「パスフレーズ」「パスワードマネジャー」はどう使う？　パスワード管理の基本：パスワードのセキュリティを高める7つの基本【前編】

企業システムのパスワードを適切に管理するには、IT部門とエンドユーザーである従業員の双方の取り組みが必要だ。パスワードの漏えいを防ぎ、セキュリティを向上させるための基本的な方法を説明する。

≫ 2025年11月06日 12時30分公開

1．複雑な文字列ではなく、長い「パスフレーズ」を使用する

併せて読みたいお薦め記事

パスワードセキュリティを高める

　パスワードには「N#JlwB%"+30~Qjok;4=8)F」といった長くて複雑で覚えにくい文字列が最良とする考えがある。しかし幾つかの単語を組み合わせたパスフレーズの方が、セキュリティが高まる可能性がある。パスフレーズは覚えやすいためエンドユーザーが書き留める可能性が低くなる点や、文字数が多くなることから突破されづらくなるといった点がメリットだ。エンドユーザーには、大文字、小文字、特殊文字を組み合わせてパスフレーズを作成するように推奨するとよい。

　IT管理者は許容できるパスワードのパラメータ（文字列の範囲）を設定し、ID・アクセス管理ツールのブロックリスト機能を使用して、「Password1」や「123456」のような、弱くて推測しやすいパスワードやパスフレーズの使用を防ぐ必要がある。

2．パスワードの再利用を避ける

　パスワードまたはパスフレーズを使用する際、アカウントごとに固有の文字列を使用することが重要だ。お気に入りのパスワードを再利用することは大きなリスクを伴う。2025年にセキュリティベンダーのSpyCloudが発表したID管理とセキュリティ対策に関するレポート「SpyCloud Annual Identity Exposure Report 2025」によると、2024年に情報漏えいを経験したエンドユーザーの70%が、複数のアカウントで流出したパスワードを再使用していた。

3．パスワードマネジャーを使用する

　利用中のソフトウェアやWebサービス全てに異なるパスワードを割り当てると、膨大な数のパスワードを管理しなければならなくなる。VPN（仮想プライベートネットワーク）を提供するNord Securityが、2024年に実施したパスワードの使用状況の調査によれば、企業に勤める従業員は業務アプリケーションのパスワードを平均87個、個人利用のアプリケーションのパスワードを平均168個持っている。完璧な記憶力を持たない限り、複雑なパスワードやパスフレーズを記憶するための手段が必要だ。

　IT管理者はエンドユーザーに対し、パスワードを付箋に書いたり、デスクトップに保存したりしないよう助言する代わりに、企業向けのパスワードマネジャーを提供すべきだ。パスワードマネジャーは、各アプリケーションのパスワードを保存し、必要に応じて新しいパスワードを生成する。ほとんどのパスワードマネジャーは複数デバイス間でパスワードを同期できるため、エンドユーザーが必要なときに重要なパスワードを入力できない事態は防げる。

4．パスワードを共有しない

　同僚や家族、友人とパスワードを共有しないことは言うまでもない。しかしこれは常に繰り返し言う必要がある。セキュリティツールを評価、レビューする組織Password Managerが、2025年に公開した調査レポート「4 in 10 Workers Hack Former Employers’ Passwords for Personal Use」によれば、企業の従業員のうち27％が現在の勤務先のパスワードを社外の人と共有している。

　パスワードの共有は、ログイン情報の盗難やデータ漏えい、コンプライアンス違反、アカウントの不正利用、データ損失のリスクを生む。

　後編は、パスワード変更の頻度やMFAの実装など、残り3つのベストプラクティスを説明する。

TechTargetジャパントップセキュリティ