ページの本文へ

Hitachi

Okta - Identity as a Service : IDaaS-クラウド型ID管理・統合認証サービス

  • セキュリティ

パスワード管理ポリシーとは?対策・設定のポイントを徹底解説

パスワード管理ポリシーの対策や設定時のポイントなどを解説します。

パスワード管理ポリシーとは?対策・設定のポイントを徹底解説のイメージ

パスワード管理ポリシーの概要を教えて欲しい
パスワード管理ポリシーが必要な理由を知りたい
パスワード管理ポリシーを設定するポイントをしっかりと把握しておきたい

パスワード管理ポリシーとは、設定するパスワードに関する条件のことです。システム管理者だけでなく従業員一人ひとりがパスワード管理ポリシーの必要性を理解することで、セキュリティ対策を強化できます。
本記事では、パスワード管理ポリシーの対策や設定時のポイントなどを解説します。

エバンジェリストが解説!クラウド時代に求められるID管理・認証・アクセス制御
動画の視聴はこちら>>

Oktaについて、詳細を確認する

パスワード管理ポリシーとは

パスワード管理ポリシーとはのイメージ

はじめに、パスワード管理ポリシーについて説明します。

パスワード管理ポリシーとは、パスワード設定時に必要な文字数、英文字・数字・記号などの組み合わせや複雑さなどの条件のことです。パスワード管理ポリシーをしっかりと設定することで、他人からパスワードを推測されにくくなり、不正アクセス予防に大きく役立ちます。

パスワード管理ポリシーの設定項目例は以下のとおりです。

  • 文字種(英・数・記号・大文字・小文字すべてを組み合わせる、など)
  • 文字数(N文字以上)
  • 有効期限
  • 履歴(最近使っていた同じパスワードの使用禁止、など)

安易なパスワードは外部の攻撃者から見破られやすくなります。実際、パスワードが単純だったために不正アクセスにつながったという事例が多くあるように、パスワード管理ポリシーを詳細に作成し、ある程度複雑なパスワードを設定することは、セキュリティ対策において効果的です。

しかし、複雑すぎるパスワードの場合、メモ行為の助長や利便性の低下につながることもあります。
また、多数のクラウドサービスやITツールを横断して使うようになった昨今、各システムで個別に複雑なパスワードを利用することは現実的ではありません。

そのため、パスワード管理ポリシーで基準を設定するだけでなく、SSOなどで認証行為を集約する「集中管理」もあわせて行うことが重要といえるでしょう。

パスワード管理ポリシーを作成すべき3つの理由

パスワード管理ポリシーを作成すべき3つの理由のイメージ

パスワード管理ポリシーを作成すべきおもな理由は以下のとおりです。

  • 不正アクセスの増加
  • 従業員が簡単なパスワードを設定するリスク
  • システムごとのパスワード基準のばらつき

それぞれ、一つずつ解説していきます。

不正アクセスの増加

パスワード管理ポリシーを作成すべき一つ目の理由として、不正アクセスの増加が挙げられます。

外部攻撃者によるなりすましなど、不正アクセスが増加しています。 また、組織的に実施されるサイバー攻撃が増加しているだけではなく、ランダムではなくあらかじめターゲットを絞ってから狙うなど、手口も巧妙化しています。

さらに、テレワークの拡大もあり、クラウドサービスの活用や社外のネットワークや端末から社内情報にアクセスするなど、今までとは違うインフラ環境で業務を推進する企業が増え、テレワーク環境を狙った不正アクセスも増加しています。

パスワード管理ポリシーがない状況は、攻撃者に不正アクセスのチャンスを与えることに つながりかねないともいえるのです。

従業員が簡単なパスワードを設定するリスク

パスワード管理ポリシーを作成すべき二つ目の理由として、従業員が簡単なパスワードを設定してしまうリスクが挙げられます。

決められたルールがなく、各従業員が好きなようにパスワードを設定できる状況では、どうしても簡単なものや覚えやすいもの、すなわち他人からも特定しやすいものを設定しがちです。

