IT管理者が注意すべきパスワード管理方法・ツールとは？

テレワークが一般的になった現代、多くの企業で頭を悩ませているのは「パスワードの管理」ではないでしょうか。働き方が多様化した分、個人に管理を任せるとシャドーITの利用やパスワード漏洩のリスクがあるのではないか、今の管理で情報が守れるのかなど、IT管理者の負担と悩みは大きくなっていると思います。
サイバー攻撃から情報を守るためには、適切なパスワードの管理が鍵を握ります。本記事では、IT管理者が注意すべきパスワードの管理方法についてご紹介します。

多くの顧客情報や製品情報を管理する企業にとって、パスワード管理は非常に重要です。警察庁が令和4年4月に発表した「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和3年中の不正アクセス禁止法違反による検挙は429件。そのうち398件が識別符号窃用型（他人のアカウントなどを不正に取得して無断で使用する）で、全体の92.8％を占めています。多くは利用者がパスワードの管理・設定を甘くしていたために、その隙を狙って入手しているようです。

中でも企業が注意したいのは「パスワードリスト攻撃」。パスワードリスト攻撃とは、不正に入手したIDとパスワードを利用してアクセスするサイバー攻撃を言います。正規ルートでアクセスされるため、一見すると不正アクセスであるとは見抜けません。
2019年に発生したある大手企業システムへの不正アクセスは、このパスワードリスト攻撃によるものだと考えられています。2019年7月31日時点で被害人数は800人以上、被害総額は3,000万円以上に上り、提供会社はサービスを廃止せざるを得なくなりました。

この事件は、大手企業でさえ、パスワード管理が適切でなければ被害に遭う可能性があると証明しています。
特にテレワークが増え、従業員の管理が以前より困難になった現代では、パスワード管理は非常に重要です。テレワークによって個人が様々な場所からサービスを利用する機会が増えたために、企業が管理しなくてはならないID・パスワードの数は増大しています。しかし、パスワードが増えるほど管理は複雑化します。

IPAの「情報セキュリティ重大脅威2022」では、4位に「テレワーク等のニューノーマルな働き方を狙った攻撃」がランクイン。警視庁もテレワークによるサイバー攻撃への注意喚起をするなど、テレワークによって複雑化したパスワード管理を企業がどう行うのかを、真剣に考える必要があります。

パスワードは安全な管理の方法を知り、実行することで守れます。ここからは、総務省の「国民のための情報セキュリティサイト」や、内閣サイバーセキュリティセンター（NISC）の「インターネットの安全・安心ハンドブック」などで推奨されている、安全なパスワード管理の方法をご紹介します。

安全なパスワードを作る

管理の前に、まずは特定されにくいパスワードを作りましょう。パスワードが単純で推察しやすいものは、パスワードリスト攻撃の被害に遭いやすくなります。

パスワードは、名前や誕生日など個人情報から特定できるものや、数字や文字の並びをそのまま使ったものは避けましょう。英単語をそのまま使うこともNG。大文字・小文字のアルファベットと数字を混在させ、並びを不規則にするのが有効です。加えて、NISCのガイドブックでは、10文字以上の長さにすることが適切とされています。

また、同じパスワードを複数のサービスで利用するのはおすすめできません。1つのサービスでパスワードを破られれば、連鎖的に他のサービスでも不正アクセスを許すことになります。

IDとパスワードは適切に保管する

IDとパスワードは適切な保管を行いましょう。保管の方法が不適切な場合、悪意のあるユーザーに見つかった際に、簡単に不正アクセスを許してしまいます。
誰でもアクセスしやすいようにと、IDやパスワードを貼り出すのはNGです。出入りの業者が見たり、遠方から双眼鏡を使って覗かれたりした場合、不正アクセスに繋がる可能性があります。

また、紙にパスワードをメモした場合は、使用するデバイスの近くには置かないようにしましょう。メモを付箋でデバイスに貼るのはもちろん、デバイスが置いてある机の引き出しに入れておくのも得策ではありません。もし引き出しに保管する場合には、必ず鍵のかかる箇所に入れて厳重に保管しましょう。

エクセルなどで管理する場合は、ファイルそのものにパスワードを付け、特定の人物しか閲覧できないようにしましょう。データは他人がパソコンを開いても分からないファイル名を付け、デスクトップなどの分かりやすい場所に保管しないようにすると、より安心です。加えて定期的にバックアップをとり、万一の事態に備えましょう。

