パスワードの適切な設定方法や取り扱い方法についてご存知でしょうか。
「パスワード設定するのは正直面倒…」と思う方も多いと思います。
安全性の観点から、「入力したパスワードがすでに使用されている」あるいは「簡単すぎる文字列になってしまっている」と弾かれてしまった…という経験をした方もいるのではないでしょうか?
今回は安全性の観点から、Pマーク取得企業にふさわしく、かつ現実的なパスワードの設定および、複数のパスワードに関してオススメの管理方法をご紹介します。
目次
実際どんなパスワード管理のルールを設定すればいいの?
パスワード設定をする上で、入力したパスワードが「強」「中」「弱」と判断されるような仕様を目にしたことはありませんか?
つまり、パスワードにも安全性の観点から見て、いくつかレベルが存在するというわけですね。
確かに、簡単すぎるパスワードであれば、なにかの間違いで開かれてしまうこともあるでしょうし、個人の生活内で使用しているパスワードならまだしも、社内PCなどの機密情報を管理するパスワードであれば、そこから社内の情報が流出し、企業の存続に関わる大きな事件となるわけです。
企業の存続まではいかなくても、顧客や取引先からの信頼性が失墜してしまい、経営上大きな影響を受ける事例の発生はあとを絶ちません。
そのため、いま一度、安全性の高いパスワードを作成・運用していくために、どのようなことに気をつければ良いか、5つの指針をお伝えします。
①最低文字数以上のパスワード設定にする
⇨基準として英数字を合わせて10桁以上にすることを推奨します。
②大文字、小文字のアルファベットだけでなく数字を入れたパスワード設定にする。
⇨利用する文字種を増やすことにより、強力なパスワードとすることができます。
③複数のサイトで同じパスワードを使うことを禁止とする。
⇨1つのパスワードを複数のサイトで使いまわすことは、一つのサービスで漏えいした場合に、他のサービスでもログインできるようになりますので、危険です。サービスごとに個別のパスワードを設けるようにしましょう。
④できるだけ指紋認証、顔認証等の生体認証を用いた管理をする。
⇨パスワード管理の一環で顔認証、指紋認証が使用できるデバイスも増えてきました。
⑤パスワード管理をポストイットなどに記載して画面の周りなどに貼ってはいけない。
⇨他人にも見える位置に置いておくなどの管理方法は論外です。
加えて、スマートフォンのパスワード設定でありがちなのですが、複数のサイトに渡って同じようなパスワードを使用しているにも関わらず、デバイス自体にパスワードを記憶させるような機能を使用することも少し危険かと思います。
自動入力はとても便利な機能ではありますが、保存する先を間違ってしまうと簡単に他人にパスワードを知られてしまいますので、上記の5つの指針を守るように意識しましょう。
パスワードを定期的に変更しなくていいの?
安全性の観点から見て、パスワード自体に
①「簡単にはわからないであろう多少の複雑性があること」
②「複数のサイトやデバイス渡って使い回しがされていないこと」
この2点が守られている状態であれば、定期的にパスワードを変える必要はありません。
なぜかというと、先述した注意点においても言えることですが、大文字、小文字のアルファベットだけでなく、数字を入れ「複雑性」を持たせたパスワードにするだけで、安全性ははるかに高くなるためです。
反対に複雑性を持たせずに定期的に更新しているほうが危ないのです。
パスワードを更新する際に、何かしらインターネットのトラブルが起きてしまうことも考えられますし、何より毎回パスワードを変えることは、手間だと思います。
以上のことから、パスワード管理の運用ルールは「定期的に更新をする」というより「複雑性を持ったパスワードであるかどうか」を確認する方が、効率よく且つ安全的に管理できるわけですね。
ちなみに、複雑性を定義するのは難しいのですが、10桁でパスワードを設定した場合の英数字・記号の組み合わせを計算するとそれぞれの組み合わせは以下の通りになります。
| 文字の種類 | 組み合わせ文字種数 | 10桁の場合 |
| 数字のみ(0~9) | 10 | 10,000,000,000 |
| 英字(小文字) | 26 | 141,167,095,653,376 |
| 英字(小文字)+数字 | 36 | 3,656,158,440,062,980 |
| 英字(大小)+数字 | 62 | 839,299,365,868,340,000 |
| 英字(大小)+数字+記号31文字 | 93 | 48,398,230,717,929,300,000 |
こちらは一つのパスワードを破るための試行回数を計算したものになりますが、数字を入れた場合から、記号も入れたパターンまでの試行回数を計算すると、一目瞭然かと思います。
記号を入れるだけで、組み合わせは4839京パターンにまで及び、多数の組み合わせを有していることがわかりますね。そのため桁数で言えば10桁以上、且つ記号も用いてパスワード設定できるのであれば、より複雑化できるパスワードとなりますので、安全性を意識したパスワードを作成するようにしましょう。
おすすめのパスワード管理方法
結論からいうと、クラウド型のパスワード管理ツールを用いて、一括した管理を行うことをオススメしております。
