強力なパスワードハイジーンを適用する
学習の目的
この単元を完了すると、次のことができるようになります。
- 強力なパスワードハイジーンを定義する。
- パスワードマネージャーがパスワードを保護するしくみを説明する。
強力なパスワードハイジーンを使用する
パスワードハイジーン (パスワードの健全性と衛生性) は、メール、カレンダー、その他の仕事関連のアプリケーションにアクセスするために使用するログイン情報に関わるものであるため、内部組織システムにとって極めて重要です。企業が外部の危険に対する防御をどれだけ厳重にしていても、パスワードはセキュリティ脅威になり得ます。そのため、ユーザーには、アクセスするすべてのデータベースやシステムに対して固有のログイン情報を使用することを義務付ける必要があります。
パスワードのリスクとなるのは、弱いパスワードの使用、パスワードの再利用、問題のあるストレージや暗号化 (スクランブル、エンコード、保護のためのアルゴリズムの使用) によるログイン情報の不適切な取り扱いなどです。強力なパスワードを実装する方法の 1 つはパスワード管理ツールを使用することです。
強力なパスワードハイジーンには 2 つの要素があります。アクセスするすべてのサービスで固有の強力なパスワードを使用することと、保護された場所にパスワードを保存することです。パスワードを安全に保つためのベストプラクティスを確認しましょう。
固有の強力なパスワードを使用する
アクセスするすべてのサービスで強力なパスワードを使用します。特に、パスワードを再利用しないように注意することが重要です。いくつものアカウントで長く複雑なパスワードを管理するのは大変であるため、同じパスワードや少しだけ変更したパスワードを使用したくなるかもしれませんが、パスワードの再利用は組織を侵害の危険にさらす行為です。
少しだけ変更したとしてもパスワードを再利用すると、あるアカウントのパスワードを手に入れたハッカーは他のアカウントにもアクセスできるようになります。このように発生した重大なセキュリティ侵害は多数報告されており、さまざまな業界の組織に影響を及ぼし、従業員のソーシャルメディアのアカウント、顧客の銀行口座、さらには国家安全保障システムの侵害の原因となっています。パスワードマネージャーはこのリスクを最小限に抑える優れた方法です。
パスワードマネージャーを使用する
強力なパスワードを設定することは重要ですが、パスワードの秘匿性を保護することも同様に重要です。強力な固有のパスワードは覚えにくいため、パスワードのハードコピーを持っておきたくなるかもしれません。残念ながら、この行為は深刻なセキュリティ侵害につながるおそれがあります。ハードコピーは他人に見られる可能性があり、特に仕切りのないオフィスでは危険です。今度パスワードを付箋やノートに書き留めたくなったときには、考え直してください。
「パスワードハイジーン」という用語は、パスワードに関する次のようなベストプラクティスを指します。強力なパスワードハイジーンは、システムが攻撃者に侵害されるのを防ぎます。アカウントに強力なパスワードを使用し、繰り返し使用しないようにする最も簡単な方法はパスワードマネージャーを使用することです。ほとんどのパスワードマネージャーにはランダム化されたパスワード生成機能が組み込まれており、リアルタイムでユーザー名とパスワードを収集します。ユーザー名とパスワードは安全なデータベースに保存されるため、ユーザーは各 Web サイトに別々に設定した強力な固有のパスワードを覚える必要がありません。
組織がパスワードマネージャーを導入していることもありますが、導入していない場合でも個人的に使用することができます。パスワードマネージャーによってサイトの保存、ログインの管理、ランダムなパスワードの生成、安全なデータベースへの保存が行われるため、使用する各サービスの複雑かつ強力なパスワードを覚えておく必要がありません。
パスワードマネージャーに保存できるものとできないもの
パスワードマネージャーは強力なパスワードを実装する優れた方法ですが、システム管理者アカウントや特権アカウントに使用することは避ける必要があります。特権アカウントには秘密を暗号化する保管庫または特権キー管理システムを使用します。
パスワードマネージャーを使用するときには次のベストプラクティスに従います。
- マスターパスワードの複雑度は少なくともパスワードマネージャー内に保存されている最も複雑なパスワードと同程度にする。
- パスワードマネージャーのマスターパスワードは 16 文字以上で大文字、小文字、数字、記号が含まれたものにする。
- パスフレーズを使用する。パスフレーズとは認証に使用される文のような言葉の列で、従来のパスワードよりも長く、覚えやすく、解読されにくくなっています。スペースを追加したり、文字を特殊文字や数字に置き換えたりすることで、さらにセキュリティが高まります。
- パスワードマネージャーのログインに多要素認証 (MFA) を使用するように設定する。
多要素認証による防御を追加する
多くの組織はシステムへのアクセスを許可する前にユーザーの ID を確認するために MFA に移行しました。認証に使用できる要素には、1) ユーザーが持っているもの、2) ユーザーが知っていること、3) ユーザー自身の 3 種類があります。MFA では、この 3 つの要素のうちの 2 つ以上を使用した認証が義務付けられます。
たとえば、ユーザーがログインするときに、MFA を使用してユーザーが知っていること (パスワードなど) とユーザーが持っているもの (携帯電話のアプリケーションやハードウェアトークンなど) を使用して ID を検証できます。MFA を実装することで、フィッシング攻撃などのパスワード攻撃から保護できます。フィッシング攻撃は被害者のコンピューターに不正にアクセスするためにログイン情報を収集することを目的としています。MFA を使用している場合、攻撃者はパスワードを手に入れたとしても、アカウントを侵害するには 2 つ目の要素である携帯電話やハードウェアトークンにアクセスする必要があります。
パスワードマネージャーにアクセスするときには必ず MFA を使用することで、パスワードマネージャーに保存されているすべての秘密の保護を最大限に高めることができます。必要な認証方法はパスワードマネージャーシステムによって異なります。Google Authenticator のようなソフトウェアベースの認証機能、YubiKey のようなハードウェアベースの認証機能、または生体認証などのその他の方法があります。
これで個人のパスワードを保護する方法は理解できました。次は、システム管理者のログイン情報を保護する方法を見ていきましょう。
リソース
- 外部サイト: World Economic Forum (WEF): Why COVID-19 makes the case to get rid of passwords (COVID-19 によってパスワードを排除することが必要になった理由)
- 外部サイト: Global Cyber Alliance: Phishing: A Global Pandemic (グローバルパンデミック)
- 外部サイト: National Institute of Standards and Technology (NIST): Special Publication (SP) 800-63: Revision 3: Digital Identity Guidelines (特別刊行物 800-63: リビジョン 3: デジタル ID のガイドライン)