「安全なパスワードの設定方法を知りたい」「パスワード管理ツールのおすすめを知りたい」
新型コロナウイルスの影響でテレワークが推進される中、パスワードの管理方法に悩んでいる企業も多いのではないでしょうか。特に近年は多種多様なサイバー攻撃が出現しているため、適切なパスワードの作成や管理方法が求められます。
この記事ではパスワード管理の重要性や管理方法の種類、情報漏えいによって起こり得る被害について詳しく解説します。
目次
パスワード管理の重要性
テレワークの普及によるパスワード管理の必要性の高まり
テレワークをきっかけにさまざまなクラウドサービスを導入する企業が増えたことで、パスワード管理の必要性が高まっています。覚えておくべきパスワードが増えると、メモや付せんに書き留めて管理する人もいるでしょう。またパスワードの使い回しも発生しやすくなります。さらにテレワークでは、カフェやコワーキングスペースなど自宅以外の不特定多数の人が出入りする場所で作業する機会も増加します。管理が徹底されていない場合、第三者に盗み見され不正アクセスされるリスクもあり得るでしょう。パスワードは第三者に推測されにくい複雑なものを用いたうえで、適切に管理していく必要があります。
NISC公開の資料で正しい知識を身につける
インターネットの安全・安心ハンドブック
パスワード管理を含むセキュリティ担当者の基本知識として、公的機関が制作した資料を確認し正しい知識を身につけましょう。
内閣サイバーセキュリティセンター(NISC)より、「インターネットの安全・安心ハンドブック」が公開されています。
このハンドブックは、サイバーセキュリティに関する普及啓発活動の一環として提供され、インターネット社会を安心して利用できるようにするためのものです。
インターネットの基本的なリスクやトラブル、サイバーセキュリティの基礎、サイバー攻撃の手口、SNSの使い方、災害時の対策、スマホやパソコンの安全な利用方法、パスワードの重要性、中小組織向けのセキュリティ向上の重要性など、全般的な項目をカバーしています。
また、一般利用者向けだけでなく中小組織向けの抜粋版も提供されており、社内のサイバーセキュリティの知識を広めるための参考資料として活用できます。
参考:内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」
安全なパスワードを設定するには?
危険なパスワードとは?
パスワードの重要性が高まっている昨今においても、まだ単純な文字列を使用しているユーザーは多いです。たとえばアメリカのサイバーセキュリティ企業NordPassの調査結果によると、情報漏えいで流出したパスワードの第1位は「123456」でした。
推測されやすいパスワード設定を避けることで、安全性を高めることができます。総務省の情報セキュリティサイトによると、危険なパスワードの例として以下のようなものがあげられています。
危険性の高いパスワードの作成例
1.自分の名前や家族・ペットなどの名前、誕生日
takanashi、taro0505、19850202
2.同じ文字の羅列やわかりやすい並び、短すぎる文字
111111、12345678、asdf、aa
3.辞書にある単語利用
password、apple、thisismypass
安全性の高いパスワードの作成方法
安全なパスワードを設定するには、パスワードがサイバー攻撃によってどんな風に狙われるかを知っておくことも重要です。手口を知ることで現在の管理方法の問題点がわかり、より適切にパスワードを管理できるようになります。
もっとも多い手口が総当たり攻撃です。総当たり攻撃とは予測できるパターンを総当たりで試し、合致する組み合わせを見つける攻撃手法になります。「user」「password」「1234」のように簡単な文字列で構成されたパスワードを設定していた場合、比較的短時間で破られやすくなります。
前述の危険性の高い要素の使用を避けつつ、以下の点にも注意して設定することで、より安全性の高いパスワードを設定しましょう。
- 10桁以上
- アルファベットは大文字小文字両方を利用する
- 記号も利用する
使用する文字列の種類(大文字、記号)や桁数を増やすことで、文字列のパターンが指数関数的に大きくなるため、推測の難易度が上がり安全性が高まります。
