他人事ではないパスワード危機！企業はどう対処する？

あなたの会社や従業員のみなさんの、パスワードは大丈夫？

パスワード、あなたはいくつぐらい使いわけていますか？ 「覚えるのが面倒だから、実はひとつ･･･」という方も、結構多いのではないでしょうか。しかも、自分や家族の「誕生日」などにしていませんか？

そうです、人間というのは意味のない記号の羅列を記憶するのは、非常に苦手です。というか、できないと思った方がいい。だから、イニシャルと誕生日など何らかの「紐付け」ができる記号にしておけば、すぐに思い出すことができて便利なので、さんざん「危険！」と言われても、ついついそうしているのです。

さらに悪いのは、同じパスワードをいろんな認証で使っていること。

メール認証、SNSへのアクセス、会員サイトへのアクセス･･･。百歩譲って「個人」関係のものなら「自業自得」で済むでしょうが、これが社内サーバへのアクセスであったりすると、問題は個人だけでは済まず、会社の存亡にもかかわる恐れがあります。これは決して大げさな表現ではありません。従業員の中からパスワードが漏れ、サーバに不正アクセスされるようなことがあれば、「セキュリティに緩い企業」というレッテルが貼られるからです。

そこで今回は、当世パスワード事情を中心に、認証とセキュリティについて、少しお話ししたいと思います。

パスワードの危険性の「3つのパターン」を知っておこう

嘘か真かわかりませんが、一説によると世界で最も使用されているパスワードは「password」か「123456」らしい（笑）。笑っていられるうちは平和なのかもしれませんが、平和を満喫している間に、ダークサイドの人々が虎視眈眈とみなさんのシステムを狙っているのを忘れてはなりません。

さて、ひとことで「パスワードのリスク」といっても、いくつかのパターンがあります。

まず最初に、冒頭からさんざん述べているように、「類推しやすい文字列」を使うパターン。誕生日などの記念日、名前、イニシャル、電話番号･･･。悪意を持つ者は、まず真っ先にこれらの情報からパスワードを類推するはずです。

次に「単純な記号の羅列」を使うパターン。先に紹介した「123456」や「abcdef」。あるいはパソコンのキーボードの並び順を用いた「qwertyu」など。これも見破られやすいパターンです。

最後に、せっかく難解なパスワードにしながら、それを紙や付箋紙に書いてパソコン画面横に貼ったり、ノートパソコンと一緒にバッグに入れて持ち歩いたり･･･というパターン。ただ、これは管理さえしっかりすると、実は一番、安心できる方法だったりするのですが･･･。

「パスワード」に加え、「パスフレーズ」など新しい手法にも注目を

多くの企業にとって、ちょっと厄介な問題となるのが、パスワードの設定がアクセスユーザー（従業員など）に委ねられていることではないでしょうか。アクセスユーザーが「緩いパスワード」で管理していると、いくら企業側が頑張っても隙だらけになってしまいます。

そのため、使う記号の種類を指定したり、「何ケタ以上」といった字数の制限を設けていたり、あるいは定期的にパスワードの変更を命じたりするケースもあります。ただ近年は、総務省から「パスワードの定期的な変更は不要」といった方針が発表（2018年3月1日）されています。なぜかというと定期的に変更させることで、ユーザーはパスワードの作り方がだんだん「テキトー」になっていき、かえって破られるリスクが高まるからです。

こういった問題を回避するために、「パスフレーズ」も提唱されています。つまり「意味のない記号の羅列」ではなく、空白も含めた「言葉」の連なりをパスワードの代わりに利用するという考え方です。例えば「This is my password and I like driving my car on the freeway. 」といったフレーズのような。しかしこれも万全という訳ではなく、人間がこのような場合に使用する単語やシチュエーションは意外と限られており、ランダムなパスワードより類推されやすくなるという指摘もあります。またハッカーは辞書の単語からパスワードを解読するシステムを持っているといわれており、辞書に載っているような単語は危険であるとされています。

当然ですが、パスワードの記号数は多ければ多いほど、セキュリティも強固になります。下記の表でもわかる通り、できるだけ多くの記号、ケタ数を設定するようにすべきでしょう。

［ 使用記号の種類とケタ数別 組み合わせ数 ］

注目の「生体認証」にも、まだまだ残る課題

では具体的にどのような方法で、パスワードを設定すればいいのでしょうか。それにはやはりできるだけ多い文字数（8ケタ以上）で、英文字、数字などさまざま記号が混ざった意味のない言葉の羅列にし、同僚はおろか他人には一切教えず秘匿することが重要です。

パスワードをどうしても紙に書いて保存する時は、鍵のかかる引き出しや金庫に入れるなど、安全性の高い方法で保管することが重要です。またパスワードは、複数のシステムで使い回さないようにします。結局のところ、ユーザーのモラルというか危機意識に左右されますので、社内でコンプライアンスなどと合わせて、徹底的に研修・啓蒙していくことが必要です。

最近ではパスワードの代わりに、指紋や目の虹彩、声紋などを使った生体認証などを用いるケースも増えています。これならば、パスワードのように覚える必要がないので、利便性が非常に高いとされます。

しかし加齢などによる身体の変化で認証できなくなるのではないか、という課題や、SNSの写真に映ったVサインから指紋を盗むなど、生体情報を抜き取られるリスクも指摘されており、決して「生体認証にすれば安心」というわけではないことを、十分、理解しておきましょう。

専門家とも相談し、セキュリティ対策を続けることが重要

もちろん「ユーザーの問題」とアクセスする側に全て問題を放り投げるのではなく、システム側での強化も必要となります。たとえば、アクセスユーザーがIDとパスワードでアクセスする度にシステム側から新たに一度きりのパスワード（ワンタイムパスワード）を発行。それによりアクセスを許諾する「二要素認証」や「多要素認証」といった、二重三重の防御を行うことで、セキュリティを高めるなどです。「二要素認証」や「多要素認証」は自治体や金融機関などでもよく用いられる手法で、比較的効果が高いといえるでしょう。

これらの他に、今注目されている手法として、「パスワードマネージャー」というアプリやソフト、サービスがあります。「パスワードマネージャー」はユーザーの代わりにパスワードを記憶し、高い安全性のもとで管理してくれる機能を持っています。ユーザーは「マスターパスワード」という大元のパスワードを覚えておくだけ。そうするとアプリ側が、アクセス先に自動的にランダムでセキュリティの高いパスワードを生成しアクセスをサポートしてくれるわけです。

以上のような手法を会社に導入し従業員に使ってもらうことで、企業全体のセキュリティを高めることが必要です。ただ「パスワードマネージャー」にしても、大元のマスターパスワードが漏洩すれば一気に危険度が高まることに留意してください。

インターネットにおけるセキュリティは日進月歩で進んでいます。しかしハッカーなど悪意を持つ者たちの技術もまた、日進月歩で進化しています。どんなに安全運転を心掛けていても交通事故のリスクがゼロにならないのと同様、インターネットのセキュリティリスクもゼロになることはありません。より高い安全性を求めるなら専門家へ相談しシステムの安全性を高めるとともに、社内教育の徹底で、アクセスユーザーである従業員の意識を変えていくことが不可欠と考えます。

◎製品名、会社名等は、各社の商標または登録商標です。