情報処理安全確保支援士
masazan (masazan)
情報処理安全確保支援士のmasazanと申します。
サイバーセキュリティ情報をわかりやすく発信します!
~~~セキュリティの基本を体系的に学べます~~~
デスクの付箋、Excelの管理簿、そして毎朝かかる「パスワード、忘れちゃったんだけど」という内線電話。
「うちの会社のパスワード管理、本当にこのままで大丈夫なのだろうか?」
多くの情シス担当者がそんな不安を抱えています。
そして、その不安は会社の信用を揺るがす重大な情報漏洩インシデントのすぐ隣にあるのです。
この記事では大きなコストや手間をかけずに、明日からすぐに始められるIDとパスワード管理方法を解説します。
社内パスワードの2大問題「安易なパスワード」と「使い回し」
社内のパスワード管理には、ほとんどの企業で課題となっている2つの大きな問題があります。
それは「覚えやすいように簡単なパスワードが設定されていること」と「複数のサービスで同じパスワードが使い回されていること」です。
なぜ、この当たり前に行われていることがこれほど危険視されるのでしょうか。
その理由を一つずつ見ていきましょう。
「簡単なパスワード」がすぐに破られる理由
「password」や「123456」といった簡単なパスワードは、サイバー攻撃者の格好の餌食です。
「ブルートフォース攻撃」のような手当たり次第に試す古典的な攻撃でさえ、現代のコンピュータの性能の前では簡単なパスワードを破ってきます。
実際に、NordPass社が毎年公表する「よく利用されるパスワードランキング」では、よく利用される簡単なパスワードは数秒以内に破られるというデータが示されています。
パスワードは面倒でも長く複雑にすることが、守るべき第一の鉄則です。
「パスワードの使い回し」が危険な理由
「たくさんのパスワードなんて、覚えていられない…」
その気持ち、痛いほどよく分かります。
しかし、その少しの手間を惜しんだ結果、会社全体が危険に晒されるとしたらどうでしょうか。
インターネットの裏(ダークネット)では、どこかのサービスから流出したIDとパスワードのリストが日常的に売買されています。
攻撃者はそのリストを使い、あなたの会社の名前で様々なサービスへのログインを試みます。
もしパスワードを使い回していれば、会社の基幹システムへの不正アクセスという最悪の事態に繋がるのです。
パスワードは「生成ツール」で機械的に作成を
「長く複雑でしかも全部違うパスワードなんて作成するだけでも大変だ」というのが本音でしょう。
その悩みを解決するのが「パスワード生成ツール」です。
これは、ボタンをクリックするだけで人間には到底思いつかないような、ランダムで強力なパスワードを一瞬で作り出してくれる便利なツールです。
大手のセキュリティ企業などが無料で提供しているものもあり、これを使わない手はありません。
トレンドマイクロ社 パスワード生成
ランダムなパスワードを簡単に入手しましょう。
パスワード管理どうしてる? 3つの管理方法を徹底比較
強力なパスワードをたくさん作っても、それを安全に管理できなければ意味がありません。
しかし、全社員に高いレベルのITリテラシーを求めるのは至難の業です。
そこで、主なパスワード管理方法を3つ比較しそれぞれの長所と短所を解説します。
あなたの会社の状況に合わせて、最適な組み合わせを考えてみましょう。
管理方法1:パスワード管理アプリ・ソフトを利用する
まず紹介するのが、セキュリティと利便性のバランスに優れた「パスワード管理ツール」です。
これは、無数にあるパスワードを暗号化してデータベースに保管し、それらをたった一つの「マスターパスワード」で管理する専用のソフトだと考えてください。
たしかに、高機能なものは有料だったり、最初は少し操作に慣れが必要だったりするかもしれません。
しかし、一度慣れてしまえばパスワードを記憶する必要もExcelで管理する必要もなくなるため、結果的にあなたの時間を大幅に節約してくれます。
現代のビジネス環境では、最も推奨される解決策です。
管理方法2: ノート・メモ帳に書き留める
次に、原始的でありながら意外と強力な方法が「紙のノートに書き留める」というアナログな手法です。