参考:内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」
Google Chromeのパスワード機能を使うときは注意
Google Chromeのパスワード保存機能は一度登録したら入力する手間が省け、異なるデバイス間でもパスワードが共有できるなどのメリットがあります。すべて暗号化されているため漏えいのリスクも低いでしょう。しかし、ユーザーの管理の仕方によっては以下のような危険もあります。
- 目を離したすきに他人にデバイスを操作され、不正ログインされる
- エクスポート機能によってパスワード一覧のファイルを盗まれる
上記のような危険を防ぐには、パスワード漏えいの警告が出たらすぐに値を変更することが重要です。またパスワード管理ツールやアプリを併用し、Google Chromeの機能に依存しすぎないようにしましょう。利用者本人が日ごろから適切に管理する意識をもつ必要があります。
パスワード管理方法の種類
パスワードの管理方法は主に3つあります。それぞれメリット・デメリットと併せて解説します。
紙にメモする
Yahoo!JAPANが2020年に実施した「パスワード管理方法に関するアンケート」によると、約50%のユーザーが「メモや手帳など紙に書く」と回答したことがわかりました。それだけ現在も多くの人がアナログな方法でパスワードを管理しています。
紙にメモするメリットは簡単に管理でき、インターネット上で漏えいする心配がない点です。スマートフォンやPCで管理しているときのように、不具合や故障でデータがなくなる恐れもありません。一方で、ほかの書類と混ざって誤廃棄してしまったり、紛失や盗難に遭ったりといったリスクもあります。鍵付きの引き出しや金庫に保管するなどの対策が必要です。
Excelなどのファイルで管理する
Excelやテキストエディターなどで管理する方法です。デジタルのため、紙と違ってパスワードの入力や更新がしやすいのがメリットでしょう。
しかし、ファイルでパスワードを一括管理している場合、流出した際の影響が大きくなります。またPCの故障などでデータが消失する可能性もあります。そのため次のような対策を行うとよいでしょう。
- パスワードファイルをデスクトップなど目につく場所に保存しない
- ファイル名をわかりにくくする(「パスワード」のような安易な設定にしない)
- 定期的にバックアップをとる
- ファイル自体にもパスワードをかけ、閲覧制限を行う
パスワード管理ツールやアプリを使用する
パスワード管理ツールやアプリを利用するのもおすすめです。紙やファイルと違い、指紋認証や二段階認証を使ったセキュリティ対策も実現できます。
管理ツール・アプリのメリットは、パスワードを管理する負担を大きく低減できる点です。パスワードの自動生成機能があり、自分で考えなくても英数字や記号などをランダムに並べた長いパスワードが生成されます。またパスワードの入力フォームに自動入力されるため、メモやファイルを毎回開いて入力する手間も省けます。一方で、セキュリティレベルは製品に依存するというデメリットもあります。またサービス提供元で障害が起きると、データが喪失する可能性もあるでしょう。できる限りセキュリティ対策やサポートが充実した製品を選ぶことをおすすめします。
パスワード管理するときの注意点
二段階認証やSSOで管理体制を強化
企業がパスワード管理をするときは、従業員個人のセキュリティ意識に任せず、企業側で管理体制を強化しておくことが重要です。特定の利用者だけがアクセスできるように設定するだけでは足りません。正規の利用者のアカウント情報を窃取して、クラウドサービスなどへ不正アクセスを試みる攻撃が近年増加しているからです。パスワードを厳格に管理するとともに、漏えい時に備えて強力な認証方法を導入しておくことが重要です。
たとえば二段階認証やシングルサインオン(SSO)などが挙げられます。二段階認証とは、ID・パスワードの入力以外にアプリでも本人確認を行ったり、セキュリティコードを入力したりと本人確認のセキュリティを高める方法です。またSSOは一度ID・パスワードで認証を行うだけで、複数のシステムやアプリケーションにログインできる仕組みです。上記のような技術を取り入れることで、従業員のパスワードを一元管理しつつセキュリティリスクを防げるでしょう。
