理想のIDパスワード管理方法とは？｜二段階認証と二要素認証の重要性

多くの企業でシステムのクラウド化が進んでいます。

便利なクラウドサービスが次々と誕生し、業務を進めるうえでは便利になっていますが、パスワード管理におけるさまざまな問題点が発生しています。

パスワード管理の現状や問題点、理想の管理方法を解説します。

パスワード管理の目的

増え続けるID・パスワード

便利なクラウドサービスは年々増加しています。

低コストですし業務効率化を図れるので魅力が多いですが、それに伴うIDやパスワードが増え続けるのが昨今の問題となっています。

パスワードの使い回しは、セキュリティリスクを高めるので、セキュリティリスクを考えると、それぞれ個別に異なるIDやパスワードを設定すべきです。
しかし、多数のIDパスワードを管理するには手間がかかるため、使い回しをするケースが少なくないのが現実です。

とはいえ、セキュリティリスクを懸念してすべてのサービスに異なるIDとパスワードを設定すると、管理が難しく、覚えていない場合は毎回ログインに手間がかかり、デメリットとなってしまいます。

情報漏洩のリスク

現代社会において、情報漏洩は企業の将来性が危なくなりかねません。顧客や取り引き先にも信用されなくなり、社会的な信頼も失う可能性があるためです。

顧客の個人情報が漏洩したとなれば、メディアでも大々的に取りあげられることになり、築き上げてきた信頼はまたたく間に地へ墜ちてしまうでしょう。

社員に管理を一任してしまうとセキュリティに関しての意識や危機感が足りない社員もおり、システムへの不正アクセスなどをしてしまい、重要な情報が漏洩してしまうかもしれません。
または、故意ではなく、社員のミスや無知によって漏洩することもあります。

さらに損害賠償を請求されるリスクも考えられます。

個人情報が流出したことで損害賠償請求され、莫大な金額を支払わなければならない可能性もあるのです。

そのほか、機密情報が競合に渡ってしまった場合は、自社の将来や営業利益に多大の損失を招くことになります。

ID・パスワード管理に関する管理者の業務増加

各社員、ID・パスワード管理の手間が増加しますが、管理の煩雑化に伴い、管理者の業務負担も増加します。社員の入社や退社に伴いIDやパスワードの削除、登録業務が発生するのです。

認証に失敗してアカウントがロックされた、パスワードをリセットしたいといった問い合わせもあるでしょうし、他にもシステムへのログインに関するさまざまな質問がくるでしょう。それらにも対応しなくてはなりません。

社員と導入しているサービスが多いほど、管理者の手間は増えていくのです。

使い回しや簡素化によるサイバー攻撃のリスク

パスワードを使いまわしていると、それが流出した場合、サイバー攻撃のターゲットになるおそれがあります。

入手したパスワードを用いて他のサービスやシステムへの侵入を企てるパスワードリスト攻撃と呼ばれる手口があるのです。ひとつ流出しただけで芋づる式に複数のシステムを危険に晒すことになります。

パスワードに簡素な文字列を設定するのも、リスクを高めるため注意が必要です。
単純な文字列は簡単に予測されやすいため、数字と英文字を混ぜる、英文字も小文字と大文字を用い、記号も交えるなど工夫が必要です。

このようなルールを社員に徹底する事も、大切です。

クラウドサービスの利用実態

情報漏洩の事例

松下記念病院

松下記念病院では、2021年2月25日、患者の個人情報が流出した可能性があることを発表しました。
同院で使用していた、ノート PC 1台を紛失し、患者1,971名の個人情報が流出したとのことです。
情報の内訳としては、氏名や性別、年齢および生年月日のほかに、患者の特定部位についての撮影画像データが含まれていたとのこと。同院によると、紛失が明らかになったのは、2021年2月16日であり、捜索を進めたものの、今も所在不明の状態が続いているとのことです。
同院は、被害者に対して個別に連絡を取り、書面で謝罪したとのことです。

参考：松下記念病院でノートパソコン1台紛失、患者1,971名の情報記録｜サイバーセキュリティ.com (cybersecurity-jp.com)

