日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.31 適切なパスワード管理を

不正ログイン対策のイメージ

インターネットサービス(クラウドサービス、SNS、ショッピングサイトなど)の多くは、IDおよびパスワードによる本人認証方式が採用されている。しかし、IDおよびパスワードによる本人認証方式では、悪意のある第三者にIDおよびパスワードを知られた場合は、不正にログインされ、個人情報漏えいや金銭被害などの被害に遭う恐れがある。

実際に独立行政法人情報処理推進機構(IPA)が設置する「情報セキュリティ安心相談窓口」には、「ウェブメールのアカウントにログインができなくなった」「SNSアカウントから身に覚えのない投稿をされた」「ショッピングサイトで自分のアカウントに身に覚えのない購入履歴があった」などの相談が多数寄せられている。これらは自分が利用しているインターネットサービスにおいて、第三者にIDおよびパスワードを悪用されたことが原因による不正ログイン被害であると考えられる。

自分自身で対策が必須

不正ログインの被害に遭わないためには、インターネットサービスを利用するユーザーが自分自身で対策を実施することが必須となる。不正ログイン被害への対策として次に挙げる内容に留意してほしい。

■短く推測されやすいパスワードは危険

短いパスワードを設定している場合、パスワードを総当たりでログイン試行され、不正にログインされてしまう。また、パスワードに誕生日や名前、使われやすい文字列を設定している場合、パスワードを推測されて、不正にログインされてしまう。

■サービスごとに異なるパスワードを設定

IDとパスワードを複数のウェブサービスで使い回している場合、十分な文字数で推測困難なパスワードを設定していたとしても、どこか一つのサービスから漏えいしたIDとパスワードを用いた「パスワードリスト攻撃」による不正ログインを防ぐことができない。この攻撃の被害に遭わないためには、サービスごとに異なるパスワードを設定しておく必要がある。

■適切なパスワードの作成・管理

パスワードは、10文字以上の文字列でアルファベットの小文字や大文字、数字や記号を組み合せるなどの作成方法と、どのように記憶や記録をするかの管理方法が重要である。おのおのが自分に合ったパスワードの作成方法と管理方法を考えるのが一番だが、例えば、記憶できる文字列を決め、その文字列にサービスごとに3桁や4桁の異なる数字や記号を付け足すことで、異なるパスワードを作成できる。そして、作成したパスワードの文字列から、サービス毎の差分(記憶できない部分)だけ電子ファイルや手帳などに記録すると管理しやすい。また、パスワード管理ツールの利用も選択肢の一つといえる。

■認証の強化

サービスによっては、PINコードやワンタイムパスワード、電子証明書などを用いた多要素認証が提供されている。不正利用による金銭被害が懸念されるサービスでは、多要素認証方式を活用し、より安全にサービスを利用することが望ましい。

不正ログイン対策の詳細については、IPAのウェブサイト(https://www.ipa.go.jp/security/anshin/account_security.html)を参考にしてほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

ソフトウエアのインストール直後やインターネットサービスの利用開始時、サーバーやネットワーク対応機器などの購入時点では、不要な機能が有効になっている製品・サービスや、…

前の記事

独立行政法人情報処理推進機構・江島将和

近年、多くの企業がインターネット上で、ウェブサイトなどを運営し、情報の発信やサービスの提供を行っているが、そうしたウェブサイトや企業で利用しているDNSサーバーに対し…

関連記事

独立行政法人情報処理推進機構・江島将和

在宅勤務で急速に拡大新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大している。Web会議サービスの活用は大変有益である一方、…

独立行政法人情報処理推進機構・江島将和

「サイバーセキュリティお助け隊」報告書公表独立行政法人情報処理推進(IPA)は6月15日、「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…