増え続けるパスワードが覚えきれない・・・
使い回しをせず、安全性が高いパスワード設定と管理方法とは？

Web上のサービスやシステムを利用する際に、入力を求められるのがユーザーに振り分けられたIDと本人であることを認証するパスワードです。
クラウドでデータを保管・共有したり、Web上で宿泊や新幹線の予約をしたりと、仕事・プライベートを問わず日常的にさまざまなサービスを利用するため、パスワードを設定する機会が増加しています。その煩わしさから、つい同じパスワードを使い回したり、ありがちな文字列で設定したり、「いつでも確認できるように」とパスワードを書いた付箋をデスク周辺に貼ってしまったりしていないでしょうか。
実はこの「なんとなく使っている」、「多分、大丈夫」という個人の裁量が、不正アクセスやアカウントの乗っ取り、個人情報の漏洩などを招いてしまうのです。

パスワードに対する認識の甘さによって、不正アクセスなどのサイバー攻撃被害が増加しています。ニュースなどでも情報漏洩やサイバー攻撃などが取り上げられ、情報セキュリティへの意識も高まっているはずが、安易なパスワードの設定や使い回しを行っている人は、意外なほど多いという事実も指摘されています。
警察庁によるレポートでは、不正アクセスの手口で最も多いのが、安易なパスワードや使い回しが原因となって発生するケースです。2021年における不正アクセス行為検挙件数の手口別内訳では、「識別符号窃用型」（IDやパスワードなどの情報を不正に利用すること）が全体の90%を占めています。

それでは安易で危険なパスワード設定とはどのようなパスワードを指すのでしょうか？
総務省「国民のためのサイバーセキュリティサイト」では、危険なパスワードとして以下のような例を挙げて注意を呼びかけています。

(1) 自分や家族の名前、ペットの名前

yamada、tanaka、taro、hanako（名前）
19960628、h020315（生年月日）
tokyo、kasumigaseki（住所）
3470、1297（車のナンバー）
ruby、koro（ペットの名前）

(2) 辞書に載っているような一般的な英単語ひとつだけ

password、baseball、soccer、monkey、dragon

(3) 同じ文字の繰り返しやわかりやすい並びの文字列

aaaa、0000（同じ文字の組み合わせ）
abcd、123456、200、abc123（安易な数字や英文字の並び）
asdf、qwerty（キーボードの配列）

(4) 短すぎる文字列

gf、ps

他にも電話番号や社員コード、ユーザーIDといった他人から類推しやすいものをパスワードに設定することを避けるよう推奨しています。上記のような危険なパスワードが使われていないかをチェックし、同じパスワードを複数サービスで使い回さないことを徹底しましょう。

安易に設定したパスワードがいかに危険かご理解いただけましたか？それでは、安全性の高いパスワードの設定とその管理方法を紹介します。

〈安全性の高いパスワードの設定〉

総務省では、安全性の高いパスワードの定義を「他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいもの」としています。推測されにくく、覚えやすいパスワードを設定する際のポイントは以下のとおりです。

• 長いランダムな英数字の並び
• 無関係な（文章にならない）複数の単語をつなげる
• 単語の間に数字列を挟む

以前はパスワードの桁数は「8桁以上」とされていましたが、IPA（情報処理推進機構）では現在、「できるだけ長く」「複雑で」「使い回さない」ことを推奨しています。また安全なパスワードとして、「コアパスワード（ベースとなる文字列）」を設定し、サービスごとに異なる文字列を追加する方法も紹介し、使い回しの回避を促しています。
桁数が多く、複雑にするほど、総当たり攻撃（ブルートフォース＊）で解析されるまでの時間が長くなるとされているので、この機会に見直してみることをお勧めします。

〈パスワードの管理〉

設定したパスワードは、その管理も重要です。忘れてしまわないようにメモした場合は、他人の目に触れない場所で厳重に保管しなければなりません。いつも携帯する手帳などと一緒に持ち歩くのも一つの方法です。
また、個々の従業員が適切にパスワードを管理できるように、マスターキーを覚えておくだけで、サービスごとに設定したID・パスワードを自動入力してくれる「パスワード管理ツール」などを導入するという方法もあります。

〈パスワードの定期変更は必要なし！？〉

パスワードは定期的に変更する方が安全と言われていました。しかし、定期変更がパスワードのワンパターン化を招いていることから、近年は「桁数が多い強固なパスワード」を使うことを重視するようになってきたのです。
しかし、全く変更しなくていいというわけではありません。では、この強固なパスワードを変更すべきタイミングはいつでしょうか。それは、利用中のサービスを提供している会社が情報漏洩事故を起こしたり、サイバー攻撃による個人情報流出のニュースが大きく取り上げられたりした時です。また、他人にパスワードを見られたかもしれないと思った時にも、慌てず速やかに変更しましょう。

＊ブルートフォース攻撃：システムのパスワードを発見するために、あり得るパターンを入力し解読する方法。

情報セキュリティ対策として、パスワード設定・管理の重要性を解説してきました。従業員一人ひとりのセキュリティ意識を高めることはもちろん、個人の裁量に任せるだけでなく、社内でパスワード関連のルールを徹底しておく必要があります。また、自社の情報セキュリティ対策がどの程度できているか、全体最適の視点をもって普段から自社の現状を可視化することも重要です。

そこで役立つのが、サクサが提供している「情報セキュリティ現状診断」です。セキュリティに関する簡単な20の質問に「はい」「いいえ」で答えることで、自社の情報セキュリティ対策への取り組み状況がわかり、対策を講じるべき問題点が見えてきます。
診断結果を踏まえ、必要なツールのご提案なども行いますので、自社の現状把握の一環としてご活用ください。

インターネット利用が当たり前になり、様々な経済活動がオンラインサービスに移行しつつある社会で、情報セキュリティ対策は規模の大小に関わらず、すべての企業が取り組むべき重要課題です。サイバー攻撃の手法は複雑かつ巧妙になり、セキュリティの脆弱性を突いた不正アクセスも増加しています。
サクサでは「情報セキュリティ現状診断」をはじめ、中堅・中小企業の大切な情報を守る製品・サービスをご提案しています。ぜひお気軽にご相談ください。