オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

パスワードの適切な設定方法や取り扱い方法についてご存知でしょうか。

「パスワード設定するのは正直面倒…」と思う方も多いと思います。

安全性の観点から、「入力したパスワードがすでに使用されている」あるいは「簡単すぎる文字列になってしまっている」と弾かれてしまった…という経験をした方もいるのではないでしょうか？

今回は安全性の観点から、Pマーク取得企業にふさわしく、かつ現実的なパスワードの設定および、複数のパスワードに関してオススメの管理方法についてご紹介します。

実際どんなパスワード管理のルールを設定すればいいの？

パスワード設定をする上で、入力したパスワードが「強」「中」「弱」と判断されるような仕様を目にしたことはありませんか？

つまり、パスワードにも安全性の観点から見て、いくつかレベルが存在するというわけですね。

確かに、簡単すぎるパスワードであれば、なにかの間違いで開かれてしまうこともあるでしょうし、個人の生活内で使用しているパスワードならまだしも、社内PCなどの機密情報を管理するパスワードであれば、そこから社内の情報が流出し、企業の存続に関わる大きな事件となるわけです。

ですので、いま一度、安全性の高いパスワードを作成・運用していくためのどのようなことに気をつければ良いか、5つポイントをお伝えします。

①最低文字数以上のパスワード設定にする

⇨基準として英数字を合わせて10桁以上にすることを推奨します。

②大文字、小文字のアルファベットだけでなく数字を入れたパスワード設定にする。

⇨利用する文字種を増やすことにより、より強力なパスワードとすることができます。

③複数のサイトで同じパスワードを使うことを禁止とする。

⇨1つのパスワードを複数のサイトで使いまわすことは、一つのサービスで漏えいした場合に、他のサービスでもログインできるようになりますので、危険です。サービスごとに個別のパスワードを設けるようにしましょう。

④できるだけ指紋認証、顔認証等の生体認証を用いた管理をする。

⇨パスワード管理の一環で顔認証、指紋認証が使用できるデバイスも増えてきました。

⑤パスワード管理をポストイットなどに記載して画面の周りなどに貼ってはいけない。

⇨他人にも見える位置に置いておくなどの管理方法は論外です。

加えて、スマートフォンのパスワード設定でありがちなのですが、複数のサイトに渡って同じようなパスワードを使用しているにも関わらず、デバイス自体にパスワードを記憶させるような機能を使用することも少し危険かと思います。

自動入力はとても便利な機能ではありますが、保存する先を間違ってしまうと簡単に他人にパスワードを知られてしまいますので、上記の5つのポイントを守るように意識しましょう。

パスワードを定期的に変更しなくていいの？

安全性の観点から見て、パスワード自体に「簡単にはわからないであろう多少の複雑性があること」「複数のサイトやデバイス渡って使い回しがされていないこと」この2点が守られている状態であれば、定期的にパスワードを変える必要はありません。

なぜかというと、先述した注意点においても言えることですが、大文字、小文字のアルファベットだけでなく、数字を入れ「複雑性」を持たせたパスワードにするだけで、安全性ははるかに高くなります。

反対に複雑性を持たせずに定期的に更新しているほうが危ないのです。

パスワードを更新する際に、何かしらインターネットのトラブルが起きてしまうことも考えられますし、何より毎回パスワードを変えることは、手間だと思います。

以上のことから、パスワード管理の運用ルールは「定期的に更新をする」というより「複雑性を持ったパスワードであるかどうか」を確認する方が、効率よく且つ安全的に管理できるわけですね。

ちなみに、複雑性を定義するのは難しいのですが、10桁でパスワードを設定した場合の英数字・記号の組み合わせを計算するとそれぞれの組み合わせは以下の通りになります。

文字の種類	組み合わせ文字種数	10桁の場合
数字のみ（0～9）	10	10,000,000,000
英字（小文字）	26	141,167,095,653,376
英字（小文字）＋数字	36	3,656,158,440,062,980
英字（大小）＋数字	62	839,299,365,868,340,000
英字（大小）＋数字＋記号31文字	93	48,398,230,717,929,300,000

