パスワードを「定期的に変える」「複雑にする」はもう常識じゃない?パスワード管理ツールは使うべき?【後編】

パスワード管理ツールを使うことで効率的なパスワード管理が可能になるが、使うべきだとは一概には言えない。そのリスクと、安全なパスワード運用を実現するためのガイドラインを押さえておこう。

2025年01月28日 08時00分 公開
[Matthew SmithTechTarget]

関連キーワード

暗号化 | パスワード | セキュリティ


 パスワードマネジャー(パスワード管理ツール)を使うことで複数のパスワードを1つのツールにまとめることができるので、業務アプリケーションへのアクセスが楽になる。ただしパスワードマネジャーに脆弱(ぜいじゃく)な部分があることには注意が必要だ。実際、パスワードマネジャーを悪用した攻撃は発生している。組織は利便性とリスクをてんびんにかけ、本当にパスワードマネジャーを使うべきなのかどうかを検討しなければならない。

 パスワードマネジャーを使うかどうかを判断するためのヒントと、パスワードを安全に運用するためのガイドラインを押さえておこう。

「定期的に変える」「複雑にする」はもうパスワードの非常識?

 組織がパスワードマネジャーを導入する場合は、悪用された場合のビジネスへの影響を考えなければならない。セキュリティ専門家はパスワードマネジャーについて、「おおむね安全だが、侵入リスクはゼロではない」とみている。昨今は高度な暗号化や多要素認証(MFA)、行動分析などの機能を備えたパスワードマネジャーもある。組織は各ベンダーの製品を比較し、自社に最適なものを慎重に選ぶようにしよう。

 パスワードマネジャーを導入しないと決めた企業は、パスワードに関するユーザーの負荷を軽減するために、米国立標準技術研究所(NIST)のデジタルアイデンティティ用ガイドライン「Special Publication 800-63B-4」を利用するとよいだろう。このガイドラインは、以下を推奨している。

  • 特殊記号や数字、大文字を併用した複雑なパスワードを使わないこと
  • パスワードを定期的には変更せず、流出した場合にのみリセットすること

 強力なパスワード設定を巡っては近年、複雑さより長さを重視する傾向がある。つまり、「短くて複雑なパスワード」ではなく、「長くて単純なパスワード」の方が安全だということだ。人間は、長くても単純であれば言葉を覚えやすいといわれる。組織は単純なパスワード設定の方針を採用すれば、パスワードマネジャーを使わなくても安全で効率のよいパスワード管理ができるだろう。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news186.jpg

YouTubeやTikTokの利用時間、20代以下ではテレビを圧倒 どれだけ差がついた?
YouTubeやTikTokでのコンテンツ視聴は購買行動に関係しているのか。PRIZMAが10代から30代...

news057.jpg

会員数820万 ブックオフがモバイルアプリ開発で大事にしていること
モバイルアプリを活用して市場で成功するためには良質なUI/UXが不可欠だ。ブックオフのU...

news127.png

最短で当日中にオンラインインタビューが可能 LINEリサーチが「Quickインタビュー」を提供開始
LINEヤフーは、セルフ型リサーチツール「Quickインタビュー」の提供を開始した。