IT管理者お助けマニュアル

【アカウント管理】

3.1 ID/パスワードの管理方法を見直そう

近年はインターネットサービスの多様化により個人が所有するアカウントが増えたことで、各アカウントを脅かすセキュリティリスクが高まっています。

一歩間違えれば、大切なデータを盗まれたり、電子決済を不正に利用されたりしかねません。

そこで会社や自分の資産を守るうえで非常に重要なのが、「認証」の強度です。

「認証」とは、アクセスの際に自分が確かに本人であることの証明によって認めることをいいます。具体例としては、パスワード認証が代表的です。

そして、認証の強度を強め、セキュリティリスクを小さくするには、強力なパスワードを設定する必要があります。パスワードを強力にするには、以下のような考え方があります。

  • パスワードの長さを増やす
  • 英字大文字・小文字・数字・記号のすべてを組み合わせる
  • 覚えやすい言葉や、推測されやすい文言は避ける
  • 自身や家族の名前など、ユーザーに関連した言葉を含めない
  • 強力なパスワードを一度設定したら変更しない(現在推奨されている)

強力なログイン用パスワードとして推奨されている具体値は、「英字大文字・小文字・数字・記号で10桁以上」*1です。

その理由としては、以下のような数値をもとに説明できます。

  • 数字のみ10桁…10^10=約100億通り
  • 英字大文字・小文字・数字・記号(26個とする)…約2785京97兆6009億通り

つまり、数字のみ10桁でも無数のパスワード設定は可能ですが、それに英字大文字と小文字、記号を追加すればさらに膨大な数となります。

これほど組み合わせが無数にあれば、機械入力でさえパスワードを特定することは事実上不可能です。

*1

インターネットの安全・安心ハンドブック[みんなでしっかりサイバーセキュリティ]. 内閣サイバーセキュリティセンター(NISC)
関連ページ https://www.nisc.go.jp/security-site/handbook/index.html

・より認証強度を高めるには

ここまで、セキュリティリスクを小さくするためのパスワード管理方法について述べてきましたが、認証には、ID/パスワードなどの「知識要素」を含む「認証の3要素」があります。

認証の3要素とは、以下の3つです。

知識要素(What you know) 所有要素(What you have) 生体要素(Who you are)
  • その人しか知らない情報です。
    具体的には、ID/パスワード、PINコード、パターン、秘密の質問などが挙げられます。
  • その人しか持っていないものに関する情報です。
    銀行口座であればキャッシュカード、モバイル端末ではSMS認証・ICカードなどです。
  • その人にしかない身体的特徴を用いた情報です。
    バイオメトリクスともいいます。
    指紋、虹彩、声紋、静脈のほか、筆跡も生体要素に入ります。

多要素認証

上記の知識要素・所有要素・生体要素の3つのうちから、いずれか2つ以上の要素を使った認証を指します。 もし万が一ID/パスワードを知られたとしても、所有要素や生体要素での認証が要求されるため、 容易にはアクセスが許可されません。このような理由から、不正ログイン防止策として多要素認証は期待され、導入が進んでいます。

二要素認証

上記の3つのうちから、2つの要素を使った認証のことです。つまり、多要素認証の一部といえます。

二段階認証

ID/パスワードにPINコードを加えた認証を二段階認証といいます。

こちらは、知識要素を2つ組み合わせた認証(使用している認証要素が1つのみの認証)であることから、二要素認証とは異なります。