ITに詳しくない従業員でも直感的に使え、何よりネットワークから完全に隔離されているためサイバー攻撃による情報流出のリスクがありません。
一方で、日常的に使うには「いちいちノートを開くのが面倒」「ノート自体を紛失・盗難されたら終わり」といった、物理的なリスクや利便性の課題が常に付きまといます。
「付箋に書いて貼る」といった誰でも参照できるような使い方をしなければ、今でも有効な選択肢の一つです。
管理方法③ Excelやメモ帳に記載する
おそらく最も多くの企業で「やってしまっている」のが、この「Excelやメモ帳での管理」ではないでしょうか。
手軽で便利な方法ですがセキュリティ上の致命的な欠陥を抱えています。
それは、「ファイルさえ手に入ればパスワード解読が比較的簡単である」という点です。
パスワードをかけたExcelファイルは、時間をかけてパスワードを割り出せば中身がすべて盗まれてしまいます。
キャッシュカードのように間違えたらファイルをロックする機能もありません。
「ちょっとしたパスワードなら…」という油断が大きな事故に繋がります。
「USBメモリにオフライン保管すれば安全では?」と考える方もいるかもしれません。
たしかにネットワーク上よりは安全ですがUSB自体の紛失・盗難のリスクが新たに発生するため、根本的なセキュリティの脆弱性は解決されません。
パスワードを確実に守るためにExcelやメモ帳での管理は避け、より安全な方法へ移行しましょう。
パスワード管理アプリ導入と「マスターパスワード」の作り方
3つの管理方法を比較しましたが、やはり現代のビジネス環境においてセキュリティと利便性を両立できるのは「パスワード管理ツール」です。
とはいえ、「ツールを導入する」と一言で言っても、具体的にどうすれば良いのかわからない場合もあるでしょう。
ここでは、ツール導入の第一歩となる「種類の選び方」と、あなたの情報を守る上で最も重要な「マスターパスワードの作り方」を解説します。
オンプレ版とクラウド版はどちらを選ぶべきか
パスワード管理ツールには、大きく分けて「オンプレミス版」と「クラウド版」の2種類があります。
自社サーバで管理する「オンプレミス版」は安心に聞こえるかもしれませんが、その構築や運用の手間とコストは一人情シスの肩に重くのしかかります。
そのため、まず始めるなら「クラウド版」がお勧めです。
専門家であるサービス事業者に面倒なメンテナンスをすべて任せられ、あなたは本来の業務に集中できます。
まずはbitwardenのような無料で信頼できるクラウドツールから、試してみてはいかがでしょうか。
「マスターパスワード」の作り方
マスターパスワードは、全てのパスワードが保管されるデータベースを開けるためのパスワードです。
他のパスワードはすべてツールが覚えてくれますが、この「パスワード」だけは自分で覚える必要があります。
では、どうやって「安全」で「忘れにくい」最強の鍵を作るのか?そのコツを紹介します。
例:
無関係な単語(空・パソコン・味噌汁)を繋げる「Sora-PC-MisoSoup」や、文章を変換した「MyCar_is_a_RedSportsCar!2025」のような形式です。
これらは長く覚えやすいため、強力なマスターパスワードになります。
あなただけが知っている個人的な話題を暗号にすることで、推測不可能でかつ忘れにくい強力なパスワードが生まれるのです。
まとめ
パスワード管理は企業のセキュリティを守るための重要な要素です。
しかし、社員のITリテラシーは様々なため、いきなり全社に導入を呼びかけても「面倒だ」という反発が起きるのは目に見えています。
まずは、情シスであるあなたがパスワード管理ツールを使いこなし利便性を周囲に見せましょう。
あなたが新しいパスワード管理を使いこなし、日々の業務を楽にこなしている姿を見せる。
最初の1回だけ、マスターパスワードを入力すれば、それ以降のパスワードはパスワード管理ツールが自動的に入力してくれます。
「それ、便利そうですね」、その同僚の一言が会社全体のセキュリティ文化を変える始まりとなるでしょう。
この記事が、その輝かしい第一歩になれば幸いです。
コメント