目次

1 個人任せのパスワード管理は超危険!
2 ID管理ツール・サービスの例
3 もう一度おさらい。こんなパスワード管理は超危険!

1 個人任せのパスワード管理は超危険!

システム(オンラインサービスやアプリなど)の利用にID・パスワードは欠かせませんが、人間の記憶力には限界があり、たくさんの複雑なパスワードをずっと覚えていることは不可能です。とはいえ、パスワード管理を個人任せにすると、次のような危険な状況に陥ります。

  • パスワードを記載したメモを残してしまい(最悪なのはデスクに付箋で貼り付けてある状態)、情報漏洩につながる
  • 1つのパスワードの使い回しが横行すると、一度パスワードが破られたら、芋づる式にアカウントを乗っ取られる

この記事ではそんなリスクを抑えるため、組織としてパスワード管理をする方法、すなわち

ID管理(アイデンティティー管理)ツール・サービスの導入

をご提案します。

2 ID管理ツール・サービスの例

ID管理ツール・サービスは、企業で運用するシステムにアクセスするのに必要な、ID・パスワードといったユーザー情報を一括管理するためのシステムです。国内外からさまざまなツール・サービスが登場しており、複数のシステムにおけるユーザー情報の管理ができ、新しい従業員が増えた場合の登録、従業員が退職した場合の削除などが可能なものもあります。

例えば、次のようなツール・サービスがあります。

■インターナショナルシステムリサーチ「CloudGate UNO」■

https://www.cloudgate.jp/lineup/uno.html

■GMOグローバルサイン「GMOトラスト・ログイン」■

https://trustlogin.com/

■Okta「シングル・サインオン」■

https://www.okta.com/jp/products/single-sign-on/

■1Password「1PASSWORD ENTERPRISE」■

https://1password.com/jp/enterprise-password-manager/

■エクスジェン・ネットワークス「Extic」■

https://www.exgen.co.jp/extic/

■HENNGE「HENNGE One」■

https://hennge.com/jp/service/one/

■Siber Systems「RoboForm for Business」■

https://www.roboform.com/jp/business

3 もう一度おさらい。こんなパスワード管理は超危険!

1)なぜ、パスワードの使い回しは絶対ダメなのか

例えば、2024年11月にオイシックス・ラ・大地の宅食サービス「Oisix.com」において、第三者による不正ログインが発生した事案では、いわゆる「リスト型攻撃」が行われ、不正ログインされた可能性のあるID数は約9万7533件に上りました。

リスト型攻撃とは、何らかの手段により他者のID・パスワードを入手した第三者が、これらのID・パスワードをリストのように用いてさまざまなサイトにログインを試みることで、個人情報の閲覧などを行うサイバー攻撃です。

繰り返しになりますが、パスワードの使い回しが超危険なのは、他のウェブサービスやアプリにも不正アクセスされて、芋づる式にアカウントを乗っ取られる恐れがあるためです。同じパスワードを設定しないことが、リスト型攻撃を防ぐ方法の1つです。

2)1秒以内に破られる、使ってはダメなパスワード

プライバシーとデジタルセキュリティに関するソリューションを提供する大手プロバイダーであるNode Securityが公表する「Top 200 Most Common Passwords」によると、日本では、「123456789」「password」「12345678」「1qaz2wsx」「asdfghjk」「asdf12345」「aa123456」「asdf1234」「123456」「1234567890」などが最も一般的なパスワードとなっています。これらの大半は、1秒以内に破られてしまいます。

すぐ破られてしまうパスワードを使っていないか、確認してみるとよいでしょう。

■Node Security「Top 200 Most Common Passwords」■

https://nordpass.com/most-common-passwords-list/

3)デバイス紛失時に漏洩しかねない「ウェブブラウザへの記憶」

ID・パスワードをウェブブラウザに記憶させておくこともできます。便利な機能ですが、デバイスを紛失してしまったときのことを考えると、あまり好ましくありません。比較的簡単な操作でID・パスワードが漏洩してしまう危険があります。

4)パスワードの定期的な変更が裏目に出ることも

これまではパスワードの定期的な変更が推奨されていましたが、最近は変わってきています。

定期的な変更でパスワードの作成方法がパターン化することのほうが問題である

という考えが広まっているためです。内閣サイバーセキュリティセンター(NISC)からも、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

■内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」■

https://security-portal.nisc.go.jp/handbook/

以上(2025年2月更新)

pj40063
画像:Aurielaki-Adobe Stock

Leave a comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です