設定と管理のあり方

  他人に自分のユーザアカウントを不正に利用されないようにするには、適切なパスワードの設定と管理が大切です。

  適切なパスワードの設定・管理には、以下の3つの要素があります。

安全なパスワードの設定

  安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。

• (1) 名前などの個人情報からは推測できないこと
• (2) 英単語などをそのまま使用していないこと
• (3) アルファベットと数字が混在していること
• (4) 適切な長さの文字列であること
• (5) 類推しやすい並び方やその安易な組合せにしないこと

  

  逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。

(1) 自分や家族の名前、ペットの名前

yamada、tanaka、taro、hanako（名前）
19960628、h020315（生年月日）
tokyo、kasumigaseki（住所） 　　　
3470、1297（車のナンバー）
ruby、koro（ペットの名前）

(2) 辞書に載っているような一般的な英単語

password、baseball、soccer、monkey、dragon

(3) 同じ文字の繰り返しやわかりやすい並びの文字列

aaaa、0000（同じ文字の組み合わせ）
abcd、123456、200、abc123（安易な数字や英文字の並び）
asdf、qwerty（キーボードの配列）

(4) 短すぎる文字列

gf、ps

  

  この他、電話番号や郵便番号、生年月日、社員コードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。

パスワードの保管方法

  せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要なものです。

• パスワードは、同僚などに教えないで、秘密にすること
• パスワードを電子メールでやりとりしないこと
• パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
• やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること

パスワードを複数のサービスで使い回さない（定期的な変更は不要）

  またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

  なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

  これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

• （※1） NIST SP800-63B（電子的認証に関するガイドライン）
• （※2） https://www.nisc.go.jp/security-site/handbook/index.html