具体例としては、生年月日を表す8桁の数字や「Apple」などの単純な単語のほか、「Pasrw0rd」などの文字列もよく使われており、見破られやすいため危険です。

また、複数のシステムで同じパスワードを使い回したり、パスワード更新のたびに数字のみを「Apple_01」から「Apple_02」などにカウントアップしたりと、個々が簡便さを求めるあまりパスワード管理が疎かになりがちです。

このようなリスクの高いパスワードの設定を防ぐためにも、パスワード管理ポリシーを定め、従業員一人ひとりがパスワード管理の危険性と正しい運用方法を理解することが重要になります。

システムごとのパスワード基準のばらつき

パスワード管理ポリシーを作成すべき理由として、システムごとにパスワード設定の基準にばらつきがあることも挙げられます。

従業員は日々の業務のなかでさまざまなシステムを使っています。また、近年ではテレワークや在宅勤務などの新しい働き方が浸透し、クラウドサービスを利用する機会も増えています。

しかし、システムやサービスによってパスワードの設定基準はそれぞれ異なっており、パスワードの基準設定をプラットフォーム任せにしていると、パスワードの安全性にばらつきが生じます。
また、管理者以外はどのシステムがどのポリシーを適用しているかを把握しづらくなってしまいます。

そのため、不正アクセスが発生してはじめて、安易で特定されやすいパスワードを使用していたことが明らかになる、という状況を引き起こしがちです。
システム単位でのセキュリティ品質を高めるためにも、システムに共通したパスワード基準を、パスワード管理ポリシーによって定める必要があります。

パスワードだけに依存しないセキュリティ対策を

パスワードだけに依存しないセキュリティ対策を

パスワード管理ポリシーで基準を定めることは、セキュリティレベルの向上に効果的です。
しかし、従来のIDやパスワードを使った一般的なパスワード認証方式では、情報漏洩や不正アクセスなどのリスクを防ぎきれず、またサイバー攻撃の内容も複雑化してきているため、パスワードのみでセキュリティ対策を講じることは困難とされています。

そのため、これからはパスワード管理だけに依存しないセキュリティ対策を講じることが重要といえるでしょう。

たとえば、認証行為を集約するシングルサインオン(SSO:Single Sign On)もセキュリティ強化に有効です。
これまでは滅多に使わないシステムに不正ログインされても気付きにくい状況でしたが、SSOでログインを集約することで、不正ログインに気づきやすくなります。

認証行為を集約することによって利便性が向上するだけでなく、パスワードが漏洩した場合も気づきやすくなるため、セキュリティ上のメリットも期待できるでしょう。

また、知識情報、所持情報、生体情報を2つ以上組み合わせる多要素認証(MFA:Multi-Factor Authentication)もセキュリティ強化に役立ちます。多要素認証のなかには、パスワードを使用する代わりに証明書や指紋などを使用する「パスワードレス認証」もあり、昨今注目を集めています。

まとめ

パスワード管理ポリシーについて詳しく解説しました。
個々の従業員が多様なシステムやサービスを利用する現代では、パスワード管理ポリシーを定めて複雑なパスワードを設定すること、また、各システム共通のパスワード生成基準に統一することが大切です。

最近ではパスワードのみの認証ではセキュリティ維持が困難になりつつあることから、多要素認証やSSOなどを活用してセキュリティレベルを向上している企業も増えています。

特にクラウドサービスを使う際は、安全性の高い認証方式を取り入れることが肝要です。
クラウドサービスを利用する場合は、クラウド型ID管理・統合認証サービス「IDaaS」(Identity as a Service)などを利用する方法が有効です。

パスワードレス認証を含む多要素認証やSSOの導入も視野に入れつつ、まずはパスワード管理ポリシーの要件を取り決め、全社でセキュリティレベルを向上していきましょう。

Oktaでゼロトラストを始めよう! 導入ステップ例とログイン登録手順を解説

IDaaSの導入を検討されている方のために、導入ステップ例について解説します!

さらに詳しく知りたい方へ

Okta - IDaaS - クラウド型ID管理・統合認証サービス

Oktaについて詳しく!資料ダウンロード