【企業のセキュリティ対策】安全なパスワード管理の方法とは?
働き方改革、DXの推進によって、ICTを活用したテレワークや施設のIoT化などが進み、さまざまな端末・設備がインターネットにつながる時代となりました。
特に近年では、コロナ禍を契機としたデジタル化が加速しており、事業環境にも変化が見られています。
そうしたなか、インターネットにつながる機器・設備が増加したことで、サイバー攻撃や不正アクセスなどの脅威例が多数発生しています。
企業の資産を守り、情報漏洩やシステム障害などの発生を防ぐためには、リスクを踏まえたセキュリティ対策が欠かせません。そのなかでも端末側で行うセキュリティ対策の一つに、“パスワード管理”が挙げられます。
この記事では、近年の不正アクセス発生状況をはじめ、セキュリティ対策の一つとなるパスワード管理の方法について解説します。
目次[非表示]
- 1.近年の不正アクセス発生状況
- 2.安全なパスワードの管理方法
- 2.1.①初期設定から変更する
- 2.2.②同一のパスワードを使いまわさない
- 2.3.③ユーザー権限を設定する
- 2.4.④保管・共有方法に留意する
- 3.パスワード管理システムでセキュリティを強化
- 4.まとめ
近年の不正アクセス発生状況
近年、電子機器やWebサイトへの不正アクセスの件数が増加傾向にあります。
不正アクセスとは、アクセス権限を持たない第三者がサーバや情報システム内部に侵入する行為のことです。
総務省が公表している『不正アクセス行為の発生状況』によると、2020年(令和2年)に警察庁に報告された不正アクセス行為の認知件数は2,806件となっており、2016年(平成28年)から966件増加しています。
▼不正アクセス行為の発生状況
画像引用元:総務省『不正アクセス行為の発生状況』
また、不正アクセスを受けたコンピュータのアクセス管理者のうち、最も多いのが“一般企業”で、2,703件を占めている状況です。
画像引用元:総務省『不正アクセス行為の発生状況』
なお、不正アクセスを認知したきっかけについては、“警察活動”が57.3%と最も多いことが分かります。
▼不正アクセスを認知したきっかけ
画像引用元:総務省『不正アクセス行為の発生状況』
このような結果を見ると、不正アクセスの対象として一般企業が狙われやすく、企業管理者・従業員が不正アクセスに気づかないケースも一定数あるといえます。
なお、不正アクセス後の行為事例には、以下が挙げられています。
▼不正アクセス後の行為事例
- インターネットバンキングでの不正送金
- メールの盗み見をはじめとする情報の不正入手
- 知人になりすましての情報発信
- Webサイトの改ざん・消去 など
企業への不正アクセスが行われると、情報漏洩やシステム停止などによって、業務、企業イメージなどに大きな影響をおよぼすリスクがあるため、注意が必要です。
出典:総務省『不正アクセス行為の発生状況』
安全なパスワードの管理方法
社内のサーバやシステムに不正アクセスさせないためには、アカウントのパスワード管理を十分に行うことが重要です。
ここでは、パスワードを安全に管理する方法について解説します。
①初期設定から変更する
IoT端末やシステムなどのパスワードは、初期設定のままにせず適切に変更することが重要です。パスワードを初期設定から変更していない場合、外部からの不正アクセスが容易に行われてしまうリスクがあります。
パスワードは、初期設定から変更するとともに、変更後のパスワードは推測されにくい文字数や文字種別に設定することがポイントです。
推測されにくいパスワードの作成条件には、以下が挙げられます。
▼安全なパスワードの作成条件例
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
引用元:総務省『安全なパスワード管理』
生年月日や電話番号、名前、従業員コードなどは、他人から推測されやすいため避ける必要があります。
出典:総務省『安全なパスワード管理』
②同一のパスワードを使いまわさない
同じパスワードを複数の端末やシステム、サービスで使いまわさないようにすることも重要です。
