コラム

 公開日: 2015-01-22  最終更新日: 2015-07-24

脆弱なパスワード

私たちがインターネット上のオンラインサービスを利用する上で、認証情報であるユーザIDとパスワードを個々に登録し、管理しています。ユーザIDはメールアドレスで代替されることも多いため、他者が知り得ない情報はパスワードとなります。もし、不正アクセスを目論むハッカーにパスワードを奪われてしまうと、正規の利用者になりすまされることで、不正な取引や情報漏えい、等の被害を受けることになります。そのため、単純なパスワードを設定しない様、あちこちで注意喚起されているのはご承知だと思います。

ワーストパスワード25

米国でオンラインパスワード管理ソリューションを提供するSplashData社は、2011年以降、フィッシング詐欺等で流出してインターネット上に掲載されたパスワードの情報を分析した結果を公表しています。先日、2014年に流出した330万件のパスワードを集計した結果が公表されました。内容は以下の通りです。
2014ワーストパスワード

第1位の「123456」をはじめ、数字のみで構成されたパスワードが上位25件中9件を占めています。また、第2位の「password」を筆頭に、「baseball」「football」などのスポーツ、「superman」「batman」などのキャラクター、「dragon」「monkey」「shadow」などの名詞、あるいは「qwerty」というキーボード配列のように、単純な内容のパスワードばかりです。
また、調査が始まった2011年から時系列に並べた時の遷移が以下の表になります。
2011-14ワーストパスワード遷移
凡例

上位2つのパスワードは、途中順位の変動がありましたが、変わっておりません。また、その他のパスワードも順位の変動はありますが、ほぼ同じような顔ぶれとなっています。特に2014年度は、過去にランキングされたパスワードの再登場が目立っています。

SplashData社のレポートではその他にも以下のような状況が確認されたと報告されています。
・自分の好きなスポーツをパスワードに含めないようにした方が良い。
 -上位100件には、「hockey」「soccer」「golfer」が含まれる
 -同様に、「yankees」「eagles」「steelers」「rangers」「lakers」も上位100件に存在
・誕生日や誕生年も含めない方が良い
 -上位100件には、「1989」「1990」「1991」「1992」が含まれる(23~26歳)
・上位100件には下品な(swear)言葉やフレーズ、趣味、著名なアスリート、車のブランド、映画名なども多く含まれる

パスワードルールの確認

オンライン上のサービスも多様化し、個人でいくつものサービスを使用していると、同じパスワードの使い回しも行われがちです。この場合はどこか一つのパスワードが破られれば、同じパスワードを使用するすべてのサイトで被害を受ける結果にもなりかねません。
パスワードルールについては幾度となく注意喚起され、また社内教育等でも学習されていると思いますので、一般的と思われるルールについて、確認のために記載します。

・パスワード長:8桁以上
・複雑性:数字、記号、英大文字、英小文字の組合せ
・パスワード変更間隔:3ヵ月を目安
・多様性:特に重要なアカウントについては別々のパスワードを使用
(社内システムについて、上記に追加して以下の設定を行うべき)
・初期パスワード:強制変更
・ロックアウト回数(パスワード誤入力):3~5回の誤入力でアカウント使用不可
・パスワード変更履歴:過去に使用したパスワードの使用不可

システム上、上記内容でのパスワード設定ができない場合もありますが、その場合は適用可能な上限で対応ください。また、煩雑さからシステム上許容される最低限の内容にしてしまいがちですが、できる範囲でより厳しいルールでパスワード設定することを心掛けてください。例えば、パスワード長を1ケタ増やすだけでも、少なくとも
数字10字×英大文字26字×英小文字26字=6760パターン
のパスワードの選択肢が増えることになります。

自己(自社)のパスワード管理ルールの設定

まさかSplashData社が報告したようなパスワードを使用していることは無いとは思いますが、自分の利用するサービスとそこで使用するパスワードについて棚卸を行い、必要に応じてパスワード変更を行うことを検討ください。
これは自分の会社で使用するパスワードについても同様です。様々な企業内システムで単純なパスワードを使い回していると、内部不正者によって悪用される可能性もあります。

生体認証やワンタイムパスワードも狭い範囲でしか使用されていないため、しばらくはパスワード認証が主流となる時代が続くと思います。昨今では様々なパスワード管理ツールもあるので、自分のパスワードをどう管理するか、再検討してみてはいかがでしょうか。

上記内容に関連して、ご相談や質問などがございましたら、お気軽にご連絡ください。
なお、弊社の関連するサービスの紹介はこちらです。併せてご確認ください。

お問い合わせフォームは、こちらです。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

2

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
改元とIT-元号の変更によるITへの影響

先日、皇室会議にて天皇陛下の退位が2019年4月30日、皇太子さまの即位が2019年5月1日と決定されました。これに伴い...

[ リスク管理 ]

情報セキュリティのセルフチェックをしてみませんか。

昨今、情報漏えいやランサムウェア等の情報セキュリティに関する事故、事件が相次いで発生しています。さらに、マ...

[ セキュリティ ]

サイバー空間をめぐる脅威の状況(平成29年上半期)

先日、警察庁より「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公表されました。これに...

[ セキュリティ ]

FAKEニュース(偽ニュース)に惑わされないために

最近はネット上にFAKEニュース、または偽ニュースと呼ばれる、事実とは異なるニュースが氾濫しています。先日も「...

[ リスク管理 ]

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