JR東日本

JR東日本は2020年3月3日、ネット予約サービス「えきねっと」が不正アクセスを受けたと発表した。
不正にログインされた可能性がある3729人のアカウントについて同日夜にパスワードを強制リセットし、パスワードを変更しなければログインできないようにする措置を取った。
JR東日本の説明によれば、不正アクセスがあったのは3月2日午後5時30分から3日午後0時37分にかけて。この間に、えきねっとのサービスを利用できるスマホアプリ「えきねっとアプリ」を通じて、海外の特定IPアドレスから通常では考えられない多数のログイン試行があった。
不正ログインされた3729人のアクセスログを調べたところ、大半はトップ画面でとどまっていたが、13人分については別画面に遷移して登録者の個人情報を閲覧した形跡があった。閲覧された可能性があるのは、氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード情報の一部（カード番号の下4桁、有効期限、ブランド名）、連携している交通系ICカードの番号である。
Webサイト版のえきねっとでは同様の事象はなかった。ただし、えきねっとではWebサイトとアプリでアカウントが共通なため、アプリを使ったことがない利用者も不正ログインの被害を受けた可能性がある。

参考：JR東日本「えきねっと」で3729人に不正ログイン、海外からアプリ経由で | 日経クロステック（xTECH） (nikkei.com)

強固なパスワード管理は何をすれば良いのか

強力なパスワードとは

強力なパスワードと言えるのは下記のような項目が該当します。

・8文字以上の長さ
・文字、記号、数字が織り交ぜて入っている
・大文字と小文字両方を混在させている

強力ではない危険なパスワードの特徴

・パスワードを使いまわしている
・数字だけである
・特定の単語や文字列になっている

安全で強力なパスワードの作り方

強力なパスワードの作り方はどのようなものなのでしょうか。

パスワードは、自分の情報を守るために必須の物です。
強力なパスワードを作成し、しっかりと保護できるよう備えましょう。

文字や数字を混合させる

パスワードを作る際は、文字や数字を混ぜ合わせながら作ってください。
文字は、ほとんどの場合小文字と大文字を区別します。
小文字、大文字、数字の3種類を組みあわせると、強力なパスワードとなります。

推測されにくい長い文章を考える

連続している文字を使ったり、存在する言葉をパスワードにするのも、推測されやすいので控えた方が良いでしょう。
誕生日や電話番号を使用することも、推測されやすいです。
誰にも分からない規則性のない言葉を使用するようにしてください。

使いまわさない

一つのパスワードを使いまわしていると、パスワードがばれてしまった場合、すべてのアカウントのパスワードが流出していることになります。

強力なパスワードを生成していても、使いまわすのはやめましょう。

一般的な単語は使わない

一般的な単語をパスワードに使用すると、辞書攻撃の際に簡単に見破られてしまいます。
辞書攻撃（ディクショナリアタック）とは、パスワードを見破る際に使用される方法の一つで、辞書に登録されている一般的な単語や名前、人物名などを組み合わせたパスワードを作成し、手あたり次第ログインしてみる攻撃方法です。
辞書攻撃に備えるためには、予測しにくい珍しい単語を使用したり、単語の組み合わせを不規則に変更したりすると良いでしょう。

パスワード作成ツールを使用する

パスワード生成ツールを使用することも、強力なパスワードを作成できる方法の一つです。
パスワード生成ツールではアルファベット、記号、数字がランダムに組み合わされた文字列が生成されるため、推測されにくいパスワードの作成ができます。

多要素認証と「２段階認証」「２要素認証」

多要素認証

多要素認証は、複数の要素を用いて行う認証方式です。

パスワードなどのひとつの要素のみでは認証できないため、パスワードが流出時でもしても不正アクセスを回避できる可能性が高まります。

例としては、パスワード入力後にPINコードや秘密の質問への回答を求めるケースが挙げられます。

不正アクセスなどでパスワードが知られてしまってもPINコードや設定した質問への回答が求められるため、第三者による不正アクセス防止に役立ちます。

パスワードや秘密の質問などは「知識情報」と呼ばれます。その他に多要素認証には「所持情報」や「生体情報」などがあります。所持情報とは、本人のみが所持しているモノ（ICカードやスマートフォンなど）、生体情報は顔や指紋などで認証するものです。