ツールやアプリに頼りきりにならない
ツールやアプリを利用することで、使い回しを防いで強固なパスワードを設定できます。しかし、ツールに依存していると以下のような問題も起こり得ます。
- ツールやアプリのセキュリティに脆弱性が見つかる
- サイバー攻撃によって大量のデータが流出する
- 突然サービスが終了して使えなくなる
万が一の事態に備え、自分でも複雑なパスワードを設定するなどセキュリティ対策を心がけましょう。また定期的にバックアップをとっておくことも欠かせません。
パスワードを利用するWEBサイトに注意する
パスワードを管理する際には、事前に利用するWEBサイトが正当なものかを必ず確認しましょう。
サイトの正当性を確認せずに安易にユーザ情報やパスワードを登録してしまうと、その情報が悪用される恐れがあります。
偽サイトではないWEBサイトであっても、パスワードの入力が必要なものについては、初めて利用する前に必ずWebサイトの運営者情報やサービス自体が問題なく運用されているかなどを事前調査しホワイトリストに入れておくことが重要です。
パスワードの窃取や詐取に注意する
フィッシングに注意
フィッシング詐欺では、本物のサイトと見分けがつかないほど巧妙に作られた偽サイトが存在します。
メール経由で案内されることが多いですが、メールに記載されたリンクを直接クリックするのではなく、ブラウザで正規のURLを直接入力する、あるいはブックマークを利用するなどして正しいWEBサイトにアクセスしましょう。
不審なメールが届いた場合や、URLをクリックしてしまった場合の対処法も知っておくことが重要です。パスワードを入力してしまった場合は、直ちにパスワードを変更するなどの対策を講じる必要があります。セキュリティ意識を高く持ち、日々のパスワード管理に注意を払いましょう。
フィッシングの手法は日々進化しており、同時にキャッチアップをしておくことが重要です。
フィッシング対策協議会(https://www.antiphishing.jp/)のウェブサイトを利用し、最新事例などを確認しておくようにしておきましょう。
物理的な対策も必要
外出先などで、第三者にPCやスマホを覗き見されることでパスワード情報が流出することがあります。
カフェや外出先などの不特定多数がいる場所でのパスワード利用をそもそもしない、利用する場合でも周りを確認してから行う、などの注意が必要です。
複数のサービスで使い回さない
サイバー攻撃の手口の中には、1つのサービスから流出したIDやパスワードを使用し、ほかのサービスへの不正ログインを繰り返すものがあります。銀行口座やクレジットカードなどの重要情報を利用しているサービスのパスワードを使い回していた場合、パスワードが漏えいすると情報にアクセスされてしまいます。身に覚えのない請求がくる、顧客情報が流出して企業の信頼を著しく損ねるなどのリスクが考えられるでしょう。複数のサービスで使い回しせず、1つのサービスに固有のパスワードを割り当てることが重要です。
定期的に変更しすぎない
従来はパスワードを定期的に変更することが安全性を保つ方法となっていました。しかし、米国国立標準技術研究所(NIST)のガイドラインによると「パスワードを定期変更する必要はなく、流出した場合に速やかに変えることが重要」と公表されています。つまり「パスワードを乗っ取られた」「サービス側で流出の可能性があった」などの理由がない限り、定期的にパスワードを変更する必要はありません。頻繁に変えることでパスワードが安易な文字列になったり、使い回したりする方が問題です。必ずそれぞれのサービスや機器に固有のパスワードを設定するようにしましょう。
参考:米国国立標準技術研究所「電子認証に関するガイドライン」
パスワード漏えいによって起こり得る被害
個人の場合
個人がパスワードを漏えいした場合、以下のような被害に遭う可能性が高いです。
- クレジットカードの不正利用
- インターネットバンキングの不正利用
- 通販サイトでの不正利用による高額請求
- なりすまし
