Written by Aimee
目 次
パスワードポリシーとは、システムやサービスを利用する上で設定するパスワード(パスコード)に関し、組織が定めたルールや条件のことを指します。
管理者側で適切なパスワードポリシーを設けることにより、「簡易なパスワード設定によって、第三者に文字列が推測され、パスワードが不正アクセスに悪用された」などのセキュリティリスクを、防止することが可能です。
パスワードポリシーの例として、以下のような項目があげられます。
- パスワードの長さ(例:最低8文字以上)
- パスワードの複雑さ(例: 大文字、小文字、数字を必ず1文字以上使用する)
- パスワードの更新(例:2か月ごとにパスワードを変更する)
- パスワードの再利用制限(例:過去に利用したパスワードの再利用を禁止する)
- 初期パスワードの変更(例: 新しいアカウントやシステムに対し、デフォルトのパスワードは、初回ログイン時に変更することを強制)
とりわけ価値ある情報を多数所持する企業・組織では、パスワードポリシーの適切な設定・管理は必須事項と言えるでしょう。ただ厳格なポリシーを定めるのではなく、ユーザーの利便性や負担も考慮し、バランスの取れたパスワードポリシーを策定することが重要です。
この記事では、パスワードポリシーの概要、設定する重要性や注意点について詳しく解説いたします。
▼この記事でわかること
- パスワードポリシーとは、パスワードを設定する際、満たすべき基準や条件を規定したもの
- パスワードポリシーを設定することで、不正アクセスやアカウントの乗っ取りといったサイバー攻撃を防ぎ、個人情報や企業機密を保護できる
- パスワードポリシー設定時は、条件が厳し過ぎると逆効果のため、パスワードの難易度(文字数や種類)や、更新頻度を上げすぎないよう配慮する
- パスワードポリシーの適用に加え、シングルサインオンや多要素認証の導入が効果的
- 端末の数が増えるほど、手動によるポリシー管理は困難なため、一括管理できるツールやシステムの活用がおすすめ
パスワードポリシーとは
パスワードポリシーとは、ユーザーが認証時に用いるパスワードに関して、作成や設定する際、満たすべき基準や条件を規定したものです。またシステムやサービスによっては、満たすべき基準に達していないパスワードは設定できないよう制御を加える機能があり、この機能そのものをパスワードポリシーと呼ぶこともあります。
パスワードポリシーの具体的な例として
- 最低、8文字以上の文字列を使用する
- 数字・記号・英字を組み合わせなければいけない
といった条件があげられます。
パスワードポリシーを設定することで、ユーザーの判断により、極端に短いパスワードや単純な文字列、一般的な単語など、第三者から容易に推測されるようなパスワードの設定を、管理者側であらかじめ防止することが可能となります。
特に企業・組織の場合、脆弱なパスワードの設定や管理が要因で、アカウントの乗っ取りや、VPN機器の認証が突破されるなどの被害を招いています。パスワードポリシーは、不正アクセスや情報漏洩などのリスクを最小限に抑える上で、基本的な対策であるとともに、重要な役割を果たします。
以下は、パスワードポリシーで設定できる項目の例です。
- パスワードの文字数
- パスワードに必ず含めるべき文字種(大文字、小文字、数字を必ず1字以上など)
- 連続文字の制限
- パスワードの有効期限
- パスワードの変更禁止期間(変更直後の再変更の可否など)
- アカウントのロックアウトのしきい値(連続でログインに失敗できる回数)
- 過去に使用したパスワードの利用可否
- よく使われる文字列の禁止(password、123456など)
パスワードポリシーは、システム管理者やセキュリティ担当者が適切に設定し、ユーザーに遵守させることで、システムやアカウントのセキュリティを向上させる、重要な手段となります。
不正アクセスの8割が、ID/パスワードの不正利用。
パスワードポリシーを設定する重要性
パスワードの設定に関するルールや条件を定め、適切なパスワードを設定することは、不正アクセスなどのサイバー攻撃から、組織ならびにユーザーの個人データ、機密情報を守る上で欠かせません。
警察庁の調べによると、2023年上半期に検挙された不正アクセス行為の83.5%が「識別符号窃用型」によるものでした。識別符号窃用型とは、他人の識別符号(IDやパスワードなど)を使って、不正アクセスを試みる手法です。
識別符号窃用型の不正アクセス行為における原因の内訳を見ると、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が61件(38.9%)で最多を占めており、厳格で強固なパスワード管理の重要性がうかがえます。
出典:警察庁|令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和 5年9 月21日)
