KDL BLOG
KDLでは現在、社内への啓もうやノウハウの共有など、様々な観点からテーマを決め社内勉強会を開催しています。先日興味深い勉強会が開催され、社内の約半数が出席(オンラインですが)しましたので、内容をご紹介します。今回の登壇者はKDLで経営戦略本部兼KDL-SIRTのダニエル・バローズさんです。
早速ですが、皆様はパスワードってどう管理されていますか?
いい点と悪い点を理解する
パスワードにはいいところと悪いところがありますが、今回の勉強会では悪いところを中心にお話しいただきました。パスワードセキュリティは難しくてややこしすぎる印象をお持ちの方も多いと思いますが、「複雑さはセキュリティの要」が大前提です。
パスワードは何のため?
ATMを利用する場合、キャッシュカードと暗証番号が必要になりますよね。キャッシュカードの役割は「誰であるか」を証明するものです。そして、暗証番号は基本的にはパスワードと同じ役割で、パスワードはその人が本人であるかを証明するものだと思って下さい。
パスワードの種類はさまざま
企業で働かれてる皆様には当たり前のことかもしれませんが、業務連携アカウントだけでも社員個人関連のアカウントやチーム・会社関連のアカウント、顧客関連のアカウントなどがあります。秘密鍵であるSSHの認証キーやSSL証明書を発行するパスワード、PGP、WiFi(オフィスだけではなく、スマートフォンのテザリング)なども含まれます。
パスワードってどこにあるの?
ここがパスワードの怖いところでもあります。
会社のリソースであれば、各アカウントのパスワード、モバイルデバイス、パスワードマネジャー、認証鍵、暗号鍵などパスワードを設定する場所がたくさんあると会社にとってセキュリティ課題になってしまいますよね。どんな企業でもこのようなセキュリティ課題に取り組んでおられます。悲しいことですが、今はそういう時代だと認識し注意しましょう。
会社だけではない
テレワークしている社員が増加している現代ですが、(KDLの場合は、一日につき約3分の2の社員がテレワークしています)ホームルーターの管理画面や無線LANのパスワード、IoTデバイス、他のPCやタブレットについては気にしておられますか?重要なのは会社のことだけではありません、個人の問題でもありますのでこれを機に一層気を付けていただければと思います。
どうして複雑なパスワードを使わないといけないのか?
攻撃者はよく使われているパスワードから試します。(KDLの場合【KDLKDL】や電話番号など)
また、攻撃者はほかのシステムから流出されたパスワードを試していく傾向が強く、パスワードの使いまわしをしているとほかのシステムから流出した情報から攻撃されることがあるのです。
思考をガラッと変えて、システムにはパスワードデータを流出するセキュリティの脆弱性がある可能性があることを前提に強い(複雑な)パスワードを設定していただければと思います。攻撃に気づいた時には手遅れになっているかもしれません。
【強い】パスワードとは?
短時間で有効なものほど攻撃者は悪用しづらく、より強いパスワードになります。
- パスワードを頻繁に変更する
- パスワードを憶測できるまでに時間をかけさせる
①はとても大変です。毎日パスワードを変えられる人なんてなかなかいないので、②の場合を考え方で工夫します。憶測できるまでに時間がかかることが前提です。その場合以下4つについて考えてみましょう。
- ユニークでほかのシステムでは使いまわされていない
- 長い(文字数が多い)
- 複雑(文字種が多い)
- ランダム
【弱いパスワード】を設定する理由は何か?
それは、使い手に取って作りやすく、覚えやすく、キーボードで入力しやすいものではないでしょうか?
人間は難しいことをやりたくない生き物だと思いますが工夫すれば道はあるのです。強いパスワードを使うためには、以下の3つを避けることが重要です。
パスワードは【作らない】【覚えない】【キーボードで入力しない】。
これを実現できれば日常的に強いパスワードを使い続けられるのではないでしょうか?
覚えるものと、覚えないもの
パスワードは必ずしも覚えてかなくてはいけないものではありません。ですので、覚えておくべきものとそうでないものに分類し、自分のやりやすいように変えていけばいいのです。
【覚えるパスワード】
→毎日数回入力するもの
- ADアカウント
- パスワードマネジャー本体
→パスワードではなくパスフレーズを使おう
【覚えない】
→上記以外すべて
→パスワードマネジャーで生成・保管・入力しよう
覚えるパスワードはパスフレーズで
自分の好きな言葉や偉人の名言などを自分なりに文章で作成し、長く推測しにくいパスフレーズを作成します。例えばその頭文字をとる、2文字目を取るなどでパスワードにします。これで本人には覚えやすく、他人から推測されにくいパスワードの完成です!
例)I have a pen + pineapple = penpineapple !
という文章をパスフレーズで覚えた場合、頭文字をとってパスワードを「Ihap+p=p!」となるという具合です。
覚えないパスワードはパスワードマネジャーで管理しよう
パスワードマネジャーをご利用されている方はもう実感されていると思いますが、自分ですら今どんなパスワードが設定されているのか分かりません。とてもセキュアで簡単ですので、ぜひ取り入れてみてください。パスワードの作り方ですが、以下の3ステップです。
- パスワードマネジャーで自動的に生成(ユニーク・長い・複雑・ランダム)
- パスワードマネジャーで保管
- パスワードマネジャーで入力
強いパスワードは100%安全か?
強いパスワードやパスフレーズを設定しても、攻撃者がパスワードを得ることができれば悪用できてしまいます。そしてパスワードの使いまわしでリスクは拡大されてしまい、攻撃者は別システムにもログインできてしまうという悪循環が生まれます。
さらに強化
「多要素認証(MFA/2FA)」を使いましょう!多要素認証を使うことで、攻撃者がパスワードを得たとしても、なりすましでログインするのは格段に難しくなります。(ただ、ログインできないとは言い切れません)
ですので、定期的にパスワードを変更しましょう。できれば攻撃者が憶測できるよりも早いタイミングで変更出来れば万々歳といったところですが、そのタイミングを計ることは難しいので、最低でも「パスワードを変える時期」というのを設定しておき(その企業によって1カ月、3か月など基準が決まっていることが多いです)その時期が来たら速やかに対応してください。
パスワード保管のリスク
攻撃者は既にパスワードを保管する場所にアクセスができる、というのが正しい考え方です
→攻撃者はシステムに侵入しパスワードを収集している
→マルウエアはシステムに感染し、パスワードを収集します
※テキストやWord、Excelファイル、Webブラウザなどには保存しないで!!
→想定外の人がアクセスでき、パスワードを見つけられる可能性があります
→パスワードがコピーされても、誰も気づかない問題も存在するのです
安全な保管はパスワードマネジャーで
・パスワードデータを暗号化して保管されている
(ですが、それ自身が宝箱になってしまうので守りましょう)
・強いパスフレーズを設定しましょう
・多要素認証を設定
・パスワードデータやキーファイルなどを定期的にバックアップしましょう
(突然アクセスできなくなることを想定しましょう)
まとめ
パスワードは保護するためのものなのですごく大事です。ただ危険性もあるので気をつけましょう。強いパスワードに加えて、多要素認証・二要素認証を活用は大いに効果が期待できます。ぜひ活用しましょう。
またパスワードが必要なら強いものを設定しましょう。
オススメなのはパスワードマネジャーで生成して保管するやり方ですが、覚える必要があればパスワードだけでなくパスフレーズを設定しましょう。使いまわしは絶対にNGですよ!
「面倒臭い」と思われるかもしれませんが、これを実践することでセキュリティへの意識がぐっと高くなるはずです。セキュアなパスワード設定、ぜひ始めませんか?
【関連記事】