エンドユーザー任せのパスワード管理は超危険……!? 安全性と利便性の両立を叶えるパスワード管理の最前線

DX推進を背景にIDとパスワードが増え続けるなかで、“覚えやすいパスワード”を設定している人は多いのではないだろうか。しかし、そのパスワードはすでに流出しているかもしれない。攻撃者が企業の情報を盗み出そうとしたときに、まずパスワードを盗み出して従業員になりすまし、認証を突破することが最も簡単な方法だ。サイバーセキュリティの重要性については誰しもが認めるようになった一方、最も基本的な「パスワード管理」に対しては、旧態依然な対策のままだが、パスワード管理の在り方は変わるべきなのかもしれない。本記事では、Keeper Security APACの統括本部長 黒田和国氏と、セールスエンジニアリングマネージャ 髙橋徹氏による解説を通じて、パスワード管理の最前線をご紹介する。

• （左）Keeper Security APAC株式会社　アジアパシフィック地域営業統括本部　統括本部長　黒田和国氏
  （右）Keeper Security APAC株式会社　アジアパシフィック地域営業統括本部　セールスエンジニアリングマネージャ　髙橋徹氏

課題の多いパスワード管理の現状

あなたは勤務中に何回、IDとパスワードを入力しているだろうか? 「1日に数十回もIDとパスワードを入力している」という人も多いかもしれない。

昨今はDX推進も相まって、あらゆる企業・団体でビジネスチャットやWeb会議システム、グループウェア、CRM、会計ソフト、ERPなど多くのSaaSサービスを利用する機会が増え、各人が膨大な数のIDとパスワードを保有せざるを得ない状況になっている。すべてのID・パスワードを暗記している人はまれで、Excelや紙などで管理している人も多いだろう。複数回に渡るシステムへのログイン作業や、各システム用にいくつものパスワードを生成して管理するという行為自体がエンドユーザーである従業員にとって負担になっていることは間違いない。

それゆえ、セキュリティよりも利便性を重視して、パスワードを使いまわしたり“覚えやすいパスワード”を設定するといったことも起こりうる。そうなると、各人が設定しているパスワードは果たして安全なのか? という疑惑も生まれる。パスワード管理ソリューションを提供するKeeper Security APAC株式会社のアジアパシフィック地域営業統括本部 統括本部長 黒田和国氏はパスワード管理の利便性と安全性のバランスについて、次のように説明する。

「驚くことに、世界で2,300万人が『123456』という単純なパスワードを使っています。パスワードとは、本来は情報を守るためのものですが、『システムを使うために必要なもの』と捉えて利便性を優先してしまっている人も多いのではないでしょうか。あるいは反対に、パスワードの紙が社長室の金庫に保管されていて、利用する場合は決裁が必要というケースもあります。セキュリティは強固かもしれませんが、効率性は非常に悪いですよね」（黒田氏）

• Keeper Security APAC株式会社　アジアパシフィック地域営業統括本部 統括本部長 黒田和国氏

あなたのパスワードは流出していないか？

大手通信会社のVerizonは、2022年の「Data Breach Investigations Report」にて、データ侵害の82％が「人的要因」だと報告している。つまり、脆弱なパスワードの利用や認証資格情報の盗難は、被害を引き起こす大きな要因ともいえるのだ。企業がどんなにセキュリティ対策を講じていても、結局パスワードの管理はエンドユーザーである従業員任せになっているのが現状であり、それが大きな脆弱性であるといっても過言ではない。

推測されやすいパスワードの使用で業務用のシステムが乗っ取られてしまうセキュリティインシデントは日本でも急増しており、営利企業だけでなく、病院や学校、自治体などもその被害を受けている。警察庁が公開した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によれば、被害件数はこの1年で60％以上増加し、うち半数は中小企業である。そして、サイバー攻撃被害に遭った中小企業の50％が、半年以内に倒産すると言われている。黒田氏は次のように警鐘を鳴らす。

「近年のサイバー攻撃の傾向として、企業の機密情報を狙ったものだけではなく、“ランサムウェア”と呼ばれる身代金要求を目的とする攻撃も非常に多くなってきています。 『自社が重要な情報を保持していないから大丈夫』はという考えは通用せず、どんな企業であっても攻撃対象となりえるのです」（黒田氏）

ではパスワードはどのようにして流出するのだろうか? 攻撃者は、オフィスを直接訪れ肩越しに盗み見るなどの物理的な手法をとることもあれば、ダークウェブ上のデータベースを買い取るなどしてパスワードを入手する。多くの単純で推測されやすいパスワードはすでにダークウェブ上に流出しているのだ。

「たとえば『1qaz2wsx』は日本で4番目に利用されているパスワードで、すでに流出しています。一見すると強固なものに感じますが、キーボードの配列を見れば、実は単純な並びであることがわかります。流出しているパスワードを使っていると、不正アクセスの成功率が格段に高くなるのは言うまでもありません」（黒田氏）

「安全性」と「利便性」の両立を叶えるパスワード管理とは?

