パスワードに“複雑さ”は不要だった？ メールセキュリティの基本的な対策5選：メールをセキュリティの弱点にしない【前編】

安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。

[Sharon Shea, Peter Loshin，TechTarget]

　「強力なパスワードを使う」「スパムメールを受信したら送信元をブロックする」といった基本的な対策を徹底しても、メールがセキュリティの弱点となっている状況はどの組織でも変わらない。それはなぜか。本稿はメールセキュリティを強化するための対策を5個紹介する。

メールセキュリティ強化のために“まずやるべきこと”5選

併せて読みたいお薦め記事

セキュリティによくある誤解

• 「うちは攻撃されない」の誤解こそが“被害案件の元凶”だった？
• 「マルウェア対策ソフトがあるから安全」の過信が招く“思わぬ事故”とは

1．従業員教育を遂行する

　定期的に、従業員のセキュリティ意識を高めるための研修を実施する。企業のセキュリティポリシーや、組織を安全に保つための従業員の役割、サイバー攻撃で想定される脅威や被害、被害に遭った場合に取るべき行動について、従業員が学べるようにする。

2．強力なパスワードを作成する

　パスワードに関する考え方は変化している。従来は「}m}{4p#P@R9w」のように大文字や小文字、記号を使った複雑なパスワードを作ることが推奨されたこともあった。しかし従業員がそのパスワードを付せんに書き留めたり、PCの安全ではないファイルに保存したりして、かえって情報漏えいにつながる恐れがある。

　米国立標準技術研究所（NIST）によると、パスワードの強度を高めるには、複雑さではなく長さが重要だ。「_kittEnsarEadorablE_」といったパスフレーズ（複数の単語やフレーズをつなげた認証情報）は、覚えやすく推測されにくい。辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」から身を守る際にも有効とされる。

　デジタルマーケティング企業Centerfield Media Company傘下でセキュリティに関する情報を提供するSecurity.orgは、エンドユーザーがパスワードの強度を確認できるツールを提供している。筆者がこのツールを試したところ、「_kittEnsarEadorablE_」は解読に2兆年かかると表示された。

　従業員が適切なパスワードを作成できるように、パスワードに関する企業ポリシーを策定することも一考だ。

3．パスワードの使い回しを禁止する

　パスワードの使い回しはセキュリティ上のリスクだ。攻撃者があるアカウントの認証情報を入手すると、その認証情報を使用している他のアカウントにも容易にアクセスできる。特に、業務用のアカウントと私用のアカウントで同じ認証情報を使用することは危険だ。

　従業員には、強力でユニークなパスワードをアカウントごとに使い分けるように促す。幾つもの認証情報を利用する従業員は、シングルサインオン（SSO）やパスワードマネジャーを使えば負担を軽減できる。

4．パスワードの定期的な変更を再検討する

　パスワードは90日ごとに変更するのが標準とされていた。しかし、この方法では従業員がストレスを感じ、安全性の低いパスワードに書き換える恐れがある。「Password1」を90日後に「Password2」にするといった具合だ。

　NISTは、不正アクセスやデータ漏えいの疑いがある場合を除き、従業員に定期的なパスワードの変更を強制しないよう推奨している。ただし、クレジットカード情報を保護するためのセキュリティ基準「PCI DSS」といった特定の規制を順守する場合、パスワードの頻繁な変更が必要だ。

5．多要素認証（MFA）を使う

　従業員の本人確認に複数の方法を組み合わせるのがMFAだ。例えば、ユーザー名とパスワードに加えて、ワンタイムパスワードや指紋などの生体認証を併用する。認証プロセスに第二、第三の要素を追加することで、ブルートフォース（総当たり）攻撃やパスワードクラッキング（パスワードを探り当てること）の被害を防ぐことが可能だ。

---

　次回も引き続き、メールセキュリティを向上させるための取り組みを紹介する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。