキュリティポリシーパスワードポリシーが定められている場合もあります。その場合は上記の注意点と合わせて情報セキュリティポリシーに則るようにパスワードを作成しましょう。

パスワードの保管方法

せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要です。

  • パスワードは、同僚等の第三者に教えずに、秘密にすること
  • パスワードを電子メールでやりとりしないこと
  • パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
  • やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること

なお、各サービスごとに異なる充分に安全なパスワードを覚えておくのは大変なので、パスワードを覚える必要のない、パスワード管理ツールを使うことも推奨されます。スマートフォンやWebブラウザ標準機能、あるいは専用のアプリケーションのパスワード保存機能を活用しましょう。
これらのツールやサービスは、マスターパスワード(覚えられる充分に安全なもの)や、利用デバイス(スマートフォンなど)のロック(生体認証など)で守る必要があります。

なお、利用にあたっては、企業ごとに決まりを定めていることもあるので、情報システム担当者に相談・確認しましょう。

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

パスワードはできる限り、複数のサービスで使い回さないようにしましょう。サービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

  1. NIST SP800-63B(電子的認証に関するガイドライン)
  2. インターネットの安全・安心ハンドブック Ver 5.00 p.114(別タブで開く)

パスワードの活用

現在の一般的なOSスクリーンセーバーでは、元の操作画面に復帰する際にパスワードの入力を促す設定を行うことができます。このように設定することで、離席中に不正な利用者がそのパソコンを操作することを防ぐことができるようになります。ただし、スクリーンセーバーが起動するには一定の時間が必要です。

さらに情報セキュリティを強化するためには、離席する際にログアウトを行い、パスワードを入力してログインしなければパソコンを操作できないようにするなど、利用者が自発的にロックする方法が有効です。

多要素認証の活用

多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証することを指し、多要素認証の中でも2つの要素を使う認証のことを2要素認証と呼びます。
多要素認証の具体例としては、IDパスワード(知識情報)で認証した後に、ユーザが持っている機器(所持情報)にショートメッセージで送ったパスコードを入力させたり、指紋や顔(生体情報)などを用いた認証と組み合わせたりするなどです。
多要素認証を用いることでセキュリティレベルを高めることができます。利用するシステムで多要素認証の設定が可能な場合は積極的に利用しましょう。

ページの
先頭へ