特に多いのがなりすましです。業者のメールアドレスはフィルタリングで弾かれることがほとんどですが、正規のメールアドレスが手に入ればスパムメールの送信元に利用できます。ウイルスを添付したメールや、攻撃サイトへの誘導メールを勝手に知人に送信されるリスクがあるでしょう。「クレジットカードの利用明細に身に覚えのない請求があった」などの不審な点を感じたら、すぐにカード会社に連絡してカードを無効にしてもらうなどの対応をとりましょう。
企業の場合
企業でパスワードの流出が起きた場合、次のような被害が考えられます。
- 社会的信用の喪失
- 株価への影響
- 企業のイメージダウン
- 損害賠償の請求への対応
特に企業で情報漏えいが発覚した場合、ネットニュースやテレビで大々的に放送されるケースが多いです。自社のサービスや商品の売上が大きく下がったり、取引先から契約を打ち切られたりといった可能性もあるでしょう。また情報漏えいの原因を突き止め、システムの復旧や改善をするには、多くのコストや人的リソースを費やすことになります。業務にも多大な影響が出てしまうでしょう。
上記のような被害を未然に防ぐためにも、パスワード管理ツールやアプリを使用して適切にパスワード管理を行う必要があります。
パスワード管理ツール・アプリの選び方
パスワード管理ツールやアプリを選ぶ際は、次の5つのポイントに注目しましょう。それぞれ詳しく解説します。
1.便利な機能があるか
以下のような便利な機能があるものを選ぶことをおすすめします。パスワードを管理する工数を削減できる上、セキュリティの向上も期待できます。
- 自動生成機能
- パスワードチェック機能
- 自動登録機能
- データの自動消去機能
自動生成機能があると、パスワードを設定するときにアルファベットや記号、大文字小文字などを混在させて考える必要がなくなります。またツールによっては、パスワード生成ルールを入力すればそれに適したパスワードが作成されるので便利です。さらにパスワードチェック機能があれば「パスワードが複雑か」「推測されやすい安易な文字列ではないか」などがチェックされ、セキュリティを高められます。
またデータ消去機能では、本人以外の人間がツールを開こうとした場合にデータを削除できます。ただし、本人が複数回間違えてログインに失敗した場合も消去されてしまう可能性があります。入力ミスを防ぐために、ほかの保管方法と組み合わせるなどの工夫が必要です。
2.OSやデバイスが対応しているか
Windows、MacOS、Linux、Android、iOSなどに対応している製品がほとんどですが、念のため事前に確認しましょう。複数のOSやデバイスに対応しているツールなら、デバイス間で簡単に同期できます。どの端末でも同じようなログイン操作や管理をすることが可能です。まずは社内で利用されているOSやデバイスをリストアップし、それに対応しているツールを探すようにしましょう。
3.セキュリティレベルが高いか
セキュリティレベルの高いツール・アプリを選ぶのも重要なポイントです。生体認証や二段階認証のように強度な本人確認を行える仕組みがあれば、不正アクセスのリスクを軽減できるでしょう。またIDの使用ログを取得できる機能があると、漏えいが発生したときも対象を特定しやすくなります。
できるだけ企業への導入実績が豊富で、セキュリティの高さに定評のある製品を選びましょう。無料の管理ツールも多くありますが、万が一機密情報が社外に流出したときのことを考慮して高機能な有料版を導入することをおすすめします。
4.バックアップ機能があるか
バックアップ機能が備わっていると、誤操作でパスワードを削除してしまった場合も安心です。自動的にパスワードがバックアップされていれば、誤って削除した場合も速やかに復旧できます。「多くのシステムやサービスのパスワードを一括管理したい」という企業ほど重要なポイントです。現在はほとんどのパスワード管理ツールにクラウドへの自動バックアップ機能がついていますが、念のため確認しておきましょう。
5.操作性がよいか
日常的に使用するツールなので、以下のような操作性のよさにも注目しましょう。
- 管理画面がシンプルで見やすい
- 直観的な操作で各機能を使える
- サイトを開いたときにワンクリックでIDやパスワードを入力できる
パスワード管理ツールの中にはお試し版を提供しているものもあります。まずは使いやすさを確認してから導入を検討するのがよいでしょう。
