パスワードを「定期的に変える」「複雑にする」はもう常識じゃない？：パスワード管理ツールは使うべき？【後編】

パスワード管理ツールを使うことで効率的なパスワード管理が可能になるが、使うべきだとは一概には言えない。そのリスクと、安全なパスワード運用を実現するためのガイドラインを押さえておこう。

[Matthew Smith，TechTarget]

　パスワードマネジャー（パスワード管理ツール）を使うことで複数のパスワードを1つのツールにまとめることができるので、業務アプリケーションへのアクセスが楽になる。ただしパスワードマネジャーに脆弱（ぜいじゃく）な部分があることには注意が必要だ。実際、パスワードマネジャーを悪用した攻撃は発生している。組織は利便性とリスクをてんびんにかけ、本当にパスワードマネジャーを使うべきなのかどうかを検討しなければならない。

　パスワードマネジャーを使うかどうかを判断するためのヒントと、パスワードを安全に運用するためのガイドラインを押さえておこう。

「定期的に変える」「複雑にする」はもうパスワードの非常識？

併せて読みたいお薦め記事

連載：パスワード管理ツールは使うべき？

• 前編：パスワードを1つだけ覚えればいい「パスワードマネジャー」は安全じゃない？

パスワード管理の重要性と注意点

• デフォルトパスワードはなぜ変えないといけないのか　パスワード管理が重要な訳
• 8割の攻撃の起点はパスワード流出　「覚えやすい」はなぜいけないのか

　組織がパスワードマネジャーを導入する場合は、悪用された場合のビジネスへの影響を考えなければならない。セキュリティ専門家はパスワードマネジャーについて、「おおむね安全だが、侵入リスクはゼロではない」とみている。昨今は高度な暗号化や多要素認証（MFA）、行動分析などの機能を備えたパスワードマネジャーもある。組織は各ベンダーの製品を比較し、自社に最適なものを慎重に選ぶようにしよう。

　パスワードマネジャーを導入しないと決めた企業は、パスワードに関するユーザーの負荷を軽減するために、米国立標準技術研究所（NIST）のデジタルアイデンティティ用ガイドライン「Special Publication 800-63B-4」を利用するとよいだろう。このガイドラインは、以下を推奨している。

• 特殊記号や数字、大文字を併用した複雑なパスワードを使わないこと
• パスワードを定期的には変更せず、流出した場合にのみリセットすること

　強力なパスワード設定を巡っては近年、複雑さより長さを重視する傾向がある。つまり、「短くて複雑なパスワード」ではなく、「長くて単純なパスワード」の方が安全だということだ。人間は、長くても単純であれば言葉を覚えやすいといわれる。組織は単純なパスワード設定の方針を採用すれば、パスワードマネジャーを使わなくても安全で効率のよいパスワード管理ができるだろう。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。