また、NordPassが公開した「Top 200 Most Common Passwords(世界で最も使用頻度が高いパスワードトップ200)」を見ると、「123456」や「password」といった、単純な文字列や、誰でも推測できる安易なパスワードが上位を占めていました。これらの単純なパスワードは、解読にわずか1秒しかかからないというデータも、同社よりあわせて公開されています。
▼世界で最もよく使用されているパスワード(トップ10)
| 順位 | パスワード | 解読に要する時間 | パスワードの使用回数 |
|---|---|---|---|
| 1位 | 123456 | 1秒 | 4,524,867 |
| 2位 | Admin(管理者) | 1秒 | 4,008,850 |
| 3位 | 12345678 | 1秒 | 1,371,152 |
| 4位 | 123456789 | 1秒 | 1,213,047 |
| 5位 | 1234 | 1秒 | 969,811 |
| 6位 | 12345 | 1秒 | 728,414 |
| 7位 | password | 1秒 | 710,321 |
| 8位 | 123 | 1秒 | 528,086 |
| 9位 | Aa123456 | 1秒 | 319,725 |
| 10位 | 1234567890 | 1秒 | 302,709 |
出典:NordPass|Top 200 Most Common Passwords
この結果から、システムやサービスを管理する組織の管理者が厳格なパスワードポリシーを定めない限り、ユーザーは安易なパスワードを設定する可能性が高いことが予想されます。
認証情報の悪用による、不正アクセスなどのサイバー攻撃を防ぐためにも、管理者側による明朗で正しいパスワードポリシーの設定・管理が重要と言えます。
パスワードポリシーを設定する際の注意点
パスワードポリシーを設定する際は
- パスワードを作成する際のハードルを上げすぎない
- パスワードの更新を頻繁にしすぎない
の2点に配慮することを推奨します。
例えば、パスワードの複雑さや長さに関する要件は、セキュリティを高める上で欠かせませんが、過度に条件が厳しいと、ユーザーの利便性を損なう可能性があります。
▼厳格すぎるパスワードポリシーの例
- パスワードの文字数は最低でも15文字以上にする
- 英字・数字・記号・大文字・小文字すべてを含めなければならない
過度なパスワード管理は、結果として「付箋にパスワードをメモする」「会社が許可していない、フリーのパスワードマネージャーを個人判断で使用する」「同一パスワードを使いまわしする」といった、ユーザーのリスクある行為を助長する懸念があります。
また、高い頻度でパスワードの変更を強制することも、「覚えやすい単純なパスワードの設定」や「パスワードの使いまわし」といった行為を増加させる可能性があり、必ずしも効果的とは言えません。
パスワードポリシーの策定時は、「セキュリティの向上」と「利用者のパスワード管理のしやすさ」の両方を考慮した、バランスの取れたポリシーを設定することが重要です。
パスワードポリシーだけに頼らない、セキュリティ対策の導入も重要
強固なパスワード設定は、セキュリティ対策として勿論欠かせませんが、根本的に認証方法を強化する対策として
- シングルサインオン(SSO)
- 多要素認証(MFA)
などの併用も効果的です。
シングルサインオン(Single Sign-On、SSO)とは、一度のユーザー認証で、連携する複数のアプリやクラウドサービスへログインできる方法です。
▼シングルサインオンを導入している場合としていない場合の比較
シングルサインオンを導入し管理パスワードを最小化することで、複数のパスワードを所持するセキュリティリスク(簡易なパスワードの設定する、パスワードをメモに残す等)を、低減する効果が期待されます。
また、多要素認証(Multi-Factor Authentication、MFA)とは、①知識情報(パスワードなど)、②所持情報(スマホを用いたワンタイムパスワードなど)、③生体情報(指紋・顔認証など)の中から、2つ以上の要素を用いて、認証を行うセキュリティ手法です。
▼多要素認証のイメージ
仮に攻撃者がパスワードを推測・窃取して不正ログインを試みても、多要素認証を導入していれば、パスワード入力だけで認証を突破されることはありません。
企業・組織は複雑なパスワードを使用するだけでなく、これらの認証方法を組み合わせることで、より高度なセキュリティレベルを確保することができます。
パスワードポリシー管理時の課題
認証方法を強化する上で、パスワードポリシーの設定と管理は欠かせませんが、複数のシステムやサービスに対し「どのアカウントがパスワードポリシーに準拠・非準拠しているか」を、管理者が1つ1つ手動で把握することは非現実的です。
また新たな利用者が追加されると、初期のパスワードが変更されないまま、放置されることがよく発生します。初期パスワードは製品ごとに共通で、取扱説明書やインターネット上で公開されていることも多いため、そのまま放置することは非常に危険です。
このような「パスワードポリシー」に関する課題を解決するには、ポリシー管理をサポートする、セキュリティツールの導入が欠かせません。
リモートロック/ワイプだけじゃない!