おすすめのID・パスワード管理ツール5選
実際にID・パスワード管理ツールを使った企業の方々のレビューが多い製品を中心に、おすすめのパスワード管理ツールを紹介します。
CloudGate UNO
「ITreview Grid Award 2020 Summer」のSSO部門にて、No.1の評価を獲得したクラウドサービスです。スマートフォンアプリの「Pocket CloudGate」を利用することで簡単に生体認証でき、在宅勤務やテレワークなど社外からサービスを利用する際のセキュリティリスクを軽減します。シングルサインオン機能を採用しているため、一度のIDとパスワードのログインで複数のクラウドサービスに安全にアクセス可能です。また認証方式もパスワード認証・多要素認証・パスワードレス認証の3種類あり、ユーザー側でどれを利用するか選べるのもメリットでしょう。料金はスタンダードプランの場合、1ユーザーあたり220円/月です。
CloudGate UNOの参考レビュー、口コミ
細かな設定が可能
管理画面もシンプルで、操作性が良い。ダッシュボードでは一覧で状況をすぐに把握できる。セキュリティレベルも細かく設定できるのでユーザーの切り分けも細かく設定可能。
参考:https://www.itreview.jp/products/cloudgate-uno/reviews/173007
安定したSSOシステム
優れている点・好きな機能
・UIの見やすさ
・サポートの充実
その理由
・UIが分かりやすく、分かりやすいため設定が比較的容易だと感じます
・ユーザーが加入できるコミュニティサイトがあり、気軽に質問等が出来る
参考:https://www.itreview.jp/products/cloudgate-uno/reviews/172696
HENNGE One
約1900社のさまざまな業種や業態で利用されているセキュリティサービスです。ID・パスワードの一元管理に加え、デバイス証明書やワンタイムパスワードの多要素認証も充実しています。パスワードをよりセキュアに保護することが可能です。また導入前にはコンサルタントが顧客環境に最適なサポートを行ってくれるのも魅力。導入後もサポートメンバーに運用やサポートを支援してもらえます。製品のコミュニティサイトがあるため情報収集もしやすいです。料金は1ユーザーあたり150円~/月になります。
HENNGE Oneの参考レビュー、口コミ
クラウドセキュリティの必須サービス
Microsoft 365 等クラウドサービスに必須なセキュリティサービスです。不正アクセスを制限できるだけではなく、メールの誤送信対策や、メール添付ファイルの自動暗号化等の機能も備えています。
参考:https://www.itreview.jp/products/hde-one/reviews/144743
機密情報の高いファイルのやり取りに便利
お客様と機密情報の高い容量の大きいファイルをやり取りする場合に上長などのチェックが入り、信頼性が保たれた状態で安心して送信できるので重宝しています。
参考:https://www.itreview.jp/products/hde-one/reviews/132212
トラスト・ログインbyGMO
国内登録者数No.1のID管理サービスです。IT管理者がアプリケーションのパスワードを設定し、従業員に割り当てられる機能があります。個人任せのパスワード管理をなくせるので、パスワードの複雑性を統一できるでしょう。また従業員と各アプリを紐づけられるため「従業員が退職後に業務アプリにアクセスできないようにする」ケースにも容易に対応でき、セキュリティホールをなくせます。プロプランの料金は1IDにつき330円/月。無料で利用できるプランもあるため「まずはパスワード管理機能がどんなものか確かめてから導入したい」企業におすすめです。
トラスト・ログインbyGMOの参考レビュー、口コミ
難しいパスワードを暗記して入力する作業から解放されました
各種ウェブサイトの管理画面、Zoom、社内システム…
独自のアプリも簡単に登録できるため、あらゆるものを登録しています。
当社では社内システムにログインをする際に単純にパスワードとIDを入力するだけでなく、もう1手間かかるのですが、そちらも対応できるようにしていただきました。