クラウド上にパスワードが存在することになりますので、権限を付与して入れば社内の複数のデバイスからアクセスできますし、パスワード管理ツールの中には、安全性の高いパスワードを自動生成してくれる機能を有しているものもあります。
また、指定のURLにアクセスするときには自動的に適切なID・パスワードを自動入力してくれるものがほとんどですので、いちいち手入力するという手間も省くことができますね。
ただ、注意点としては「クラウド上」つまり、手元のパソコンの中ではなくインターネット上に保存して管理していくことになりますので、クラウドにログインする際のパスワードに関してはより複雑性のあるものを設定し、運用して行くことが必要になります。
こういったルールの中には、社内で複数のサイトにパスワードを使い回していないか確認できる機能や、現在のパスワードの安全性を数値化し、可視化することができるサービスを展開しているものも存在しますので、運用基準や用途などの状況に合わせて活用していきましょう。
管理方法で気をつける点
スマートフォンや、タブレットでのデータ管理が主流となり、紙の使用料が減ってきた時代ではありますが、タスク管理やパスワードなどに関しては、付箋やノートにメモをして管理している方も少なくはないはずです。
パスワードを管理する上で下記の内容はNG行為です。
- デスクトップにパスワードを貼って管理している
- パスワードを書いたメモ書きを他人が見える位置に置いている
- パスワードを使い回ししている
- 他人とパスワードを共有している
- デフォルトのパスワードをそのまま使用している
- 同じセキュリティ質問と回答を使用している
- パスワードを暗示するヒントを他人が見える位置に残している
- 公共のPCや共有デバイスで自動ログオン機能を使用する
- パスワード管理ツールやOSのセキュリティアップデートを怠る
上記9つの方法で管理している方も多いのではないでしょうか?
これらのNG行為は、他の人から見えてしまったり、同じパスワードを流用したりしているため、本来のパスワードの目的を果たしておりません。
つまり、個人の特定を行うためのパスワードが第三者に知られていたり、同じパスワードを使い回すことは、それだけで、情報の漏洩と言っても過言ではないわけです。
仮に、どうしてもノートやメモを活用して管理する場合には鍵付きの保管庫や机の中にしまって、第三者に見えないように管理をしましょう。
また、パスワードは一人一人に付与し、定期的にパスワード変更を実施するといった取り組みを、セキュリティ組織・担当者が主体となって行いましょう。
社内ルールと社内の実態に乖離が起きないように管理する
社内でパスワードの管理ルールを作成しても、従業員全員に浸透させてルールを守りきることはやはり難しいと思います。
せっかく作成したルールを、運用まで持っていけない状況下で進めるのはコスト的にも、運用的にも大変です。そのため、管理ツールを導入するといった改善策をあらかじめ考えておきましょう。
〇現実的ではないルールの作成
パスワードだからこそ、求めるレベルが変わってくることも多々あります。
私も経験がありますが「パスワードは一度覚えてしまえば、扱えるでしょ」という風に簡単に考えていたこともありました。
これを社内で運用する上でルール化してしまうと、中には覚えられない人も出てきて逆に浸透しづらい原因を作ってしまうことになります。
そのほかにも、多くのサイトを運営する会社ではパスワードやIDを多く使用しますが、管理ツールの導入を禁止してしまったり、業務に対し、現実的ではないルールを策定してしまうと却って逆効果となることもあります。
このように現実的なルールを策定し、社内のニーズや効率化を図って対策を考えていくようにしましょう。実際には社内の方々が無理なく、かつ個人情報保護の観点から見たときに問題なく運用できているかが重要になってきますので、社内に合わせた管理ルールと対策を考えていただくことが大切です。
また、パスワード管理の仕組みとしては、部下がパスワード変更申請を行い、上長が部下のパスワード変更の審査をするという体制にするのもよいでしょう。これにより変更漏れが少なくなりセキュリティ対策が向上し、上長がマネジメントできるようになるためです。
パスワード管理システムの活用・構築がおすすめ
社内で複数のサイトに同じパスワードを使い回すことは、セキュリティ上認めないためパスワードを複数覚えておく必要があります。しかし、すべてのパスワードを覚えておくことは物理的に困難であるため、パスワード管理システムの活用・構築をおすすめします。
パスワード管理システムの概要は、各サイトのログインに必要なID・パスワードを保存・管理するシステムです。大量のID・パスワードが管理でき、マスターパスワードによってパスワード管理システム自体のアクセスを制限し、第三者にID・パスワードを見られず、かつ社員の負担も少ないです。
このようにパスワード管理システムは、セキュリティ対策・社内運用という点で、メリットが大きいですが、1点注意すべき点があります。それは、セキュリティプログラムのアップデートがされる都度、可及的速やかにアップデートをすることです。アップデートを怠ると、外部からの不正アクセスの可能性が高まるなど、セキュリティ対策に不備が発生してしまうためです。
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
