パスフレーズとは、複数の単語や文字列を組み合わせて作成された、セキュリティのための文字列のことです。

パスワードとパスフレーズの違いとして、パスワードは一般的に、8～10文字程度で構成されることが多いですが、パスフレーズは「フレーズ」や「文章」で構成されるため、パスワードより長い文字列になることが挙げられます。

また、文字や数字のランダムな組み合わせであるパスワードに対し、パスフレーズは単語に意味を持っている分、パスワードより記憶しやすいといった特徴もあります。

▼パスフレーズとパスワードの違い

パスフレーズを作成する際、以下のポイントを意識することで、攻撃者から推測されにくい文字列を作ることができます。

ただし、サイトやアプリによっては文字数制限があったり、スペースが使用できなかったりするので、注意が必要です。 この記事では、パスフレーズの概要やパスワードとの違い、作成時に押さえたい6つのポイントについて詳しくご紹介します。

パスフレーズとは？

パスフレーズとは、データやシステム認証の際に使用する、複数の単語を組み合わせて作られた長い文字列を指します。

パスフレーズの例

セキュリティ強化の目的で使用される点でパスワードと似ていますが、一般的なパスワードに比べ、文が長く、かつ覚えやすいフレーズを使うことで、セキュリティ機能を強化しつつも記憶しやすいという特徴を持ちます。

一般的なパスワードの半数以上は1分以内で解読されてしまう

ある米国のセキュリティ企業が、AIを利用してパスワードのクラックに要する時間を調査したところ、「一般的なパスワード」のうち51%が1分以内に、65%が1時間以内に、71%が1日以内に、81%が1カ月以内に解読されることが判明しました。

一方、パスワードが18文字以上になることで、解読に要する時間が大幅に長くなることも、あわせて確認されています。

▼AIを使ってパスワードを解読するのにかかる時間

出典：Security Hero｜AN AI JUST CRACKED YOURPASSWORD

この調査結果からも、パスワードよりも文字数が多いパスフレーズを使用することで、セキュリティの強度を、より一層高められることがわかります。

また、パスフレーズに使用する文字は、数字、大文字と小文字、記号と、なるべく沢山の種類を含めることが望ましいでしょう。

パスフレーズとパスワードの違い

パスフレーズとパスワードの大きな違いとして、「文字数」「覚えやすさ」「スペースの有無」などがあげられます。

▼パスフレーズとパスワードの違い

パスワードは一般的に、8～10文字程度で構成されることが多いです。一方、パスフレーズはその名の通り「フレーズ」や「文章」で構成されるため、20文字以上など、パスワードより長くなる傾向にあります。

文字数が増えるほど解読に時間がかかるので、パスフレーズはパスワードに比べ、ブルートフォース（総当たり）攻撃やパスワードリスト攻撃に対し、さらに高いセキュリティを確保できます。

また、パスワード作成時にスペースが使用できるケースはあまりありませんが、パスフレーズではスペースの使用が認められています。スペースを含むことで、パスフレーズ全体の文字数が増えるとともに、文字列の複雑性も高まります。

さらに、文字列が意味を持たないパスワードと異なり、パスフレーズは複数の単語を組み合わせるため、長くても覚えやすいという特徴があります。

パスフレーズのメリット

改めて、短いパスワードではなく、パスフレーズを使用するメリットについてお伝えします。パスフレーズがセキュリティ強化のために推奨される理由として、「覚えやすい」「安全性が高い」などが挙げられます。

覚えやすい

パスフレーズの最大のメリットの一つは、覚えやすさです。

通常のパスワードは英字や数字、記号のランダムな組み合わせが多く、長く複雑にするほど記憶しづらくなるという特徴があります。

しかし、パスフレーズは日常的に使用する単語やフレーズを組み合わせて作成するため、文字数が多くても、記憶することができます。例えば、「daikoubutsuha Daihuku!」のように、自分にとって意味のある言葉やフレーズを選ぶことで、記憶に残りやすく、パスワード管理の負担を減らすことが可能です。

また、覚えやすいフレーズであることで、ユーザーがメモに頼らずともパスフレーズを記憶できるため、覗き見など「ソーシャルエンジニアリング」の被害にあうリスクも軽減できます。