知識情報と所持情報や生体認証を組み合わせていると、パスワードが流出しても不正にアクセスされる事は非常に難しくなります。

リモートワークで求められるセキュリティへの不安も多要素認証の導入で解決できます。
今後、利用するクラウドサービスがさらに増える可能性があります。それらの増加に伴い様々な脅威も増加し、不正アクセスを招くおそれがありますが、多要素認証でセキュリティを強化すればリスクを最小限に抑えられるでしょう。

「２段階認証」と「２要素認証」

２段階認証とは、「２段階の認証を行う」方法を指します。

例えば、１段階目の認証で「パスワード」を入力し、２段階目の認証で「秘密の質問」を入力します。

ポイントは入力するパスワードと秘密の質問はどちらも「知識認証」であることです。２段階の認証の場合は３つの要素「知識認証」「所有認証」「生体認証」を分けません。

「認証を２段階行う」ことで、パスワードだけの認証と比べてセキュリティ強化を図ります。

２要素認証は、「３つの認証要素の中から、異なる２つの要素を組み合わせて認証を行う」方法を指します。

例としては１段階目に「パスワード」で認証し、２段階目に「顔認証」を行う方法です。
パスワードは「知識要素」、顔認証は「生体認証」に該当します。

この場合は「知識要素」と「生体要素」の２つの要素を用いているため、２要素認証となるのです。

本人だけが知っている情報に加え、本人の身体的特徴（もしくは本人だけが所有している物）を読み取ることで、セキュリティをさらに強固にできます。

「多要素認証」と「２要素認証」の違いは？

多要素認証とは、「３つの認証要素の中から、異なる２つ以上の要素を組み合わせて認証を行う」方法です。

つまり、多要素認証と２要素認証の違いは、組み合わせる要素の数が「２つ」なのか「２つ以上」なのかという点です。２要素認証は、多要素認証の中の１つです。

理想のパスワード管理

今、一番安全といわれているパスワード管理は「パスワードはすべて管理者の一元管理となり、利用者にはパスワードを通知しない仕組み」です。

利用者はパスワードを知ることなく、二段階認証でログインします。

従業員が使用しているすべてのシステムの把握ができ、さらに従業員が使用しているすべてのID/パスワードの管理をする必要がなくなります。

社員のパスワードの使いまわしのリスクがなく、パスワードが社員以外に流出しても従業員以外の不正ログインの管理ができ、社員以外はログインすることはできないのです。

セキュリティ強化とパスワード管理、IPASS FREEがこの2つを同時に解決！

セキュリティーを強固にしたい。でもパスワード管理は大変。
IPASS FREEがこの2つを同時に解決します。

企業のパスワード管理の悩みもIPASS FREEで解決

・従業員が使用しているすべてのシステムの把握が大変
・従業員が使用しているすべてのID/パスワードの管理が大変
・入社、退社時のアカウント管理が大変
・社員のパスワードの使いまわしの監視が大変
・従業員以外の不正ログインの管理が出来ていない
・セキュリティー強化したいが、何をすれば良いか分からない

IPASS FREEが特に相性が良い業種

一般企業、店舗系、士業系、医療系など幅広くご利用いただけるサービスです。

医療系の事例では、個人情報を多く取り扱う業種なので、現在2段階認証、2要素認証の導入が進んでいます。

1台のパソコンを複数人で使うパターンが多いため、顔認証でアカウントを切り替えられるIPASS FREEは、セキュリティー強化以外にも業務効率の改善にも繋がります。

※Windows Hello顔認証に対応したパソコンが別途必要になります。

Windows Hello顔認証に対応したバルテックノートPCは、セキュリティ製品・ビジネスソリューションの開発を行なっているITベンダー「VALTEC」の自社ブランドPCです。
バルテック製品は全て自社開発・自社ブランドの為、あわせて利用することで様々なサポートが一括で受けられます。

↓↓今ならアイパスフリーとセットで購入することで2ヶ月間無料キャンペーンを実施中↓↓

まとめ

管理するID・パスワードの増加はほとんどの会社や社員が抱える問題で、負担が増える一方、セキュリティリスクも高まります。
ランサムウェアの感染、不正アクセスで情報漏洩が起これば社会てきな信頼を失います。信頼の損失は何よりも被害が大きいです。

このようなリスクを避けるための対策として適切なパスワード管理を行い従業員に対してセキュリティリスクを周知することです。

便利なツールの導入により、運用コストの削減やセキュリティ強化、コンプライアンス向上などの効果が期待できます。