IT資産管理

予算が無い!人手もない!という情報システム部向け
セキュリティ強化のための「DIY」対策 (パスワード管理編)

予算が無い!人手もない!という情報システム部向け<br>セキュリティ強化のための「DIY」対策 (パスワード管理編)

従業員のセキュリティ意識を高める3つのポイントとは?

従業員に抑えてもらいたいセキュリティ対策と必要性を理解してもらうための3つのポイントを解説

資料をダウンロードする


パスワードは、企業の情報資産を守るための最初の防御線です。しかし、依然として多くの従業員が簡単に推測されやすいパスワードを使用している現状があります。これにより、企業の機密情報や顧客データが危険にさらされる可能性が高まります。特に、リモートワークの普及により、従業員が自宅や公共のネットワークから、業務で利用するシステムやサービスにアクセスする機会や、社用端末を持ち歩く機会が増えたため、パスワードの強度はこれまで以上に重要となっています。

本ブログでは、「DIY=ツールに頼らず、外注せず、自社でできる」をテーマに、日常業務の負担を軽減し、セキュリティを向上させるための実践的なヒントをお届けします。今回は、最も基本的でありながら重要な「パスワード管理」に焦点を当てます。

1. 危険なパスワードランキング

2024年に日本の企業で最も使用されたパスワードはなんでしょうか?
リトアニアのセキュリティ企業Nord Securityが発表した「Top 200 Most Common Passwords」でランキングを見ることができます。

順位 パスワード
1位 123456789
2位 password
3位 12345678
4位 1qaz2wsx
5位 asdfghjk
6位 asdf12345
7位 aa123456
8位 asdf1234
9位 123456
10位 1234567890

出典:Nord Security Top 200 Most Common Passwordsより参考

上記のランキングからも分かる通り、多くの企業で「123456789」「password」等の単純で推測されやすいパスワードが使われていることが分かります。これは、従業員一人ひとりのパスワード管理に任せきりにしている企業が依然として多いことの裏返しとも言えるでしょう。また、「1qaz2wsx」「asdf1234」といったキーボード配列に基づく“見た目だけ複雑そう”なパスワードも多く、形式的なルール遵守でセキュリティを担保している実態も見えてきます。

2. 危険なパスワードの特徴

危険なパスワードにはいくつかの共通点があります。

単純な数列や文字列

単純な数列や文字列、短いパスワードは最も危険なパスワードの一つです。先ほどご紹介したランキングにもある通り、例えば、「123456」や「asdfghjk」といったパスワードは多くの企業で使われており、簡単に推測されてしまいます。
これらのパスワードは、ブルートフォース攻撃(総当たり攻撃)や辞書攻撃に対して非常に脆弱です。サイバー犯罪者は総当たり攻撃の際にこのような単純なパスワードを試みるため、すぐに突破されてしまう可能性が高いと考えられます。

内閣サイバーセキュリティセンター(NISC)では、ウェブサービスの認証に利用する「ログイン用パスワード」は、英大文字(26種類)小文字(26種類)+数字(10種類)+記号(26種類)の計88種類の文字をランダムに使った、10桁以上のものを安全圏として推奨しています。

個人情報に関連するパスワード

誕生日、名前、住所、電話番号など、個人情報に関連するパスワードも避けるべきだと考えられます。例えば、「John1985」や「Tokyo2020」といったパスワードは、SNSなどで公開されている情報を基に推測されやすくなります。サイバー犯罪者はSNSや公開情報からターゲットの個人情報を収集し、それを使って推測することがよくあるため、注意が必要です。

使い回しのパスワード

複数のアカウントで同じパスワードを使い回すことも非常に危険です。一つのアカウントが侵害された場合、他のアカウントも連鎖的に侵害されるリスクが高まります。サイバー犯罪者は、漏洩したパスワードを他のサービスで試すことが一般的です。これを防ぐためには、アカウントごとに異なるパスワードを設定することが重要です。

これらの特徴を持つパスワードは、サイバー犯罪者にとって格好の標的となります。情報システム部門としては、従業員に対して上記のようなパスワードの使用を避けるよう対策を行うことが重要です。

また、従業員へ適切な教育やルール整備を行っていない場合、そもそもパスワード自体を設定していないという問題が発生することも考えられます。パスワードの設定は最低限のセキュリティ対策として必須ですが、それを達成するために情報システム担当者には具体的にどのような対策ができるでしょうか。

3. 安全なパスワードの設定・利用を促すには?