「文字列を覚えやすい」という特徴は、特に多くの異なるアカウントごとに、違うパスワードを設定・管理する場合に効果を発揮します。

安全性が高い

パスフレーズのもう一つの大きなメリットは、「パスワードを推測されづらい」という安全性の高さにあります。

パスフレーズは長く複雑な構造を持つため、ブルートフォース攻撃（総当たり攻撃）や辞書攻撃で、認証を突破されるリスクを低減できます。

また先述の通り、文字数を増やすだけでなく、スペースや記号を含めたり、「i」を「1」に置き換えるなど自分なりのルールを設けたりすることで、さらにセキュリティレベルを高めることができます。

パスフレーズのデメリットや注意点

パスフレーズ作成時、以下のような点に注意しましょう。

サイトやアプリによっては文字数制限がある

パスフレーズのデメリットとして、文字数の制限があるサイトやアプリでは使用が難しいことが挙げられます。

結果として、作成したパスフレーズを短くせざるを得なくなり、セキュリティ強度が低下する可能性があります。

スペース（空白）が使用できない場合がある

要注意な点として、一部のサイトやアプリでは、スペースを含めた文字列を使用できない場合があります。

代替手段として、アンダーバー（_）やハイフン（-）を使用し、フレーズを区切るという方法があります。

パスフレーズを作成する際のポイント

最適なパスフレーズを作成する際のポイントとして、以下の6つが挙げられます。

1　一般的なフレーズは使用しない

パスフレーズを作成する際は、誰もが思いつくような一般的なフレーズを、なるべく避けることが重要です。たとえば、「cat」や「neko」のような単語は多くの人が使用する可能性があるため、第三者からも推測されやすくなります。

代わりに、「nekochan」としてみたり、「vivichan」といったペットの愛称・ニックネームなどを組み合わせたりすることで、推測されにくいパスフレーズを作成することができます。

2　大文字・小文字・数字などを混在させる

パスフレーズには、大文字・小文字、数字、さらには記号を組み合わせることが推奨されます。

たとえば、「watashino Kawaii viviChan!3」のように、大文字と小文字をランダムに使い、数字や記号を追加することで、パスフレーズ全体の複雑さが増し、解読されにくくなります。

先ほども少し紹介しましたが、「Kawaii」の「i」だけを数字の「1」に置き換えるなどの工夫で、より推測が困難になります。

3　4つ以上の単語を使用する

パスフレーズを強固にするためには、最低でも4つ以上の単語を組み合わせることが推奨されます。

単語の数が増えるほど、攻撃者が全ての組み合わせを試すことが難しくなり、解読される可能性が低下します。

4　関連する単語は使用しない

パスフレーズを構成する際に、関連性のある単語を組み合わせることは避けましょう。

たとえば「bananaringomikan」（バナナ、リンゴ、みかん）のように、関連しているフレーズが続くと、推測されやすくなります。

対して、「Osyarena shiroi touhu wo reizouko he」のような、関連性の低い単語を組み合わせつつストーリー性を持たせると、推測が難しく、かつ覚えやすくなります。

5　個人情報は含めない

パスフレーズには、名前や誕生日、住所といった個人情報を含めないようにしましょう。

これらの情報は攻撃者にとって容易に入手可能な場合が多く、特定のユーザーに対して個別に攻撃が行われる場合には、特に危険です。

代わりに、個人的な情報とは無関係な単語やフレーズを選ぶことで、パスフレーズをより安全に保つことができます。

6　使いまわさない

パスフレーズ・パスワード共に、他のアカウントやサービスで使いまわさないことが大切です。

万が一、パスフレーズを複数のアカウントで使いまわしていた場合、1つのサービスにてパスフレーズが漏洩すると、同じパスフレーズを使用している他のアカウントも、危険にさらされてしまいます。

サービスごとに違うパスフレーズを作成・設定し、セキュリティのリスクを分散させることが必要です。

関連ページ

パスワードの使いまわしはなぜ危険？理由と根本的な対策を解説

パスフレーズと併用したいセキュリティ対策

長く複雑なパスフレーズを設定することは、セキュリティ対策として非常に有効ですが、それだけで不正ログインのリスクを完全に排除することはできません。

セキュリティ強度をさらに高めるための対策として、多要素認証（MFA）やシングルサインオンを併用することが推奨されます。

「多要素認証」を有効にする

多要素認証とは、知識情報（パスワードなど）、所持情報（スマートフォンなど）、生体情報（指紋など）の3つの認証要素の中から、2つ以上の要素を使って、認証を行うセキュリティ手法です。