なお、以前はパスワードを定期的に変更することが推奨されていましたが、NISCのハンドブックでは定期的な変更は必要ないとされています。むしろ、明確な基準を設けずに定期的な変更を要求することで、覚えやすいパスワードを使いまわすことに繋がります。明確なセキュリティ基準の設定と定期的な監査を行わないのであれば、定期的なパスワード変更はしない方が良いでしょう。

二段階認証システムやSSOの利用

二段階認証システムやSSOの利用もパスワード管理の安全性を高めます。

二段階認証とは、パスワードに加えて別の方法で本人確認をする方法です。SMSで送られてきた数字を入力したり、指紋をATMに読み込ませたりなど「自分しか持っていない情報」を元に本人であるかを確認します。2回入力が必要となるため従来に比べて手間はかかりますが、セキュリティの安全性が高まることがメリットです。

ただし、SMSを利用したワンタイムパスワードの発行は海外で破られた事例があります。二段階認証システムを導入するなら、ソフトウェアトークンや生体認証を利用しましょう。

もし膨大なパスワードを管理する必要があるのなら、SSOの利用がおすすめです。SSOは1つのID・パスワードによる認証で、複数のシステムやアプリにログインできるシステム。パスワードを1度入力すれば管理下にあるすべてのサービスにログインできるため、利便性が大幅にアップします。加えて複数のパスワードを持つ必要がなく、複雑なパスワード設定も煩雑に感じません。
これらのサービスを利用する場合には、構築のコストとユーザー負担、管理するパスワードの数や情報が漏洩した際のリスクなどを検討しましょう。特にSSOは属人的な管理によるパスワード漏洩は防げますが、SSOのパスワードが漏れた場合に情報漏洩のリスクが大きくなります。SSOを利用する際は、特に慎重なパスワード管理が必要です。

パスワード管理ツールの利用

パスワードの管理には、パスワード管理ツールを利用する方法もあります。パスワード管理ツールとは、複数のパスワードを管理してくれるツールのことです。複雑なパスワードの自動生成や、パスワードの保管、入力時の補佐などの機能が付いています。

パスワード管理ツールには、無料で利用できるもの、定期的に料金を支払う有料のもの、1度料金を支払うだけの買いきりのものの3つがあります。対応可能なデバイスやOS、機能、セキュリティ管理などを確認し、自社に合ったものを選びましょう。

【関連記事】「増え続ける不正アクセス！ID管理の徹底や多要素認証が求められる」

先述した4つの方法で、ある程度パスワードは守れます。しかし、これらの手段を使っても、個人の意識や予測していない方法によってパスワードが流出することはあります。ここからは、より安全にパスワード管理を行う方法をご紹介します。

個人でのパスワード管理を辞める

まずはパスワードを従業員個人で管理するのを辞め、パスワードの管理を「システム」にすることです。個人でパスワードを管理していると、複数のパスワードを扱う際に単純化や使いまわしが起こります。属人的な扱いを辞め、企業がシステムとしてパスワードを管理するようにしましょう。

フィッシングメールやマルウェアへの対策をする

パスワード対策と同時に、フィッシングメールやマルウェアなどへの対策も行いましょう。どんなにパスワードを複雑化しても、悪意のあるユーザーにパスワードを知られてしまえば、不正アクセスを許すことになってしまいます。

中でもパスワードの流出が起きやすいのが、フィッシングメールとマルウェアです。フィッシングメールに添付されているURLを開いたり、マルウェアに感染したりすることで、デバイス内の情報が流出しIDやパスワードを知られてしまう可能性があります。
これを防ぐには、大手企業や取引先を名乗るメールや、添付されているURLが本物なのかを見極める能力が必要です。覚えのないメールは開かない、公式からの情報なのか確認するなどのリテラシーを従業員に身に付けさせましょう。

またセキュリティソフトの導入も有効です。セキュリティソフトを導入することでフィッシングメールや怪しいサイトへの誘導を防げます。

セキュリティ通知を利用する

パスワードリスト攻撃は、正規ルートでアクセスするため、多くの場合不正利用されるまでアクセスに気付けません。その対策としておすすめなのが「セキュリティ通知」の利用です。

セキュリティ通知とは、普段利用していないデバイスからアクセスした場合や、メールの一斉送信など、不審な行動をした場合に通知を行うシステムです。身に覚えのない動きを検知することで、実際の被害に遭う前に対抗策を練ることができます。
ただし、セキュリティ通知自体がフィッシングである可能性もあります。通知が来ても慌てず、まずはログインして通知が本物かなどの詳細を確認しましょう。

