パスワードの安全な管理方法とは? 情報漏えいを起こさないために
クラウドサービスへのログインなどさまざまなサービスを利用する際に必要となるパスワード。その設定と管理を安全に行うためには、何に注意し、どのような方法を取り入れるべきなのでしょうか。情報漏えいを起こさないためのパスワードの安全な管理方法について解説します。
パスワード設定における注意点
パスワードを設定するときは、以下の点に注意する必要があります。
推測されやすい文字列を避ける
「1234」「abcd」といった単純な文字の並びや組み合わせは、推測されやすく使っている人も多いため、パスワードとしての強度はきわめて脆弱です。「dog」「white」など単純な英単語も同様です。他にもキーボードの並びをそのままタイプした「qwerty」や「password」というパスワードもよく使われています。これらのワードを総当りするクラッキングツールもあり、機械的に解読されてしまう確率が高くなります。
また、自分の生年月日や名前、携帯電話番号など個人情報と関連した言葉を使ったパスワードも推測が簡単です。
同じパスワードを使い回さない
同じパスワードを複数のサービスに使い回すことも避けるべきです。1つのパスワードが解読されたり流出したりすると、芋づる式に他のサービスのアカウントも不正に利用されてしまいます。
パスワード管理における注意点
パスワードは適切に管理することも非常に重要です。とくに以下の点に注意しましょう。
パスワードを人に教えない
たとえ身内であってもパスワードを教えるのはNGです。何らかの事情があって教えたときは、できるだけすみやかにまったく異なる新しいパスワードを設定しましょう。
パスワードの保管方法に気をつける
推測されにくい複雑な複数のパスワードは、すべてを正確に記憶できるという人でない限り、何らかの形で書き記して保管することになります。その際、メモをしてオフィスの自分のデスクの引き出しなどにしまっておくのは危険です。中には付箋に書いてPCモニターなどに貼っているという人もいますが、パスワードを設定する意味を否定してしまうような行為です。
PC内のテキストファイルやWordファイルとして保存するのも問題があります。他人がそのファイルを不正に入手する可能性があり、デジタルデータは簡単にコピーや送信ができるためです。もしも同じファイルに複数のサービス用のパスワードがまとめて記されていれば、一気にすべてのパスワードが知られてしまうことにもなります。
定期的なパスワード変更のメリット・デメリットを知る
パスワードは本人が知らない間に流出している可能性も考えて、定期的に変更したほうが良いとされています。しかし、近年では定期的なパスワード変更を強要するとパスワードの管理が複雑化するため、推測されやすいパスワード使用やパスワードの使い回しが起きやすくなるという点も指摘されています。定期的なパスワードの変更には、メリット、デメリットがあることを理解しておきましょう。
パスワードの安全な管理方法
では、パスワードを安全に管理するにはどのような方法があるのでしょうか。こちらも見ていきましょう。
紙に書いておく場合
紙に書いておく方法は意外に安全性が高いという意見もあります。メモにパスワードを書いて財布などいつも自分の近くに置いている所有物の中にしまっておけば、財布を物理的に盗まれない限りパスワードが知られることはありません。
さらに、メモの内容もパスワードをすべて記すのではなく、最初と最後の2文字だけは記憶しておくなどの工夫をすればさらにセキュリティ強度は高くなります。あるいはパスワードを書いたノートを金庫に保管するという方法もあります。
PCやスマートフォンに保存する場合
PCやスマートフォン内に保存するときは、最低でもファイルの暗号化が必須です。あるいはパスワード管理ツール(アプリ)を用いる方法も考えられます。パスワード管理ツールはパスワードを安全に管理するためのさまざまな機能が搭載されています。スマートフォンの顔認証や指紋認証などの生体認証システムと組み合わせて利用することで、よりセキュリティ強度を高めることができるでしょう。
ただし、紙に書いておく方法もPCなどに保存する方法も、どちらも万全ではないということは覚えておく必要があります。
パスワードレスもおすすめ
最近ではパスワードレス認証という方式も注目されてきています。そもそも個人がパスワードを設定し管理しなければならないこと自体にリスクが存在するのであり、そのことがビジネスを進める上でのストレスにもつながっているという考え方があるためです。
パスワードレス認証では、パスワードの代わりに生体認証や、生体認証+PINなどの方式を活用します。PCのOSやスマートフォンが備えている生体認証機能を有効利用するサービスもあります。こうした方式を導入すれば、これまでパスワードの設定・管理に費やしてきた手間を削減し、スムーズにさまざまなサービスが利用できるようになります。
パスワードは情報セキュリティ対策のカギといえるものであり、企業はその取り扱いに万全の注意を払わなくてはなりません。また、現在ではパスワードレスという新しい動きが注目されていることも知っておくきましょう。
「パスワードの廃止が情報漏えいの可能性を低減する」という考えに基づいたIvantiの製品「Ivanti ゼロ・サインオン」に興味のある方は、こちらのIvanti ゼロ・サインオンもぜひご覧ください。