パスワードの適切な管理は、企業全体のセキュリティを高める上で、基本的かつ重要なセキュリティ対策ですが、実際には「従業員任せ」になってしまっている企業も多いのではないでしょうか。
パスワードを適切に管理するためには、情報システム担当者による対策はもちろん、組織全体でセキュリティ意識を共有し、従業員一人ひとりが「安全なパスワード」がなにか理解している必要があります。

そこで情報システム部門が主導となって、「手間をかけずに」「無料で」「確実に」取り組める対策として、取り組みやすい第一歩をご紹介します。

ポイント1:パスワードポリシーの設定、パスワード変更のリマインダー
ポリシーとリマインダーで“使わせる”仕組みをつくる

まずは、「強いパスワードを使わせる仕組み」の構築です。
情報システム部門から「脆弱なパスワードを設定しないでください」と言うだけでは、従業員は意味を理解してくれず、伝わらない可能性があります。以下のような、自動で作用するポリシー設定と継続的なリマインダーを組み合わせて、従業員に依存しない仕組みを作ることが重要です。

●「パスワード要件設定」機能を活用する
例えばMicrosoft 365 や Google Workspaceなどのクラウドサービスでは、「パスワード要件設定」の機能があり、英大文字・小文字・数字・記号の組み合わせを強制し、一定の複雑さを保たせることが可能です。無料で管理コンソールから一括設定できます。

●定期的なパスワード変更を促す「カレンダー通知」
社内カレンダーを利用している場合、例えば3ヶ月ごとにパスワード変更を促す全社通知を登録しましょう。さらに、社内チャット(SlackやTeams)を利用している場合は、併せてリマインダーを送信することも効果的です。

ポイント2: 社員教育

一方で、仕組みだけでなく、従業員のセキュリティ意識づけも重要です。技術的な対策を講じても、パスワードを実際に扱う従業員自身に「適切なパスワードを設定・使用する」という意識がなければ、リスクを減らすことはできません。
社員教育には、定期的なセキュリティ研修や、社員がパスワード管理の重要性を日常的に意識できるようなリマインダー(例えば社内チャットツールでのリマインドメッセージ)を設定することが考えられます。

例として、社内用のリマインダー文面をご紹介します。

パスワード強化と管理方法について
社内システムのIDとパスワードが他人に知られると、不正侵入や情報漏洩のリスクがあります。
そのため、パスワードの設定と管理は厳重に行いましょう。

パスワード設定のポイント:
1. 推測されにくい情報を使用する
生年月日、氏名、ペットの名前などは避ける。
2. 複雑な文字列を作成する
大文字、小文字、数字、記号を交ぜる。
可能であれば12文字以上にする。

パスワード管理の注意点
1.入力時の注意
他人に見られないようにする。
2.メモの取り扱い
パスワードを書いたメモを目に付くところに貼らない。
メモ帳に書く場合は、他の文字を追加して生のパスワードをそのまま記入しない。

また、セキュリティ研修のコンテンツとしてお使いいただけるホワイトペーパーを下記でご用意しております。パスワード管理に限らず、従業員におさえてもらいたいセキュリティ対策と、その必要性を理解してもらうための3つのポイントを解説しています。対策チェックリストも付録していますので、ぜひご活用ください。

従業員のセキュリティ意識を高める3つのポイントとは?