安全なパスワード管理の方法をご紹介してきましたが、それでもパスワードが流出して被害に遭う可能性をゼロにはできません。万一に備えて、パスワードの流出が起きたときの対策も学んでおきましょう。ここからはパスワードの流出が起きたときにすべきことをご紹介します。

すぐにパスワードを変更

パスワードが流出したと判明したら、すぐにパスワードを変更し、悪意のあるユーザーがアクセスできないようにしましょう。すでにパスワードを変更されてアクセスができない場合は、サービスの提供元などに連絡して事情を説明し利用を停止します。

なお、パスワードを変更する場合には、別のデバイスで行いましょう。同じデバイスでパスワードを変更すると、再度パスワードを盗まれる可能性があります。

被害や原因を調査

パスワードが流出すれば、自社だけでなくお客様にも被害が出る可能性があります。すぐに不正アクセスがあったことを公開し、従業員やお客様からヒアリングを行って、被害状況を把握しましょう。

同時に、被害の原因を調査します。ただし、インターネットやサイバー攻撃に関する専門的な知識を有している従業員がいないと、自社で詳しい調査はできません。またパスワードの流出が起こった場合には、お客様対応に労力を割かなければならず、調査人員を社内で確保するのは難しい場合があります。
現在では、ハッキングの調査を行う専門の調査会社が存在します。社内での調査が難しい場合には、こうしたところに調査を依頼しましょう。

警察に相談

パスワードを盗むことやアクセス権限がないのにネットワークに侵入することは、不正アクセス禁止法によって禁じられている犯罪です。自社だけで解決しようとせず、必ず警察に相談しましょう。

不正アクセス禁止法では、不正アクセスを行った場合、3年以下の懲役、または100万円以下の罰金と定められています。アクセスをしなくてもパスワードを不正に取得したと分かっただけで、1年以下の懲役、または50万円以下の罰金が処されます。
パスワードが流出し情報漏洩が起きることは、企業にとって大きな損失です。二次被害が起きないよう、すぐに警察に相談して詳細を公表するなど、早めの対応が大切です。

先述したように、クラウドサービスやテレワークが増えた昨今において、パスワード流出のリスクは以前より大きくなっています。その対策として徹底したパスワード管理が求められますが、担当者が属人的に管理するのには限界があるでしょう。

そこでパスワード管理をシステム化するためにおすすめするのがIDaaSです。 IDaaS（IDentity as a Service）とは、クラウドサービスとオンプレミス、どちらのID・パスワードも一元管理できるシステムを言います。

ＪＢＣＣの「IDaaS運用支援サービス」では、複雑化したパスワードの管理を安全に行えるようサポート。IDaaSのお問合せに対して専門のエンジニアが対応。セキュリティ設定やユーザー・グループの追加、障害の支援などもＪＢＣＣがお手伝いをいたします。
クラウド利用や管理するID数が多いなど、より強固なパスワード管理を求めるお客様におすすめのサービスです。
より詳しい内容は、下記をご覧ください。

IDaaS運用支援サービス

IDaaS(Identity as a Service)は、上記のMFAやIDプロビジョニングの他、1つのIDで複数のシステムやサービスを利用可能にするシングルサインオン、アクセスコントロールなどをまとめて実装できる、ID管理に特化したクラウドサービスです。ＪＢＣＣは、IDaaSとしてOkta社サービスを提供するとともに、複雑化するID管理の安全な運用を定常的にご支援する運用支援サービスをご提供させていただきます。

詳細を見る

場所や時間を選ばない働き方、そのためのクラウドサービスは、今後より広がっていくと予想されます。その中で徹底したパスワードの管理を行うことは、企業の信頼を成り立たせる上でマストと言えるでしょう。

パスワード管理でお悩みのことがあれば、ＪＢＣＣにご相談ください。豊富な実績から、御社に合わせた最適な管理方法をご提案いたします。

ID 管理は、企業情報システムを取り巻く大きな変化で複雑化、多様化の一途をたどっています。今までどおりの対策ではもう、企業情報システム環境を守りきれなくなっているのが現状で、ID 運用の現場負荷も増大しています。このような課題を解決するため、めざすべきはID 環境の統合と運用効率化です。本資料では、そこへ到る道筋を示すとともに、みごと課題を解決された企業の事例を交えながら、ID 管理の理想像を探っていきます。

資料をダウンロードする