ユーザーアカウントを設定するときに──アカウント管理の基本

『CISコントロール』を援用した企業に必要なITセキュリティの管理と維持の方法 #05

2024/11/01 10:00

通知

5.2 実際のアカウント管理

5.2.1 適切なパスワードの使い方

　アカウントを悪用されないためには、たいていの場合、まずはアカウントで使用しているパスワードを推測されないようにすることが先になります。パスワードに特定のスペルをもじった「P@ssw0rd」とか誕生日を使って「19980403」のような数字のみを使用することはダメだと以前から言われてきました。ただ、それならどのようなパスワードならいいのかという話になると、イメージがわきにくいようです。

　パスワードの推奨は様々な書籍や記事で紹介されていますが、たとえばCISは次のようなパスワードポリシーガイドを作成しています。

CIS Password Policy Guide: https://www.cisecurity.org/white-papers/cispassword-policy-guide/

　これは英語ですし内容も多岐にわたりますので、ここではもう少し簡単に読める、内閣府サイバーセキュリティセンター（NISC）が作成した『インターネットの安全・安心ハンドブック（ https://security-portal.nisc.go.jp/guidance/handbook.html ）』を紹介します。

　このハンドブックはITセキュリティ全般を扱っていますが、パスワードの適切な保管についてわかりやすく3つ示されていますので、簡単に見ていきましょう（語句は完全な引用ではなく、筆者が簡単に補足しています）。

パスワードを使用する場所にパスワードを置かない
つまり、パスワードをキーボードの裏に貼ったり、パソコンの中のファイルに書いたりしないように、ということです。掲示板などにも張るのはダメです。関係しない人が見ることができるのか、という観点で考えます。
パスワードはノートに書いて保管するか、パスワード管理ツールで守る
パスワード管理ツール（ハンドブックでは「アプリ」）というのは、一つのパスワードでそのツールにログインしたら、そのツールから別々のパスワードでそれぞれのアカウントを利用できるようになる、というものです。具体的な製品名としては、たとえば1Passwordなどがあります。他にも便利なセキュリティ機能がいっしょに使えるものもありますので、未使用の場合は検討してみましょう。
ウェブブラウザの自動入力にパスワードを覚えさせない
現実的には、Google ChromeやMS Edgeの機能で自動入力ができるようになりました。これを利用している人は多いと思いますが、これはもしパソコンが使える状態になっていると、他のアカウントも一緒に漏れてしまうのでお勧めはできません。パスワード管理アプリを使っていれば、頻繁に自動ロックがかかるようになるので、この問題を防ぐことができます。

　これらに加えて、パスワードはできるだけ長いものを使うようにすることを推奨します。かつてはパスワードには意味のない複雑なものを使いましょうと言われていましたが、最近の研究によると、長いことを優先する方が良いということがわかってきました。CIS Controlsでは多要素認証を使用するアカウントは8文字以上、使用しないアカウントは14文字以上のパスワードを推奨しています。つまり「F8fC,4h$」のようなパスワードよりも「ichiniti-ichizen-mikkade-sanzen」のように覚えやすくても長い方がパスワードとしては有効といえます（定型のことわざや言い回しをそのまま使うのは危険かもしれませんが……）。

　また、最近は多要素認証（MFA）が仕えるシステムが増えてきました。ログインするときにスマホなどに数字を入力せよと促すタイプの認証が普及していますが、重要なシステムではこの方法が使える場合は有効化しておきましょう。