WordPressのログイン画面が同じドメインで複数あるのですが、chromeのパスワード管理だと1つしか記憶できないため、とても重宝しています。
参考:https://www.itreview.jp/products/trust-loginbygmo/reviews/148069
セキュアで便利なツールです
優れている点・好きな機能
・ポータル機能
その理由
・シングルサインオンとしてセキュリティを確保しつつ、煩雑なログインパスワードを記憶させることができること
参考:https://www.itreview.jp/products/trust-loginbygmo/reviews/97725
LastPass
操作性がよく簡単にパスワードを管理できるツールです。サイトへのログイン時に自動的に登録するか聞かれ、「追加」を選択するだけで簡単にパスワードを登録できます。Chrome、FireFox、Safari、Opera、Edgeなど主要なブラウザに対応。モバイルはAndroid、iOS、iPadOS、watchOSをサポートしています。Webブラウザ版は日本語非対応なので注意が必要です。料金は1ユーザーあたり$3/月で、14日間の無料トライアル版もあります。
LastPassの参考レビュー、口コミ
超簡単なパスワード管理Tool
マスターIDの登録のみで、WEBサイト上で登録している各個人パスワードの管理が簡単にできる点はとても便利です。
参考:https://www.itreview.jp/products/lastpass/reviews/44214
chromeの拡張機能で管理でき、非常に便利
GoogleChromeの拡張機能として使っています。複数のパスワード管理が、ログインするだけで利用できるので重宝しています。
参考:https://www.itreview.jp/products/lastpass/reviews/53954
1Password
10万社以上の導入実績があるパスワード管理サービスです。マスタパスワードに加えてSecret Keyがあり、マスタパスワードが万が一漏えいしてもKeyを知らなければアクセスできない二段構えの仕様。またパスワード漏えいチェック機能もあり、社内で管理しているドメインを事前に登録することで、漏えいが発生したアドレスを検出することが可能です。対象のユーザーに早急にパスワード変更を促せるので、影響を最小限に抑えられるでしょう。料金はビジネスプランの場合1ユーザー7.99ドル/月。14日間の無料トライアルもあります。
1Passwordの参考レビュー、口コミ
安心・安全なパスワード管理に
優れている点・好きな機能
・デバイス間で同期が可能な点
・セキュリティアラート機能
その理由
・同期をすることで、スマホやタブレットなどの複数端末から情報を確認できるから。
・アラート機能があることで、アプリに保存したデータが侵害されたり、パスワードを再使用してしまったときに
すぐに確認・訂正することができるから。
参考:https://www.itreview.jp/products/1password/reviews/155589
アップデートされて使いやすくなった
・セキュリティに強いパスワードを簡単に生成できる
・パスワード管理が楽になる
・スマホでもPCでもシームレスに利用ができる
参考:https://www.itreview.jp/products/1password/reviews/139463
ITreviewではその他のID・パスワード管理ツールも紹介しており、紹介ページでは製品ごとで比較をしながら導入ツールを検討できます。
まとめ
テレワークの普及やサイバー攻撃の多様化により、企業におけるパスワード管理の重要性がますます高まっています。安全なパスワードの作成方法や攻撃手口の種類を知ったうえで、適切に管理していくようにしましょう。
パスワード管理をする際は複数のサービスで使い回さない、1つのサービスに1つのパスワードを設定する、などの対策が必要です。パスワード管理ツール・アプリを選ぶときは、機能の豊富さや対応OS、セキュリティレベル、バックアップ機能などに注目しましょう。また導入実績が多く、サポートが充実している製品だとより安心して利用できるでしょう。
