情報セキュリティコラム第11回

企業でのパスワード管理:
社員頼りのアナログ管理はやめよう

増え続けるパスワードに対して、
企業はどう対応すればいいのか。

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第11回 企業でのパスワード管理:社員頼りのアナログ管理はやめよう

企業のセキュリティで、もっともアナログであり人間の行動・意識に任せているものは「パスワード」でしょう。ITのすべての鍵であるのに、未だに個人の暗記に頼り、場合によっては付箋に頼っているところまでありそうです。増え続けるパスワードに対して、企業はどう対応すればいいのかまとめます。
(ITジャーナリスト・三上洋)

クラウド化とモバイル利用で増え続けるパスワード

企業でのパスワードの課題
企業でのパスワードの課題

図1:企業でのパスワードの課題

あなたの企業はどこまでクラウド化を進めているでしょうか。システムの多くをクラウドに移行するのは時代のすう勢です。コストや利便性から当然のことですが、クラウド化すればするほどIDとパスワードは増え続けます。以前であれば社員はひとつのパスワードで社内のシステムにアクセスできたでしょうが、今ではクラウドのために複数のパスワードを個人が管理しなければなりません。
またモバイル利用が増えたこともパスワード増殖の原因となっています。以前であればメールのパスワードさえ覚えておけばよかったものが、社外からシステムにアクセスするために複数のパスワードを管理する必要が出てきました。(図1参照)

クラウド・モバイル共通のパスワード問題は2つあります。ひとつは使い回し・単純化です。大量のパスワードを個人が管理するため、使い回し・単純化などの弱点が生まれてしまいます。もうひとつはネットからのアクセスを可能にしていること。IDとパスワードさえわかれば、犯罪者によってアクセスされてしまう恐れがあるのです。
「パスワード増殖」「ネットからのアクセスが可能なこと」この2点の問題をクリアするために、企業はパスワード管理を見直す必要があります。

「使い回し」「単純化」「社員頼り」がパスワードトラブルを生む

パスワードが増えすぎたことで生まれる最大の弱点が「使い回し」です。同じパスワードを使い回す人間の習性を狙った「パスワードリスト攻撃」によって、ここ数年大きな被害が出ています。一か所で漏れたパスワードを入手した犯人が、他のネットサービスでも試すことで不正ログインを狙う攻撃です。
このパスワードリスト攻撃は多くが個人ユーザーの被害でした。しかし企業がクラウドを利用することが増えたことで、企業の社員もパスワードリスト攻撃のターゲットになっています。使い回しをやめて、ひとつずつ必ず別のパスワードにすることがもっとも重要です。

同時にパスワードの単純化・パターン化も問題です。クラウド化・モバイル化により、ネットからアクセスできる時代では、単純なパスワード、パターン化したパスワードは危険度が高くなります。
そのひとつの例が「リバースブルートフォースアタック」です。よく使われているパスワードリストを入手し、パスワードを固定しIDを変えて不正ログインを試す方法です。IDを固定した攻撃では、複数回の間違いでロックをかけることができますが、逆にパスワードを固定しIDを変えていく攻撃では、ロックをかけることができません。ネットからのアクセスが可能であるがゆえの弱点です。

「パスワードをガチガチに縛ることで不便になる」という問題もあります。安全性のためにとガチガチのパスワードポリシーを作りたくなる気持ちはわかります。しかし社員にそれを強制することで、負担が増して逆に管理が甘くなることがあるのです。

以前の「定期変更」ルールは見直すべき

多くの企業がパスワードポリシーで「定期変更」をルール化しています。しかし定期変更は弊害が多く、推奨しないことが一般的になってきました。

パスワードの定期変更をルール化すると、社員はパスワードをその度に考えなければなりません。すると同じパターンで作成しがちです。たとえば末尾に年月(「201801」「june18」)を入れたり、覚えやすいように連番にするなどパターン化・単純化してしまうのです。パスワードがより甘くなってしまうことになります。

定期変更自体がダメなわけではありません。気がつかない流出があって悪用される場合は、一定の効果はあるでしょう。しかしその危険性よりも、定期変更強制でのパターン化・単純化のほうが危険なのです。

現在では内閣サイバーセキュリティセンター(NISC)から「パスワードを定期変更する必要はなく、流出時に速やかに変更する」との指針が出ています
(情報セキュリティハンドブック ver3,00)。またアメリカの国立標準技術研究所(NIST)からも「パスワードの定期的な変更はしないほうがいい」というガイドラインも出ています(NIST SP800-63B:電子的認証に関するガイドライン)。