例えば、アカウントにログインするため、①「パスワードの入力」に加え、②「指紋認証」や「ワンタイムパスワードの入力」が必要になる、といったイメージです。

▼多要素認証のイメージ

多要素認証を導入していれば、攻撃者は不正ログインを試みた際、パスフレーズの解読に加え、追加の認証要素の入手が必要となります。

万が一、パスフレーズが攻撃者に知られたとしても、不正ログインのリスクを大幅に軽減することが可能です。

関連ページ

例でわかる！多要素認証(MFA)とは？仕組みや種類・二段階認証との違いをわかりやすく解説

シングルサインオン（SSO）

シングルサインオンは、一度のログインで複数のシステムやアプリにアクセスできる仕組みです。

▼シングルサインオンを導入した場合・していない場合の比較

シングルサインオンを利用すれば、ユーザーは一つの強固で突破困難なパスフレーズを設定し、一度のログインで、他の関連する複数のサービスやアプリもアクセスできるようになります。

シングルサインオンの仕組みにより、パスフレーズの使いまわしや、同じパスワードを複数のサイトで使用するリスクが減少し、セキュリティが向上します。

またシングルサインオンは、企業のセキュリティ管理を一元化することができるため、管理者にとっても利便性が高く、セキュリティの全体的な強度を向上させる効果があります。

関連ページ

シングルサインオン(SSO)とは？仕組みやメリットを簡単に解説

認証まわりのセキュリティ強化なら「LANSCOPE プロフェッショナルサービス」にお任せ

パスフレーズを使いまわさず、長く推測されづらい文字列を設定することは、攻撃者の不正アクセス対策として欠かせません。その一方、パスフレーズの工夫だけでは、不正ログインのリスクを完全に無くすことは困難です。

攻撃者の不正なアクセスから大切なアカウントや情報資産を守るには、先述した「多要素認証」の導入や、あるいは認証まわりの脆弱性の修正・設定の見直しを行うことが重要です。

1、クラウドサービスのアカウント乗っ取りを防止「クラウドセキュリティ診断」

1つ目に紹介するのが、Microsoft 365 やAWS・Salesforce といったクラウドサービスの設定不備を見直し、不正アクセス被害を無くす「クラウドセキュリティ診断」です。

クラウドサービスのアカウントが乗っ取られる原因の多くは、お客様自身の「クラウドの設定ミス」に起因します。しかしクラウドの仕様はベンダーの都合で定期的に更新されるため、正しい設定を常に適用し続けることは、簡単ではありません。

「クラウドセキュリティ診断」では、知識豊富な弊社のスペシャリストが、クラウドサービスにおける管理設定上の不備を洗い出し、正しく設定するための支援を行います。

例えば、各種クラウドサービスに「多要素認証」を適用する・セッションタイムアウト時に「強制的にログアウトさせる」など、不正アクセスの原因を根本から改善することで、アカウントの乗っ取りを防止します。

関連ページ

クラウドセキュリティ診断サービスの詳細│LANSCOPE プロフェッショナルサービス

2．「認証周り」の課題に対策できる「脆弱性診断・セキュリティ診断」

2つ目に紹介するのは、お客様のサーバやネットワーク・アプリケーションに、セキュリティ面の欠陥（脆弱性）がないかをテストする「脆弱性診断・セキュリティ診断」です。

こちらは主にソフトウェアやアプリケーションを提供する、開発者・ベンダー様におすすめのサービスとなります。

当社のセキュリティ診断では、お客様が運用されるサーバやアプリケーション環境に置いて、アカウント乗っ取りにかかわる「認証周り」の課題を、以下の観点から弊社のエキスパートが診断。適切な改善策を提示します。

▼脆弱性診断：アカウント乗っ取りにかかわる「認証周り」の主な確認観点

明らかになった課題に対しては、詳細な診断レポートを発行し、現状課題と必要な対策をお伝えします。

関連ページ

脆弱性診断・セキュリティ診断サービスとは│LANSCOPE プロフェッショナルサービス

まとめ

本記事では「パスフレーズ」をテーマに、その概要や対策について解説しました。

パスフレーズはセキュリティの効果を高めながら、使いやすさを維持できる手段として、重要なシステムやデータの保護にも適しています。

ぜひ適切なパスフレーズを作成、設定することで、不正アクセスへの対策を強化していきましょう。