5.2 実際のアカウント管理
5.2.1 適切なパスワードの使い方
アカウントを悪用されないためには、たいていの場合、まずはアカウントで使用しているパスワードを推測されないようにすることが先になります。パスワードに特定のスペルをもじった「P@ssw0rd」とか誕生日を使って「19980403」のような数字のみを使用することはダメだと以前から言われてきました。ただ、それならどのようなパスワードならいいのかという話になると、イメージがわきにくいようです。
パスワードの推奨は様々な書籍や記事で紹介されていますが、たとえばCISは次のようなパスワードポリシーガイドを作成しています。
CIS Password Policy Guide: https://www.cisecurity.org/white-papers/cispassword-policy-guide/
これは英語ですし内容も多岐にわたりますので、ここではもう少し簡単に読める、内閣府サイバーセキュリティセンター(NISC)が作成した『インターネットの安全・安心ハンドブック( https://security-portal.nisc.go.jp/guidance/handbook.html )』を紹介します。
このハンドブックはITセキュリティ全般を扱っていますが、パスワードの適切な保管についてわかりやすく3つ示されていますので、簡単に見ていきましょう(語句は完全な引用ではなく、筆者が簡単に補足しています)。
-
パスワードを使用する場所にパスワードを置かない
つまり、パスワードをキーボードの裏に貼ったり、パソコンの中のファイルに書いたりしないように、ということです。掲示板などにも張るのはダメです。関係しない人が見ることができるのか、という観点で考えます。 -
パスワードはノートに書いて保管するか、パスワード管理ツールで守る
パスワード管理ツール(ハンドブックでは「アプリ」)というのは、一つのパスワードでそのツールにログインしたら、そのツールから別々のパスワードでそれぞれのアカウントを利用できるようになる、というものです。具体的な製品名としては、たとえば1Passwordなどがあります。他にも便利なセキュリティ機能がいっしょに使えるものもありますので、未使用の場合は検討してみましょう。 -
ウェブブラウザの自動入力にパスワードを覚えさせない
現実的には、Google ChromeやMS Edgeの機能で自動入力ができるようになりました。これを利用している人は多いと思いますが、これはもしパソコンが使える状態になっていると、他のアカウントも一緒に漏れてしまうのでお勧めはできません。パスワード管理アプリを使っていれば、頻繁に自動ロックがかかるようになるので、この問題を防ぐことができます。
これらに加えて、パスワードはできるだけ長いものを使うようにすることを推奨します。かつてはパスワードには意味のない複雑なものを使いましょうと言われていましたが、最近の研究によると、長いことを優先する方が良いということがわかってきました。CIS Controlsでは多要素認証を使用するアカウントは8文字以上、使用しないアカウントは14文字以上のパスワードを推奨しています。つまり「F8fC,4h$」のようなパスワードよりも「ichiniti-ichizen-mikkade-sanzen」のように覚えやすくても長い方がパスワードとしては有効といえます(定型のことわざや言い回しをそのまま使うのは危険かもしれませんが……)。
また、最近は多要素認証(MFA)が仕えるシステムが増えてきました。ログインするときにスマホなどに数字を入力せよと促すタイプの認証が普及していますが、重要なシステムではこの方法が使える場合は有効化しておきましょう。
5.2.2 アカウントの利用方法を確認しよう
管理者の側からみると、アカウントには様々な観点から決めておくべき運用ルールがあります。その中でも特に有効なことが、休止アカウントを無効にすることです。ベストプラクティスとしては、45日間利用されていない休止アカウントは削除または無効化するのが良いとされています。
いらないものは削除、無効化したほうがいいというのは、多くの組織で理解されていることですが、実際にはそのルールが守られないこともあります。そのため、アカウントが実際に使われているか、無効なものが再利用される可能性がないかは、定期的な棚卸が必要になります。
次の普段の業務に目を向けると、冒頭のようにコンピュータのそばにいる他者がアクセスする可能性を最小限に抑えるためには、一定時間非アクティブの状態が続くと自動的にシステムからログアウトしたり、画面をロックしたりするように設定しておくことが重要です。
それ以外では、大きな組織の話になりますが、クラウド環境を含む複数のアプリケーションを利用する場合にシングル サインオン(SSO)を使うことが多くなりました。SSOを使うと、一つのパスワードでさまざまな社内システムへログインできるようになります。