IDやパスワードが悪用されるサイバー攻撃被害が増加しています。企業に大きな被害を与える前に、パスワードを強化することが重要ですが、どのように取り組めばよいのでしょうか。今回は、
Security Upgrade-1
で取り上げた『
情報セキュリティ5か条
※』に沿ったセルフチェックのうち、パスワードの強化について考えます。
※独立行政法人 情報処理推進機構(IPA)による
- Security Upgradeシリーズ(全6回)
パスワードが漏えいするとどうなる?
IDとパスワードは、パソコンやITシステム、サービスにログインする際に欠かせない重要な情報です。これが漏えいするとどうなるでしょうか? 実際、パスワードが推測、解析されたり、Webサービスから流出した ID・パスワードが悪用されたりすることで、不正にログインされる被害が増えています。
総務省、警察庁、経済産業省が2024年3月に公表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、令和5年に検挙された不正アクセス行為のうち90%以上がパスワードの不正利用(識別符号窃用型)であることがわかりました。そして、その手口の内訳を見ると、次のようになりました。そのうち「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が42.7%で最多。次が「識別符号(パスワード)を知り得る立場にあった元従業員や知人等による犯行」で14.3%となりました。特に、「元従業員や知人等による犯行」は前年と比べて1.66倍に増加していると同資料では述べられています。
特に、企業システムの管理者情報が漏れれば、社内ネットワークに不正に侵入され、重要情報が外部に盗み出される被害に遭うことも考えられます。こうした被害に遭わないためには、パスワードの管理を強化する運用ルールや仕組みを定めていく必要があります。どのような対策が考えられるのでしょうか。
パスワード強化と管理のポイント
ここでは、パスワード強化のためのポイントを紹介します。
- (1)パスワードは「長く」「複雑に」して、推測されにくいことが基本
- パスワードは10文字以上で、できるだけ長くすることが重要です。大文字と小文字、数字や記号を混ぜて設定しましょう。また、簡単な英単語や、繰り返した文字、自分の名前や電話番号、誕生日、「12345678」などの連続した文字列などは設定しないようにしましょう。
- (2)パスワードは使い回さない
- 複数のサイトやサービスごとに異なるパスワードを設定するようにし、同じパスワードを使い回さないようにしましょう。
- (3)多要素認証を利用する
- ID・パスワードに加えて、指紋や顔認証などを組み合わせた「多要素認証」の利用はセキュリティ強化に効果的です。多要素認証(MFA:Multi-Factor Authentication)とは、複数の「要素」を用いる認証方式です。認証のための要素として下記の3種類を用います。この中から、複数の要素を組み合わせて認証を行う仕組みが多要素認証です。
- ①知識情報:パスワード、PINコード、秘密の質問など
- ②所持情報:USBキー、スマートフォン、ICカード、ハードウェアトークンなど
- ③生体情報:指紋、光彩、顔、手の平の静脈など
運用面で確認したい4つのポイント…システムによる複雑性の強制、ログ保存、強固な仕組みの採用など
上述した基本的なパスワード設定、管理の対策に加え、パスワードポリシーの設定、適用や、ログイン、ログオフのログをシステム側で保存する対策も有効です。次のようなポイントを確認しながら実施、運用を進めていくとよいでしょう。
- ポイント①パスワードの複雑性をシステムで強制している
- Active Directoryでは、パスワードポリシー設定を活用することが可能で、長く、複雑なパスワードを設定するようシステムで強制することができます。このようにシステム側から設定を促すことで、強固なパスワードで運用できるようになります。
- ポイント②ログインの成功、失敗のログを保存し定期的に確認している
- Active Directoryはネットワーク上の端末やサーバ、プリンタ、アプリケーションなどの情報を収集し、一元管理します。Windowsシステムのログイン試行(成功、失敗)のログを保存、定期的に確認し、サイバー攻撃(不正アクセス)の兆候などがないか確認します。Webサービス等の個別システムでも同様です。
- ポイント③ログインの記録(ログ)を最低3か月以上保存している
- Active Directoryのログの保存期間が短い期間であるならば、何かインシデントが生じた際には遡って確認することはできません。保存期間を変更して、最低3か月以上保存するように設定します。Webサービス等の個別システムでも同様です。さらに、ログの保存先を別システムに指定することにより、改ざん防止にもなります。
おわりに
今回は、「パスワードを強化する」ためのポイントをご紹介しました。不正アクセスの原因の大半がパスワードなどの認証情報の不正利用にあることから、強固なパスワードの設定に加え、多要素認証などの追加のセキュリティ対策を行いましょう。
- Security Upgradeシリーズ(全6回)
- ▼関連セキュリティソリューション