紛失リスクの高いモバイル端末のパスワードポリシーを一括管理できる「LANSCOPE エンドポイントマネージャー クラウド版」
PCに加えてスマホ・タブレットを従業員に貸与しているという組織は多いのではないでしょうか。PCと比較して、スマホは持ち運びがしやすいことからも、紛失リスクが非常に高い端末です。紛失時、拾得者など第三者がスマホ内部のデータにアクセスできないよう最も基本的な対策となるのが、デバイスへのパスワードの設定です。
MOTEXの提供する、IT資産管理・MDMツール「LANSCOPEエンドポイントマネージャー クラウド版」であれば、管理下にあるスマホのパスワードを、ポリシーで一括管理することが可能です。
- パスワードの種類(英字+数字+記号 など)
- パスワードの最小の長さ
- 含まなければならない文字列の最小値
- パスワードの変更頻度
- 連続で失敗できるログイン回数
といった要件を管理者側で設定し、会社共通のパスワードポリシーをデバイスに一括で適用できます。
▼「パスワードポリシー」設定画面
また、リモートでの画面ロックやワイプ(初期化)、位置情報の取得なども可能なため、万が一、社外でデバイスを紛失した場合も、デバイスの不正利用や情報漏洩のリスクを防ぐことが可能です。
一般的にデバイスを紛失してしまった際の対策として、リモートロック/ワイプによる遠隔操作が挙げられます。しかし、この対策の場合、デバイスの電源が落ちてしまっているとリモートロック/ワイプは実行できません。このような背景から、実は、デバイスの紛失対策の最も基本的な対策は、パスワードポリシーに準拠した適切なパスワードの設定なのです。
また、上記でご紹介したのは、管理下にあるデバイスへの対策ですが、LANSCOPE エンドポイントマネージャー クラウド版の管理コンソールへのパスワードポリシーの設定や2要素認証、IPアドレス制限も可能です。
多くのクラウドサービスでは、インターネット接続があればどこからでも利用できるという利便性がある一方で、前述のように不正アクセスなどのリスクというものも付いて回ります。これらのリスクを低減するためにも、パスワードポリシーに準拠した正しいパスワードの設定が最も基本的な対策と言えるでしょう。
LANSCOPE エンドポイントマネージャー クラウド版にはその他にも、組織のPC・スマホ端末を効率的に一元管理するための、様々な機能が備わっています。詳細は以下のページよりご覧ください。
まとめ
本記事では「パスワードポリシーとは」をテーマに、その概要や重要性、パスワード対策について解説しました。
本記事のまとめ
- パスワードポリシーとは、パスワードを設定する際、満たすべき基準や条件を規定したもの
- パスワードポリシーを設定することで、不正アクセスやアカウントの乗っ取りといったサイバー攻撃を防ぎ、個人情報や企業機密を保護できる
- パスワードポリシー設定時は、条件が厳し過ぎると逆効果のため、パスワードの難易度(文字数や種類)や、更新頻度を上げすぎないよう配慮する
- パスワードポリシーの適用に加え、シングルサインオンや多要素認証の導入が効果的
- 端末の数が増えるほど、手動によるポリシー管理は困難なため、一括管理できるツールやシステムの活用がおすすめ
脆弱なパスワードの使用による、不正アクセス被害を生まないためにも、組織は日頃から適切なパスワードポリシーの設定・管理をおこない、セキュリティレベルの向上を図りましょう。
またMOTEXでは、自社の情報セキュリティ対策の課題をセルフチェックできる、43項目のチェックシートをご用意しました。ぜひ合わせてご活用ください。
おすすめ記事
