システムにログインしたりデバイス上の操作を許可したりする時に必要になるのが、パスワード。
社会のデジタル化が進む中で、ビジネスにおいても、パスワードは重要な役割を果たしています。

そんなパスワードの利用でしばしば問題になるのが、その管理について。情報を守り安全にシステムを活用していくためには、パスワードの管理は厳重に行わなければなりません。
しかし、日常的に使用するパスワードの管理は、疎かにされやすい傾向にあります。

そこで今回は、企業のパスワード管理について、その実態と対策を解説していきます。

企業のパスワード管理の実態

まずは、IT企業のHENNGE株式会社が2010年10月に実施した500名に対する「企業におけるパスワード管理に関する調査」を基に、企業のパスワード管理の実態について見ていきましょう。

この調査によると、「勤め先で利用するシステムではどのようなログイン方法を利用していますか?」という問いに対し、最も多かったのが、「ID・パスワードのみ」という回答。その割合は88.4%で、次いで多いのが「ワンタイムパスワード」の15.4%でした。
このことから、9割に近い企業で、会社システムへのログインが、ID・パスワードのみで行われていることがわかります。

また、「同じパスワードを使いまわしすることがありますか?」という問いに対しては、「ある」と回答した方が54.9%。その理由として「管理に手間がかかる」という答えた人の割合は、67.0%でした。

この調査からは、会社のシステムへログインするための重要なパスワードを、使いまわししている社員が多いという現状が見えてきます。

従業員にパスワード管理を任せると起こる問題

各従業員にパスワード管理を任せているという組織は多いのではないでしょうか。
しかし、それはあまりおすすめできません。従業員にパスワード管理を任せてしまうと、以下のような問題が発生する可能性があるためです。

パスワードの使い回し

パスワードは使い回ししないのが基本。しかし、日常的に利用するシステムのパスワードをシステムごとに管理する手間に対し、従業員はどうしても負担を感じてしまいます。
そのため、前章でもご紹介したように、従業員にパスワード管理を任せていると、パスワードの使い回しが起きやすくなります。

メモからのパスワード漏洩

会社で利用するシステムが複数あると、忘れないようパスワードをメモしておくことも多いでしょう。そのメモは厳重に保管する必要があります。
しかし、万が一メモを紛失したり第三者に見られたりしてしまった場合はどうなるでしょう。その場合、パスワード漏洩により第三者の不正ログインが起きる可能性があり、内部情報漏洩のリスクは高まります。

サイバー攻撃のリスク上昇

パスワードの使い回しやパスワードメモの紛失は、企業に対するサイバー攻撃のリスクを高めてしまいます。実際、不正アクセスや情報改ざんなどの事件は数多く起こっていて、大きな問題となっています。
サイバー攻撃のリスクを低減させるためにも、パスワード管理を従業員に任せるのは避けた方が良いでしょう。

パスワード管理と定期変更

パスワードといえば、「定期変更が必要!」と思っている方が多いのではないでしょうか。実際、パスワードの定期変更を求めるシステムは少なくありません。
HENNGE株式会社の調査でも、「パスワードを定期的に変更する必要がある」という認識を示した人は、65.7%に及びました。

しかし、近年パスワードの定期変更に対する重要性は変化しています。詳しく解説していきましょう。

パスワードの定期変更は不要

従来の日本では、パスワードの定期変更が推奨されてきました。
しかし、2017年に「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」というガイドラインが米国国立標準技術研究所(NIST)から発表され、パスワードの定期変更に対する重要性は変化。現在は日本の内閣サイバーセキュリティセンター(NISC)も、「パスワードを定期変更する必要はない」という旨を示しています。
なぜなら、パスワードの定期的な変更によって、パスワードがパターン化および簡易化し、使い回しも起こりやすくなるためです。

ただし、パスワード流出が疑われたりアカウントが乗っ取られたりした場合には、速やかなパスワード変更が必要です。

安全なパスワード設定のポイント

パスワードは、定期的に変更することではなく、各システムで推測されにくい固有のパスワードを設定すること、また使い回ししないことが大切です。
総務省が推奨している安全なパスワード設定のポイントを挙げてみましょう。

・個人情報から推測できないこと(名前や生年月日など)
・英単語などをそのまま使用しないこと
・アルファベットと数字を混在させること
・適切な長さにすること
・安易な並びや組合せにしないこと

インターネット上にはパスワードクラッカーと呼ばれる、パスワードを推測するツールなども出ています。このようなツールによる推測を避け、パスワードの安全性を保つには、簡単に推測されるような安易なパスワードを避ける必要があります。

企業が行うべきパスワード管理対策

最後に、パスワード管理の安全性を高めるために、企業が行うべきパスワード管理対策の例を3つご紹介します。

SSO

SSOとは、シングルサインオンと言い、一度ID・パスワード認証をするだけで、複数のシステムへ自動ログインできる仕組みのことです。シングルサインオンを用いれば、従業員はシステムごとにパスワードを設定して覚える必要がなく、パスワードの使い回しやメモ漏洩のリスクは低減されます。
また、SSOによって、システムへの入り口はひとつに。この入り口のセキュリティを強化することで、安全性の向上が期待できます。

二段階認証・二要素認証

システムの入り口のセキュリティ強化に効果的なのが、二段階認証。IDとパスワードによる認証のあと、さらに秘密の質問に答えるなど、二段階でログイン認証を行う方法です。
また、IDとパスワードによる認証に、スマホに送られるワンタイムパスワードの認証や顔認証をプラスする二要素認証も効果的な方法として活用されています。

パスワード管理ツールの導入

パスワード管理の専用ツールも、パスワード管理対策として有効です。
パスワード管理ツールでは、SSOや二段階認証・二要素認証が利用可能なものも多く、パスワードの自動作成や安全性チェックなどパスワード管理に役立つ機能も豊富。あらゆるデバイスから活用でき、パスワード管理のセキュリティを向上させることが可能です。

まとめ

情報の漏洩や悪用を防止するためには、安全なパスワードを厳重に管理することが大切です。
とはいえ、ご紹介したように、個人でのパスワード管理には問題が生じやすいもの。実際、企業におけるパスワード管理も、完璧には行われていません。
パスワードの管理を強固で確実なものにするには、パスワード管理をしてくれるシステムの構築が効果的です。二段階認証やSSOなどの対策は、積極的に取り入れていくべきでしょう。

また、パスワード管理をより安全なものにするには、社員ひとりひとりのパスワード管理に対する意識を向上させることも必要です。
企業には、社員に対する、パスワード管理をはじめとしたセキュリティ教育の実施が求められます。