とはいえ、従業員に「複雑なパスワードを設定してください」と言っても、先述の通り実態は利便性を優先したパスワード管理になっているか、パスワードを覚えきれずログインできなくなってしまい、情報システム部門に問い合わせが殺到する……といった事態にも陥りかねない。

「二段階認証」などの多要素認証が取り入れるケースも多いが、二段階認証で利用するコードは4～8桁程度の数字が多い。パスワードがすでに流出している場合、この短いコードだけで守り切れる保証はなく、従業員からしてみれば利便性が落ちる一方だ。もちろん、多要素認証はセキュリティを強化するために取り入れていくべきだが、パスワードそのものを守る術ではない。

また、セキュリティ強化策として、定期的なパスワード変更を実施している企業も少なくはないだろう。しかし、実は2017年に米国国立標準技術研究所（NIST）がガイドラインとして「パスワードを定期変更する必要はない」と示している。定期変更によってパスワードを使い回したり、覚えやすいものにして、すでに流出しているパスワードを設定してしまうリスクの方が高いことが明らかになったからだ。

「すでに流出しているパスワードを使っているのであれば、すぐに変えるべきですが、自分のパスワードが流出しているかどうかがわかる人はいないでしょう。当社が提供するモニタリングツールを使えば、パスワードがダークウェブ上に公開されていないか、リアルタイムで調査することができます。とある会社では、セキュリティ担当の方が流出しているパスワードを使っていたことが判明したこともありました」（黒田氏）

安全性と利便性を両立させたパスワード管理を実現するには、“従業員任せのパスワード管理”から脱却するほかない。そこで注目したいのが、Keeper Security APACが提供する企業向けパスワードマネージャー「Keeper Password Manager」だ。

• Keeper Password Managerでは、ダークウェブへのパスワード漏洩のチェックや脆弱診断ができる。

パスワード管理の最適解「Keeper Password Manager」

Keeper Password Managerは、強力で複雑なパスワードを自動生成し、生成したパスワードを暗号化して安全に保管、さらにシステムにログインする際は自動入力してくれる。従業員が管理するのは、Keeper Password Managerを使用する際に必要なマスターパスワードの1つだけだ。アジアパシフィック地域営業統括本部 セールスエンジニアリングマネージャ 髙橋徹氏は次のように説明する。

「Keeper Password Managerは、『ゼロ知識』の仕組みでパスワード等の認証情報を保管しています。本人がアクセスしていないときはデータがすべて暗号化されるといった、多層・複層暗号化の仕組みが施されているのです」（髙橋氏）

• Keeper Security APAC株式会社　アジアパシフィック地域営業統括本部　セールスエンジニアリングマネージャ 髙橋徹氏

ブラウザなどで機能する個人向けのパスワードマネージャーは普及が広がりつつあるが、これらはあくまで個人のパスワード管理を簡便化するものであり、企業のセキュリティ管理として充分とは言い難い。Keeper Password Managerであれば、米国政府機関に提供可能な高度なセキュリティ水準「FedRAMP」をはじめ、様々な法令・認証に準拠しているため企業のパスワード管理には最適といえる。

また、認証を行うのは人間とは限らない。たとえばマシンが自動的に何らかのファイルを読み取る場合や、SaaSのシステムにアクセスする場合、APIキーやセキュリティトークンを使って認証している。まさに人間がパスワードを使って認証する仕組みと一緒だが、そのAPIキーやセキュリティトークンがどのように管理されているかというと、SaaSシステム内やPC内など、もしかしたらパスワードの課題と同様に、「家の鍵を玄関前に置いている」ような状態かもしれない。

セキュリティ向上には、IDとパスワード、APIキーやセキュリティトークンなど、認証に用いられる「クレデンシャル情報」の統合的な衛生管理が欠かせない。Keeper Security APACは豊富な製品ラインナップを取り揃えており、企業のクレデンシャル情報管理を網羅的にバックアップする構えだ。

人まかせのパスワード管理から、いますぐ脱却を!

今後もデジタル化が進み、システムやサービスが増え続けるなかで、ID・パスワードをはじめとしたクレデンシャル情報も増加の一途を辿るだろう。また、人間が管理するパスワードは“覚えやすい”という大きな脆弱性を抱えている。クレデンシャル情報は、もはや人間の手で管理すること自体が限界で、パスワード管理の在り方を変えていかなければいけない。最後に髙橋氏は、自社のパスワード管理をあらためて見直してほしいとメッセージを送った。

「テレワークの普及やサイバー攻撃の高度化を背景に、多くのセキュリティソリューションが世に出ています。しかしどんなにセキュリティ対策を講じていても、認証を突破されてしまえば情報は盗み取られてしまいます。今こそ、パスワード管理を見直して堅牢なセキュリティを築いていってほしいですね」（髙橋氏）

[PR]提供：Keeper Security APAC