パスワード管理とは？NGパスワードと安全なパスワードの違いとその作り方

パスワード管理は個人にも企業にもとても重要な作業です。しかしパスワード管理や作り方はどのようにすればいいのでしょうか？NGパスワードと安全なパスワードの設定方法の違いとパスワードの作り方について解説いたします。

パスワード管理とは？その重要性とリスクを理解しよう

パスワードとは、すでにみなさんの生活には身近なものとなっており、パスワード管理の重要性は高まっています。パスワードはアルファベット・数字・特殊文字を組み合わせた文字列で、端末やファイル、Webサイトやアプリなどに不正にアクセスされることを防ぐために使用します。いわば、「鍵」のようなものですね。守りたいエリアには鍵をかけ、そこに入るためには鍵を開ける必要があります。

今では私たちは一日に何度も何度もパスワードを設定したり、入力したりしています。パソコンやスマートフォンを開くとき、会社のポータルサイトに接続するとき、重要な資料をメールの添付でやり取りするとき…そしてプライベートでもWeb通販をするとき、オンライン予約をするとき、ネットバンキングを使用するとき…など、本当に多くの場面でパスワードに触れています。

そうしてパスワードという鍵で保護されている反面、この鍵を盗まれてしまうとサイバー犯罪者に様々なところにアクセスされてしまうというリスクがあります。上記に並べたようなシステムや資料、サービスに関する情報が盗まれるとなると、被害は氏名やメールアドレスといった個人情報を盗まれるだけにとどまらない、組織にも個人にも深刻なものになるということが想像できると思います。

設定してはいけないNGパスワード

情報技術の発展と拡大とともに、パスワードに関するサイバー犯罪も増加し続けています。過去1年間で約20億個のパスワードとユーザー名がオンライン上で公開されていて、約1,200万人もの人がフィッシング攻撃の被害に合っているという調査があります。「自分の身には降りかからないだろうから大丈夫」と思うのではなく、常に意識をしておくことが重要です。

サイバー犯罪者がパスワードを盗むときの一番簡単な手法は非常に単純で、パスワードを「推測する」のです。ですから、推測されやすいパスワードは盗まれやすいということになります。自分や家族の名前、生年月日などの組み合わせは容易に推測されてしまいます。キーボードの並び順通りの文字列で設定するということも避けましょう。また、「Password」や「123456」といった非常に単純なものもいまだに多くみられるのが現状です。これではいくらパスワードをかけたところで、盗まれてしまっても仕方がありません。

「辞書攻撃」と呼ばれる、辞書に出てくる単語を順に試していく手法もあります。一般的な単語は使わないということを徹底しましょう。

しかし、簡単には推測されないような凝ったパスワードを設定しても、付箋にメモをしてパソコンの画面のふちやスマートフォンの裏側に貼っていたのでは意味がありません。自分しか見ないノートや手帳であれば良いだろうという考えも危険です。それを紛失してしまえば、記入しているすべてのパスワードが人の手に渡ることになってしまいます。では、安全なパスワードの設定方法とはどのようなものでしょうか？

パスワードの作り方　安全なパスワードの設定方法

前述した「設定してはいけないNGパスワード」に対して、「安全なパスワードの設定方法」を簡単にお伝えしたいと思います。まずは守って頂きたい点をいくつかお伝えします。

セキュリティポリシーを遵守する
第一に、会社で使用するパスワードの場合には、決められたセキュリティルール（パスワードの最低文字数や、組み合わせる文字種の最低数など）を必ず守るようにしましょう。また、使用するツールごとに運営会社が定めたポリシーが存在することがあります。この場合には、ポリシーを満たしていないと「〇文字以上〇文字以下で設定してください」などの注意メッセージが表示され、パスワード設定を完了できないような仕組みになっています。

同じパスワードを使わない
複数のシステムやWebサイト・アプリで同じパスワードを使い回さないようにしましょう。特に仕事用とプライベート用は必ず重複の無いように気を付けましょう。また、「Pass1」「Pass2」のように末尾の数字1文字だけを変えて使用することも避けましょう。これは、パスワード更新の際にも同様です。

安全なWebサイトでのみパスワードを入力する
WebサイトのURLが「https://」で始まっていることを確認しましょう。「http://」で始まっている場合には、そのサイトは安全ではありませんからパスワードを入力することは避けましょう。

初期パスワードは必ず変更する
最初に「初期パスワード」が付与されることがありますが、初回ログイン時に必ず任意のパスワードに変更しましょう。

次に、安全なパスワードの作り方の例をご紹介します。

出来るだけ長くて文字種の多いパスワードを設定する
セキュリティポリシーで上限が決められていることもありますが、その場合には認められる最長のパスワードを設定するなど、パスワードはできるだけ長いものを使うようにしましょう。また、大文字・小文字・特殊文字（記号）もすべて使った組み合わせを作るようにしましょう。

パスフレーズ
そうは言っても、「パスワード①」でお伝えした通り、複雑で長いパスワードを覚えきれないためにメモをした付箋を貼るなどしてしまっては意味がありません。

そこで、「パスフレーズ」という覚えやすく複雑なパスワードを作る便利な手法があります。これは、「ワード（単語）」ではなく「フレーズ（文章）」にするという意味ですが、例えば「Iwakeupat6:30AM」(※)など、自分にだけわかるような文章を使用するということです。長さもじゅうぶんで、大文字・小文字・特殊文字（記号）を使用した複雑なパスワードになりましたね。　※実際はもっと推測されにくいような文章にしましょう

これまでご説明してきたパスワードの作り方を活用して、安全なパスワードを設定し、適切に管理しましょう。

まとめ

パスワードは個人でしっかり管理しなければなりません。しかし個人のパスワード管理ができないと企業の情報漏えいにつながるだけでなく、そこからサイバー攻撃を受ける時代になってきたのです。あなたの会社も対策を考えなければならないのではないでしょうか？

弊社CYBERGYM（サイバージムジャパン）は、急速にサイバー環境の拡大が進む昨今において、サイバーセキュリティを前提としたリスクマネジメントの重要性の高まりを受け、設立されました。サイバーセキュリティ業界で最先端の技術とノウハウを有するイスラエルのCYBERGYM社と提携し、日本及びアジアで、各種サイバーセキュリティトレーニングを弊社専用アリーナでご提供しています。対応チームの構築や強化、組織内レッドチーム養成、脆弱性診断等のサイバーセキュリティトータルソリューションを展開しています。

あなたの会社にもサイバー攻撃がくる時代になってきました。もはやサイバーセキュリティ対策は経営課題そのものです。その時、経営者はどうするべきなのでしょうか？「あなたが経営者に知らせておくべきサイバーセキュリティとは？」というダウンロード資料は、企業における最低限のサイバーセキュリティの備えや考え方をわかりやすくまとめています。

また「CYBERGYM　サイバーセキュリティトレーニング　総合ガイドブック」は、サイバー攻撃に対する具体的かつ実践的なトレーニング内容や価格がご覧いただける資料になっています。サイバーセキュリティに対する具体的な解決策を探している方は、ぜひ、当サイトより資料をダウンロードください。