パスワードの安全性はどう担保する？管理方法と考え方を解説

仕事や教育、日常生活など、さまざまな場面でデジタルなしには暮らしが立ち行かないといっても過言ではない現在、便利なデバイスやWebサービスが増え、個人が管理しなければならないパスワード数はかなりの数にのぼるでしょう。

個人利用のサービスにおいてパスワードが漏えいしても大きな被害を受ける可能性は高いですが、法人利用のサービスでパスワードが漏えいした場合、最悪のケースでは賠償責任問題に発展してしまう恐れもあります。

企業の情報システム担当者として、従業員のパスワードをどのように管理したら良いのでしょうか？
本コラムでは、パスワード管理と漏えいについて解説します。

1.パスワード管理における問題

2.パスワードに対する古い認識は間違っていた？

3.パスワード漏えいの危険性

4.パスワードは漏えいすることを前提に

パスワード管理における問題

パスワード管理における主な問題点として、推測されやすい単純なパスワードを設定してしまうことと、使い回しの二点が挙げられます。

パスワードの使い回し

利用しているデジタルサービスが増えるほど、管理しなければならないパスワード数も増え、すべてを覚えることが難しくなってきます。そこで、同一のパスワードを複数サービスのアカウントで使い回す人が出てきます。

しかし、もしも一つのサービスでアカウント情報が漏えいしてしまったらどうでしょうか。
サイバー攻撃者が、パスワードの使い回しを期待して、ほかのサービスへのログインを試みれば、より重要度の高い情報へアクセスされてしまう恐れがあります。

脆弱なパスワード

パスワードに使う文字列の長さは、長ければ長いほど破られにくくなりますが、その分、記憶しておくのも困難になります。

そこで、
・極端に短いパスワード（ab、okなど）
・同じ英数字や記号を並べただけのパスワード（0000、xxxxなど）
・一般的な英単語（password、appleなど）
・自分や家族などの名前、生年月日など（tanaka、19790429など）
・社員番号
といった、第三者に推測されやすい脆弱なパスワードを設定してしまう人も出てきます。

こうした類推されやすいパスワードは、サイバー攻撃者に簡単に認証を突破されてしまいます。
サイバー攻撃者が情報交換を行うダークウェブでは、よく使われていて、かつ、推測しやすいパスワードが数億個もリスト化され、出回っているといわれています。

もし、現在利用しているパスワードの安全性を知りたい場合は、ロシアのコンピューターセキュリティ会社「カスペルスキー」が提供しているパスワードチェッカーで確認してみてください。

パスワードに対する古い認識は間違っていた？

前章でご紹介した二点は「危ないパスワード」としてあまりにも有名で「さすがにそんなパスワードは設定していない（させていない）」と思われた方が多かったかもしれません。

しかし、安全なパスワード設定に関する定説も、その後の調査によって塗り替えられ、過去の常識が現在の非常識になってしまっていることもあります。

パスワードは8桁で安全

たとえば、数年前までなら「パスワードは8桁以上の英数字を組み合わせていれば安全」だといわれてきました。しかし、8桁以上のパスワードが安全とされたのは、2011年当時のこと。IPA（情報処理推進機構）がパスワードの使い方ガイドの中で公表したものです。

現在、IPAは「最低8桁以上」「数字や記号を含める」「大文字と小文字を含める」「サービスごとに異なるパスワードを設定」としています。
チョコっとプラスパスワード（IPA 独立行政法人情報処理推進機構）

大文字と小文字を組み合わせれば安心

最近のWebサービスでは、ユーザーに遺体してアカウント取得時に設定するパスワードを「8ケタ以上」「大文字、小文字、数字を必ず含める」などと、厳しい条件が設定されているケースが増えてきました。
このような条件を満たすパスワードは、確かに安全です。ただし、何の条件もなくパスワード設定を行った場合に限り、です。

サイバー攻撃者の側から見てみるとよくわかります。「8ケタ以上」「大文字、小文字、数字を必ず含める」がパスワード条件のサービスでパスワードを破るには、何も条件のないサービスよりも、「1～7桁までのパスワード」「大文字しか使われていないパスワード」「小文字しか使われていないパスワード」「大文字と小文字が使われているが、数字が使われていないパスワード」といったものを除外できる分、労力が減る（パスワード解読にかかる時間を短縮できる）ことになるのです。

定期的な変更をすれば安心

最近では、一度、設定したパスワードの変更が定期的に求められるWebサービスも珍しくなくなってきました。
定期的なパスワード変更の意図は、もしもパスワード情報が流出していた場合でも変更した時点以降は被害を免れるためです。

しかし、サービスなどからパスワードの変更が求められる間隔は、多くても1ヵ月に1回程度です。1ヵ月もの間、パスワード流出したのに明るみに出ないケースは珍しいといって良いでしょう。
さらに、定期的なパスワード変更要求がユーザーにとって大きな負担となることから、設定するパスワードがパターン化されるなど、より脆弱なものになってしまうリスクの方が大きいことも指摘されるようになりました。

以上のことから、内閣サイバーセキュリティセンターも「インターネットの安全・安心ハンドブック」の中で、パスワードを定期的に変更する必要はないと示しています。

パスワード漏えいの危険性

では、実際にパスワード情報が漏えいした場合、具体的にどのような被害が想定されるのでしょうか？
ここでは、法人で社内利用しているサービスで、パスワード情報が漏えいしたケースに限定して考えてみます。

・重要データの漏えい・破壊
・Webサイトの改ざん
・身代金の要求
・登録されている個人情報や口座情報、クレジットカード情報などの漏えい・不正利用

さらには、
・影響を与えてしまった顧客や関係者への損害賠償
・世間からの信頼の失墜
などが挙げられます。

個人利用のサービスでパスワードが漏えいした場合の影響範囲は、自分自身と家族ぐらいのものですが、法人の場合は顧客や取引先など広範囲にわたります。また、直接、取引がなくても信用に傷が付くなど、その悪影響は計り知れません。

パスワードは漏えいすることを前提に

パスワードを設定する際は、できるだけ長いものにするなど、安全策はいくつかありますが、サイバー攻撃者の手法や技術も日進月歩なので、いつ、破られるかわかりません。
パスワードを破られない方法の模索に躍起になるのではなく、「パスワードはいつか漏えいするもの」と捉え、漏えいしても被害を防ぐ方策を検討する方が賢明だといえます。

たとえば、ゼロトラストを前提としたIDaaS（アイダース）製品である「Okta」を導入してみてはいかがでしょうか。Oktaでは、アカウント情報だけでなく端末、行動パターンといった複数の要素から、そのアクセスが不正なものでないかどうかを識別し、アクセス可否を判断します。

ほかにもシングルサインオンや多要素認証、IDライフサイクル管理などまで実現可能です。
詳しくは、下記ページをご覧ください。

【関連サービス】

クラウド型ID管理・統合認証サービス／IDaaS　Okta

※ 本文に掲載されている会社名・団体名および製品名は各社または団体等の商標または登録商標です。