たとえば、コワーキングスペースやカフェなどでメモに書いたID・パスワードが漏洩した場合、社内のチャットツールや社内ネットワークなどに不正アクセスされる可能性があります。
第三者からの不正アクセスを防ぐためには、端末やシステム、サービスごとに固有のパスワードを設定する必要があります。
また、業務や取引の関係上、システムにログインするためのID・パスワードを取引先から提供されることも少なくありません。しかし、取引先から提供されるアカウント数は限られていることも多く、社内の担当部署で共有・使いまわしが発生するケースがあります。
このような場合、ID・パスワードの管理範囲が社外にまでおよぶため、保管・管理のルールが明確化されていないこともあります。外部への情報漏洩を防ぐには、社内システム外のID・パスワードを管理できる仕組みも必要です。
③ユーザー権限を設定する
重要情報を取扱う端末やシステムにおいては、管理者権限のパスワードを設定する必要があります。
権限のないユーザーとはパスワードを共有しないほか、情報の機密性・重要性に応じてユーザーごとに適切な権限を割り当てることがポイントです。
また、ユーザーの役割変更や降格、退職などが行われる場合には、アクセス権限についても修正が必要です。ユーザー権限を適切に設定することによって、悪意のある第三者からの不正アクセス防止や、従業員、退職者などによる内部不正の対策にもつながります。
④保管・共有方法に留意する
パスワードを保管・共有する際は、第三者に漏れないように取扱いに留意しなければなりません。
安全にパスワードを保管する方法には、以下が挙げられます。
▼パスワードの保管方法
画像引用元:総務省『設定と管理のあり方』
また、近年では、大企業の取引先や医療機関などをターゲットとしたサイバー攻撃が発生しています。第三者にシステムのログイン情報が流出することで、別の攻撃の踏み台にされる可能性もあります。
このようなリスクを防ぐためには、社外に情報が流出した場合に検知できるセキュリティ対策が求められます。
出典:総務省『設定と管理のあり方』
パスワード管理システムでセキュリティを強化
端末やシステムへの不正アクセスを防ぐために、パスワード管理システムを活用することも一つの方法です。
パスワード管理システム『Dashlane』は、端末やブラウザに依存せず、企業内の複数のパスワードを安全に管理できるシステムです。国際的なコンプライアンス・セキュリティ規格に準拠しており、強固なパスワード管理を実現できます。
主な機能として、以下が挙げられます。
▼Dashlaneの主な機能
- パスワード・ユーザー名の自動入力
- 強固なパスワードの自動生成・自動保存
- 共同IDのパスワード管理(権限許可設定あり)
- 24時間365日のダークウェブ監視(情報流通時にユーザー通知を行う)
- パスワード健全性スコア・レポートの作成
また、社内システムだけでなく、取引先から提供された社外のID・パスワードについても管理できます。もしも、登録したID・パスワードがダークウェブに流出した場合には、検知することも可能です。
このように、『Dashlane』の活用によって、パスワードの推測・使いまわしや、権限の悪用、ダークウェブへの流出を防ぎ、セキュリティの強化につながります。
まとめ
この記事では、企業のパスワード管理について以下の内容を解説しました。
近年の不正アクセスの発生状況
安全なパスワードの管理方法
パスワード管理システム『Dashlane』について
企業のサーバやシステムなどへの不正アクセスを防ぎ、情報資産を守るためには、適切なパスワード管理が欠かせません。また、セキュリティ対策を強化するために、パスワード管理システムを活用することも有効です。
『ジェイエスキューブ』では、社内外にあるID・パスワードを管理して、不正アクセスの脅威から企業の資産を守るパスワード管理システム『Dashlane』をご提供しています。自社のセキュリティ強化を検討している企業さまは、こちらから資料をダウンロードいただけます。
なお、デジタルワークプレイスにおけるセキュリティ対策については、こちらの記事で解説しています。