こちらは一つのパスワードを破るための試行回数を計算したものになりますが、数字を入れた場合から、記号も入れたパターンまでの試行回数を計算すると、一目瞭然かと思います。

記号を入れるだけで、組み合わせは4839京パターンにまで及び、多数の組み合わせを有していることがわかりますね。ですので桁数で言えば10桁以上、且つ記号も用いてパスワード設定できるのであれば、より複雑化できるパスワードとなりますので、安全性を意識したパスワードを作成するようにしましょう。

おすすめのパスワード管理方法

結論からいうと、クラウド型のパスワード管理ツールを用いて、一括した管理を行うことをオススメしております。

クラウド上にパスワードが存在することになりますので、権限を付与して入れば社内の複数のデバイスからアクセスできますし、パスワード管理ツールの中には、安全性の高いパスワードを自動生成してくれる機能を有しているものもあります。

また、指定のURLにアクセスするときには自動的に適切なID・パスワードを自動入力してくれるものがほとんどですので、いちいち手入力するという手間も省くことができますね。

ただ、注意点としては「クラウド上」つまり、手元のパソコンの中ではなくインターネット上に保存して管理していくことになりますので、クラウドにログインする際のパスワードに関してはより複雑性のあるものを設定し、運用して行くことが必要になります。

こういったルールの中には、社内で複数のサイトにパスワードを使い回していないか確認できる機能や、現在のパスワードの安全性を数値化し、可視化することができるサービスを展開しているものも存在しますので、運用基準や用途に合わせて活用していきましょう。

ダメなパスワード管理方法

スマートフォンや、タブレットでのデータ管理が主流となり、紙の使用料が減ってきた時代ではありますが、タスク管理やパスワードなどに関しては、付箋やノートにメモをして管理している方も少なくはないはずです。

パスワードを管理する上で下記の内容はNG行為です。

上記2つの方法で管理している方も多いのではないでしょうか？

どちらにも共通して言えることですが、他の人から見えてしまうことが大きなNGポイントです。

社内の人からは丸見え、場合によっては社外の方がいらっしゃる場合も少なくはないはずです。

つまり、個人の特定を行うためのパスワードが第三者に知られていることはそれだけで、情報の漏洩と言っても過言ではないわけです。

仮に、どうしてもノートやメモを活用して管理する場合には鍵付きの保管庫や机の中にしまって、第三者に見えないように管理をしましょう。

管理方法で気を付ける点

◯「社内ルールと社内の実態に乖離が起きないように管理する」

社内でパスワードの管理ルールを作成しても、従業員全員に浸透させてルールを守りきることはやはり難しいと思います。

せっかく作成したルールを、運用まで持っていけない状況下で進めるのはコスト的にも、運用的にも大変です。ですので、管理ツールを導入するといった改善策をあらかじめ考えておきましょう。

◯「現実的ではないルールの作成」

パスワードだからこそ、求めるレベルが変わってくることも多々あります。

私も経験がありますが「パスワードは一度覚えてしまえば、扱えるでしょ」という風に簡単に考えていたこともありました。

これを社内で運用する上でルール化してしまうと、中には覚えられない人も出てきて逆に浸透しづらい原因を作ってしまうことになります。

そのほかにも、多くのサイトを運営する会社ではパスワードやIDを多く使用しますが、管理ツールの導入を禁止してしまったり、業務に対し、現実的ではないルールを策定してしまうと返ってこちらも逆効果です。

このように現実的なルールを策定し、社内のニーズや効率化を図って対策を考えていくようにしましょう。実際には社内の方々が無理なく、かつ個人情報保護の観点から見たときに問題なく運用できているかが重要になってきますので、社内に合わせた管理ルールと対策を考えていただくことが大切です。

Pマーク取得のご相談ならオプティマ・ソリューションズへ！

弊社は創業後の19年間で3,000件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。