社内のシステム、およびパスワードポリシーもこれに合わせて方針を変えるべきです。まずは、覚えやすいパスワードから、破られづらいパスワードにします。それは、数字や記号をむやみに挿入したパスワードのことではありません。現状、クラッキングツールがパスワードアタックのために自動生成されるパスワードには数字や記号も含まれますが、機械が自動生成できるパスワードの「桁数」には限りがあります。

最近はパス「フレーズ」という言葉も聞かれるようになりましたが、総当り攻撃への対応には、長いパスワード(パスフレーズ)が有効です。パスフレーズ化(最小桁数を増やす)の徹底ができましたら、パスワードポリシーにある「定期」変更ルールをやめる方向で検討してください。

パスワード運用でやってはいけない行為

企業でのパスワード管理・運用でやってはいけないこと、見直すべきことは以下の通りです。現場レベルでおこなわれていないか、チェックしたほうが良いでしょう。

共通パスワードをやめて社員ごとのアクセス権限に

ひとつのIDとパスワードだけで、誰でもアクセスできるものが残っているませんか?社員が同じパスワードでログインしてシステムを使うパターンです。複数の人が同じパスワードを使うために、単純化・パターン化してしまう可能性があり、また漏えいの危険性も高まります。
 システムへのアクセスは、社員ひとり一人に別のアクセス権限を付与し、共通のパスワードでアクセスさせるシステムは今すぐ見直すべきです。

パスワードを付箋で貼っておくのはダメ

昔はディスプレイの横に、パスワードを付箋で貼る光景をよく見かけました。今ではほとんどないはずですが、個人レベルでは同様の行為をしているかもしれません。ショルダーハッキング(肩越しに見られる)の可能性があるので、付箋のパスワード管理はやめるべきでしょう。
 パスワード管理ソフトを導入する、もしくは個人でのパスワード管理ルールを決めるなどの対策が必要です。

メール添付ファイルのパスワードはできるだけ別の手段で送る

メール添付ファイルは暗号化するのが一般的になってきました。パスワードは別のメールで送ることが多いかもしれません。しかし不正アクセスでメールが盗み読みされる事態も考えられるので、パスワードはできるだけメールで送らないほうがいいでしょう。
 暗号化のパスワードは、別の手段で送ること。SMSやメッセンジャーで送るのが理想です。

「二段階認証」「SSO・シングルサインオン」の導入を

パスワード管理では「二段階認証」と「SSO」を
パスワード管理では「二段階認証」と「SSO」を

図2:パスワード管理では「二段階認証」と「SSO」を

人間に任せるパスワード管理には限界があります。長期的には個人の管理に任せる部分を減らし、システムで安全にアクセス管理する必要があります。

安全性を高めるには二段階認証の導入を急ぐべきです。トークンやスマートフォンのアプリによる二段階認証によって、仮にパスワードが漏れた場合でも不正ログインを防ぐことが可能です。社員にトークンを持たせ、ネット経由のアクセスでは二段階認証を必須にすることを検討してください。(図2参照)

増殖するパスワードへの対策としては、SSO・シングルサインオンが有効です。ひとつのパスワードで管理することで、社員のパスワード管理の負担を減らし、かつ安全性を高めることが可能です。

SSOでは2つのことを考慮するといいでしょう。ひとつは既存の業務システムに対応できること。大規模な改修なしで、既存の業務システムのログインにSSOを導入できるソリューションを選ぶことを勧めます。もうひとつはセキュリティレベルごとに安全度を変更できること。社内のみでアクセスできるシステムならパスワードでログインできる、ネット経由のサービスなら認証済デバイスに固定する、指紋認証を要求するなど、セキュリティレベルを変更できることが理想です。

今後もパスワードは増えることは必至でしょう。社員の意識に頼るアナログなパスワード管理ではなく、システムで安全かつ便利に使えるシステムに移行していくべきです。

掲載日:2018年7月2日

執筆者プロフィール

ITジャーナリスト・三上洋(みかみよう)

セキュリティ、ネット事件、スマートフォンを専門とするITジャーナリスト。読売オンラインでセキュリティ連載「サイバー護身術」を長期連載するほか、テレビ・ラジオなどでのコメントも多い。

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

セミナー・イベント情報

持出しPCの情報漏えい対策「働き方改革 はじめの一歩パック」を出展します。

セミナー・イベント情報

当セミナー分科会のセッション09において当社社員が講演予定です。
Webサイトの改ざんによる情報漏洩を防ぐ「Tripwire Enterprise」の活用方法をご紹介します。

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。