“いい加減なパスワード管理”を防ぎ、不正アクセスのリスクを抑える基本の方法：パスワードのセキュリティを高める7つの基本【後編】

パスワードレス認証が台頭しても、企業でパスワードの使用を完全になくすことはできない。適切なパスワード管理を実現するには、どのような対策を取る必要があるのか説明する。

[Sharon Shea, Diana Kelley，TechTarget] PC用表示関連情報

LINE

Hatena

5．パスワード変更の頻度を見直す

併せて読みたいお薦め記事

連載：パスワードのセキュリティを高める7つの基本

前編：「パスフレーズ」「パスワードマネジャー」はどう使う？　パスワード管理の基本

パスワードレス認証について詳しく

　パスワードを90日ごとに変更する運用方法は、場合によっては有用だ。例えばパスワード認証にシングルサインオン（SSO）と多要素認証（MFA）を組み合わせる場合、変更の頻度は90日が適切になることがある。パスワードレス認証を採用している企業は、年に一度のパスワードまたはパスフレーズの変更で十分だと判断できる可能性がある。機密データを扱うアプリケーションでは、30日または15日が適切な頻度になる場合がある。

　最も重要なことは、企業にとって最適なパスワード変更サイクルを決定するために、事業部門と協力することだ。エンドユーザーのパスワードが侵害された可能性がある場合は、変更サイクルに関係なく、全てのエンドユーザーに対して即座にパスワードの変更を要求すべきだ。

6．MFAを採用する

　IT管理者は業務アプリケーションに対し、MFAを適用すべきだ。攻撃者がエンドユーザーのIDやパスワードを窃取しても、企業がMFAを要求すれば、攻撃者は即座にアカウントにアクセスすることはできない。

　モバイルデバイスでワンタイムパスワード（OTP）を受け取り、パスワードマネジャーからOTPを自動入力するという工程でMFAを実施すれば、エンドユーザーは簡単に利用できる。銀行や医療システムなどのオンラインサービス、MicrosoftやGoogleなどのクラウドベンダーは、個人およびビジネスユーザー向けに無料でMFA機能を提供している。

7．従業員のセキュリティ意識を高める

　企業のセキュリティ意識向上トレーニングは、パスワード管理の改善に役立つ。以下のパスワード保護のベストプラクティスを、従業員トレーニングに含めることが重要だ。

未保護のネットワークには接続しない
- 公共の無線LANなど、未保護のネットワークは一見便利だが、攻撃者がユーザーの資格情報を盗むために利用する可能性がある。
安全なWebサイトのみを訪問する
- 訪問する前にURLの正当性を常に確認する。攻撃者は実在するWebサイトを模倣した、偽のWebサイトを作成することがある。URLのスペルミスや不審な単語、見慣れない文字に注意する。
フィッシング攻撃を見抜く
- 攻撃者はフィッシングやソーシャルエンジニアリング（人の心理を巧みに操って意図通りの行動をさせる詐欺）といった手法を利用して、エンドユーザーをだましてパスワードを共有させようとする。
企業のパスワード回復手順に従う
- ユーザーがパスワードを忘れた場合、企業が定めたパスワード回復ポリシーに従うよう指示する。
企業のアカウントロックアウトポリシーを理解する
- 企業は不正アクセスを防ぐために、アカウントロックアウトポリシー（複数回のログイン失敗が続いたアカウントを一時的にロックする仕組み）を使用する。
問題が起こったらIT部門に連絡する
- エンドユーザーは、自分の資格情報が侵害された疑いが生じた場合、上司とIT部門にすぐ通知するようにする。

パスワードレス認証とパスワードの関係

　認証にパスワードを使わず、生体情報やデバイス情報などを利用するパスワードレス認証は、ユーザー体験の改善やセキュリティの向上が見込める。顔認証や指紋認証といった生体認証、位置情報、デバイス固有の情報などの代替認証要素を使用することで、エンドユーザーの1日当たりのパスワード入力回数を減らすことが期待できる。

　しかしパスワードは依然としてIDとアクセス管理の重要な要素であり、すぐに消えることはない。それはパスワードレスという言葉が思っているほど単純ではないからだ。パスワードレス認証でも、パスワードをはじめとした認証情報を管理する必要が生じる。パスワードレス認証が失敗した場合、パスワードやパスフレーズがバックアップとして利用可能なためだ。こうした理由から、パスワードレス認証が台頭しても、引き続きパスワードのセキュリティ対策は重要だ。