従業員に抑えてもらいたいセキュリティ対策と必要性を理解してもらうための3つのポイントを解説

資料をダウンロードする

ピックアップ! 多要素認証(MFA)の導入

パスワードがどれほど強固でも、それが漏洩するリスクはゼロではありません。
実際、フィッシングメールや情報漏洩により、パスワードが外部に流出するケースは少なくありません。
そのような場合に企業を守る砦となるのが、多要素認証(MFA)です。
多要素認証とは、複数の認証(パスワード+認証アプリ+生体認証など)で本人確認を行う仕組みです。これを導入することで、仮にパスワードが漏洩しても、第三者による不正ログインを未然に防ぐことができるため、セキュリティ強化に非常に有効です。

特に以下のようなシーンでは優先して多要素認証の導入が必要だと考えられます。

  • VPNなど、社外から社内ネットワークにアクセスする場合
  • Microsoft 365やGoogle Workspaceなど、クラウドサービスを利用する場合
  • 社内ポータル、業務システム、管理コンソールなどの機密性の高いアカウント

導入にあたっては、スマートフォンで使える認証アプリ(例:Google Authenticator、Microsoft Authenticator)を活用すれば、コストをかけずに、無料で認証を導入・運用が可能です。
また、多くのクラウドサービスで管理者が一括で「多要素認証を必須とする」ポリシーを設定できるため、 情報漏洩のリスクを軽減することが可能です。

4. LANSCOPEが支援するパスワード管理

ここまでは、DIYとして自社でできるパスワードの管理方法をご紹介してきましたが、実際にはシステム導入により、圧倒的に効率化ができる業務もあります。ここではパスワード管理について、IT資産管理・MDM「LANSCOPE エンドポイントマネージャークラウド版」を導入していた場合に、どのような対応できるかをご紹介します。

利用者に依存しがちなパスコードの設定ルールを会社で統一
LANSCOPE エンドポイントマネージャークラウド版では、パスワードの桁数や英字、数字、複合文字使用など、パスワードの設定ルールを一括で配信できます。(※WindowsOSは対象外)

iOS・macOS の設定項目

  • パスコードの最少文字数
  • 単純値(aaaa、1234など)を禁止
  • 英字と数字が必要
  • 英数字以外の文字の最少文字数
  • パスコードの有効期間
  • 以前使用したパスコードの再使用を禁止
  • パスコード入力連続失敗によるデバイス初期化*1
  • デバイスロック開始までの最大許容時間
  • 画面ロック解除時のパスコード要求までの最大許容時間
  • ログイン失敗後の待ち時間*2
  • パスワードリセットの強制*2

*1 macOS はアカウントのロックが行われます。
*2 macOS のみ対応しています。

Androidの設定項目(Android Enterpriseを利用してデバイスを管理下に置く必要があります)

  • パスワードの最少文字数
  • 使用しなければならない文字の種類
  • パスワードの有効期間
  • パスワードの有効期限を事前の通知
  • 以前使用したパスワードの再使用を禁止
  • パスワード入力連続失敗によるデバイス初期化
  • スリープ開始までの最大許容時間

その他にも「LANSCOPE エンドポイントマネージャー クラウド版」では情報システム部のさまざまな課題の解決を支援する機能をご用意しています。製品に興味をお持ちいただいた方向けに、「LANSCOPE エンドポイントマネージャークラウド版」が3分でわかる資料をご用意しております。ぜひご覧ください。

従業員のセキュリティ意識を高める3つのポイントとは?

従業員に抑えてもらいたいセキュリティ対策と必要性を理解してもらうための3つのポイントを解説

資料をダウンロードする

3分でわかる!LANSCOPEエンドポイントマネージャー クラウド版

PC・スマホを一元管理できるエンドポイントマネージャー クラウド版の特長をご紹介した「鉄板資料」です。

資料をダウンロードする

関連ページ

予算が無い!人手もない!という情報システム部向け
セキュリティ強化のための「DIY」対策(社内問い合わせ編)