　パスワードに関する考え方は変化している。従来は「}m}{4p#P@R9w」のように大文字や小文字、記号を使った複雑なパスワードを作ることが推奨されたこともあった。しかし従業員がそのパスワードを付せんに書き留めたり、PCの安全ではないファイルに保存したりして、かえって情報漏えいにつながる恐れがある。

　米国立標準技術研究所（NIST）によると、パスワードの強度を高めるには、複雑さではなく長さが重要だ。「_kittEnsarEadorablE_」といったパスフレーズ（複数の単語やフレーズをつなげた認証情報）は、覚えやすく推測されにくい。辞書に載っている単語をパスワードの推測に利用する「辞書攻撃」から身を守る際にも有効とされる。

　デジタルマーケティング企業Centerfield Media Company傘下でセキュリティに関する情報を提供するSecurity.orgは、エンドユーザーがパスワードの強度を確認できるツールを提供している。筆者がこのツールを試したところ、「_kittEnsarEadorablE_」は解読に2兆年かかると表示された。

　従業員が適切なパスワードを作成できるように、パスワードに関する企業ポリシーを策定することも一考だ。

3．パスワードの使い回しを禁止する

　パスワードの使い回しはセキュリティ上のリスクだ。攻撃者があるアカウントの認証情報を入手すると、その認証情報を使用している他のアカウントにも容易にアクセスできる。特に、業務用のアカウントと私用のアカウントで同じ認証情報を使用することは危険だ。

　従業員には、強力でユニークなパスワードをアカウントごとに使い分けるように促す。幾つもの認証情報を利用する従業員は、シングルサインオン（SSO）やパスワードマネジャーを使えば負担を軽減できる。

4．パスワードの定期的な変更を再検討する

　パスワードは90日ごとに変更するのが標準とされていた。しかし、この方法では従業員がストレスを感じ、安全性の低いパスワードに書き換える恐れがある。「Password1」を90日後に「Password2」にするといった具合だ。

　NISTは、不正アクセスやデータ漏えいの疑いがある場合を除き、従業員に定期的なパスワードの変更を強制しないよう推奨している。ただし、クレジットカード情報を保護するためのセキュリティ基準「PCI DSS」といった特定の規制を順守する場合、パスワードの頻繁な変更が必要だ。

5．多要素認証（MFA）を使う

　従業員の本人確認に複数の方法を組み合わせるのがMFAだ。例えば、ユーザー名とパスワードに加えて、ワンタイムパスワードや指紋などの生体認証を併用する。認証プロセスに第二、第三の要素を追加することで、ブルートフォース（総当たり）攻撃やパスワードクラッキング（パスワードを探り当てること）の被害を防ぐことが可能だ。

　次回も引き続き、メールセキュリティを向上させるための取り組みを紹介する。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

TechTargetジャパントップセキュリティ