日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.19 中小企業のセキュリティー対策

二段階認証のイメージ

パスワードは安易に設定しない

インターネットバンキングやウェブメール、オンラインストレージ、SNS(ソーシャル・ネットワーキング・サービス)などの各種ウェブサービスの拡大に伴い、独立行政法人情報処理推進機構(IPA)の情報セキュリティ安心相談窓口には、それらサービスへの不正ログイン被害に関する相談が継続して多く寄せられている。

ウェブサービスへの不正ログインによる影響は、提供しているウェブサービスの機能によって変わる。例えば、インターネットバンキングの場合は、不正送金により金銭被害が発生する。SNSの場合は、成り済ましによる書き込みやスパムメッセージの送信により信用低下を招く。先日は、ウェブメールに不正ログインされたことで、メールでやり取りしているさまざまな情報が閲覧された後、サイバー攻撃を受けて約2カ月にわたりシステム停止の被害に陥った組織の報道もあった。

ウェブサービスへの不正ログインの理由として、利用者の安易なパスワード設定が挙げられる。例えば、IDとパスワードが同一、パスワードに単純な単語や、「123456」や「abcdef」のような連続した英数字を使用している場合、攻撃者にパスワードを推測される恐れがある。

SNSで公開している誕生日などの情報をパスワードにするのも危険だ。「qwerty」といった一見ランダムな文字に見えるが実はキーボード上の隣接している文字も推測されやすい。また、複数のウェブサービスで同じIDとパスワードを使い回している場合、一つのウェブサービスのIDとパスワードが漏えいしただけで、他のウェブサービスにも被害が拡大する。

働き方改革を進めていく上で、リモートワークによる柔軟な働き方を確保するためウェブサービスを活用する機会は増えていくと考えられるが、利便性と同時に安全性の確報も考慮する必要がある。

二段階認証の利用も有効

ウェブサービスの不正ログインの被害に遭わないためには、ウェブサービスを利用するユーザーが自分自身で対策を実施することが必須となる。具体的な不正ログイン対策として、まずはパスワードを「長く」「複雑」にするなど推測されにくいものにして、さらに複数サービス間で「使い回しをしない」ことが重要である。

例えば、パスワード管理ソフトを利用し、ウェブサービスごとに異なるパスワードを設定する。また、パスワードには推測されにくい文字列を設定する。

パスワード管理ソフトが利用できない場合は、普段使用しているパスワードの最初か最後にウェブサービスごとに数字や記号を加えるだけでも対策として有効である。また、厳重に管理された紙のメモにパスワードを記載しておくことでもよい。

さらに、ウェブサービスが「多要素認証」を提供している場合は利用する。多要素認証とは、パスワードの記憶だけでなく、ワンタームパスワード(1回しか使えないパスワード)を作成するトークンなどの端末の所持や、指紋、顔、静脈、虹彩といった生体情報など複数の要素を用いた認証方式である。「二段階認証」と呼ばれることもある。これを利用することで不正ログイン防止に効果がある。また、仮にIDやパスワードが窃取されても、金銭などの最終的被害を回避することもできる。

IPAでは相談が多い不正ログイン対策について特集ページを公開している。詳しくはウェブサイト(https://www.ipa.go.jp/security/anshin/account_security.html)を確認してほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

ノートパソコンやタブレット、スマートフォンなどのモバイル端末の普及に伴い、中小企業でも無線LANの導入が進んでいる。無線LANを導入することで、会議室や工場などに端末を持…

前の記事

独立行政法人情報処理推進機構・江島将和

マイナンバー法や改正個人情報保護法が施行され、情報セキュリティー対策の重要性はますます強く認識されるようになったが、民間企業、公的機関を問わず情報漏えいなどの事故や…

関連記事

独立行政法人情報処理推進機構・江島将和

在宅勤務で急速に拡大新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大している。Web会議サービスの活用は大変有益である一方、…

独立行政法人情報処理推進機構・江島将和

「サイバーセキュリティお助け隊」報告書公表独立行政法人情報処理推進(IPA)は6月15日、「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…