情報化・デジタル化が進んだ昨今、情報セキュリティの重要性は増しています。社内システムへの不正アクセスや顧客情報の流出等、情報セキュリティリスクが増加し、その手口も巧妙化しているためです。
企業や個人には、情報セキュリティ対策とリテラシーが求められています。

そんな中、情報を守るための基本的な対策として挙げられるのが、「パスワード管理」。適切なパスワード管理は、情報セキュリティリスクの低減に繋がります。

そこで今回は、パスワード管理の重要性とポイントについて詳しく解説していきます。

パスワードの「重要性」と「リスク」

ビジネスで、Webシステムやアプリを使用している企業は多いでしょう。Webシステムやアプリにパソコンやスマホからログインするためには、IDとパスワードによる認証を行うのが一般的です。

このように、Webシステムやアプリの使用において、パスワードは鍵の役割を果たす重要なものですが、このパスワードは多くの脅威にさらされています。
例えば、総当たり攻撃やフィッシング、通信の盗聴など。これらは第三者がパスワードをはじめとした情報を盗むために行うもので、実際に多くの企業で被害が出ています。

パスワードが盗まれてしまうと、第三者にWebシステムやアプリへの侵入を許してしまうこととなり、その結果情報は漏えいしてしまいます。
このような被害のリスクを抑えるためには、第三者に盗まれることのないよう、パスワードを適切に管理することが大切です。

パソコンのパスワード管理を行う際のポイント

まずは、パソコンのパスワード管理を行う際に押さえておきたいポイントを5つご紹介します。
これらのポイントは、後でご紹介するスマホのパスワード管理、Googleアカウントのパスワード管理にも共通するものなので、パスワード管理の基本として覚えておいてください。

1.推測されにくいパスワード設定

パソコンのパスワード管理において、まず徹底したいのが、推測されにくいパスワードを設定すること。生年月日や名前、簡単な単語、規則的な並びの英数字などは推測されやすく、パスワードを突破されてしまう可能性があります。

総務省の情報セキュリティサイトでは、安全なパスワード設定の要件を次のようにご紹介しています。

安全なパスワード設定
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
(参考:総務省『国民のための情報セキュリティサイト』より)

一般的な英単語は、パスワードクラッカーというパスワード突破ツールによって割り出されてしまう恐れがあります。英単語を使いたい場合は、スペルを一部変える等して、パスワードクラッカーへの対策を行いましょう。
また、覚えやすいからと、極端に短いパスワードを設定したりIDとパスワードを同じにしてしまったりするのはNG。

このような点を踏まえ、まずは安全なパスワードを設定することが大切です。

2.パスワードを使いまわさない

業務等で多くのシステムを活用している方は多く、多数のパスワードの管理を面倒に感じる方は多いでしょう。
しかし、複数のシステムを利用する場合でも、同じパスワードの使いまわしは避けましょう。複数のシステムに同じパスワードを設定してしまうと、ひとつのシステムでパスワードが流出してしまった場合でも、結果として全てのシステムへの不正アクセスを許してしまうことになり、被害が大きくなる恐れがあります。

複数のパスワード管理が面倒な場合には、高いセキュリティを備えるシングルサインオン(SSO)システムを利用するというのもひとつの方法でしょう。

3.メモやファイルでのパスワード管理は×

紙のメモやエクセル等のファイルに、パスワードをメモしておくのも危険です。メモを落としたりファイルが漏洩したりしてパスワードが外部に漏れ、重要システムへの他者からの不正ログインを許してしまう恐れがあるためです。

どうしてもパスワードをメモしておきたい場合には、メモの厳重保管が必須。
また、高いセキュリティを備えるパスワード管理ツールを利用するという方法も検討すると良いでしょう。

4.他要素認証の活用

ログイン時のセキュリティを、パスワードだけに頼る必要はありません。

他要素認証とは、「生体情報」「知識情報」「所持情報」のうち、2つ以上を組み合わせて行う認証のこと。他要素認証を活用すれば、IDとパスワードによる認証だけの場合と比べ、システムログインのセキュリティを高めることができます。

パスワードによるセキュリティには限界があります。セキュリティを向上させるには、他要素認証の設定を行いましょう。

5.フィッシング詐欺に注意

フィッシング詐欺とは、偽のメールに添付したURLから偽のホームページにアクセスさせるなどして、アカウント情報やクレジットカード情報を盗み出す詐欺行為のことです。偽のホームページからログインしてしまうと、使用しているIDやパスワードを盗まれてしまう危険性があります
心当たりのないメールのURLからサイトへログインするようなことのないよう、気をつけてください。

スマホのパスワード管理を行う際のポイント

次に、スマホのパスワード管理を行う際のポイントについて見ていきましょう。
最近は業務にスマホを使用することが多いため、情報を守るためには、パソコンだけでなくスマホのパスワード管理にも力入れる必要があります。

スマホの生体認証を活用

多くのスマホには、顔認証や指紋認証などの生体認証機能が備わっています。その人にしか備わっていない要素を識別する生体認証は、確実性の高い認証方法のひとつ。この認証機能を流用できるWebサービスやアプリも増えています。

スマホでのアカウントログインでは、パスワードだけでなく、このような生体認証を活用することで、安全性を向上させることが可能です。

パスワード管理アプリを活用

パスワードを覚えておくことが難しい場合でも、スマホのメモ機能などにメモするのは×。スマホでパスワードを管理するなら、パスワード管理アプリを活用しましょう。

パスワード管理アプリには多くの種類があります。使いやすさだけではなく、セキュリティ面にも着目して、使用するアプリを選ぶようにしてください。

Googleアカウントのパスワード管理を行う際のポイント

Gmailやスプレッドシートなど、業務でGoogleアカウントを利用している方は多いでしょう。情報を守るためには、Googleアカウントのパスワード管理についても、安全性を向上させるための対策を取る必要があります。

ここからは、Googleアカウントのパスワード管理におけるポイントについてご紹介します。

二段階認証の活用

二段階認証とは、認証を二段階で行う認証方法のこと。IDとパスワードによる認証に、セキュリティコードの入力や電話番号の入力など他の認証を追加することで、アカウントログインの安全性を高めることができます。

Googleアカウントを守るためには、ログイン時の二段階認証を設定し、万が一IDやパスワードが漏えいしても、アカウントにログインできない状態を作っておきましょう。

Google Authenticatorの利用

Google Authenticatorは、Googleが開発した認証の仕組みです。Google Authenticatorを利用した場合、アカウントへのログインは、パスワードに加え、スマホのGoogle Authenticatorアプリに表示されるワンタイムパスコードを入力するという二段階の認証を経て行われます。

Google Authenticatorは、先ほどご紹介した二段階認証の手段のひとつ。
Googleアカウントだけでなく他社のアプリにも対応しています。

まとめ

現状、システムやアプリへのログインには、パスワードを利用する方法が主流です。情報を守るために、企業や従業員には、パスワードを適切に管理することが求められます。
とはいえ、パスワードを使いまわしたり紙のメモで保管したりと、危険なパスワード管理を行なっている人は珍しくありません。

不正アクセスや情報漏洩による大きな損害を回避するためにも、適切なパスワード管理は重要です。
今回ご紹介した方法を参考に、今一度パスワード管理方法を見直し、必要な対策を講じるようにしましょう。