投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.4.17
(更新:2024.6.18)
中小企業庁と情報処理推進機構(IPA)が推進する取り組み「できるところから始めて段階的にステップアップ」。その第1ステップである「情報セキュリティ5か条」の第3項は「パスワードを強化しよう!」です。
〇報道記事より
2022年8月27日の日経の記事によれば、
日本の主要企業から漏洩したパスワード約2万5000件の64%が、攻撃者の手にかかれば簡単に解析できてしまう設定だったとのことです。
技術の進展に伴い、パスワードが推測・解析されたり、Webサービスなどから流出したID・パスワード悪用されたりすることで、不正にログインされる被害が増える傾向にあります。
パスワードとして「12345」「password」「qwerty」などを設定すると、攻撃者の手にかかれば瞬時に解析されてしまいます。
以下の3つのポイント(「長く」「複雑に」「使い回さない」)に着目してパスワードを強化しましょう。
〇「長く」:
・パスワードは英数字・記号を含めて10文字以上に。
なるべく長くしましょう。
〇「複雑に」:
・名前、電話番号、生年月日、簡単な英単語(aaaaaa,password,qwerty…)など、推測されやすい文字列はパスワードに使わない。
・大文字・小文字を不規則に混在させる。¥・%・!等記号も混在させて複雑にする。
〇「使い回さない」:
・同じID・パスワードをいろいろなWebサービスに使い回すことは避けましょう。
〇近年のサイバー攻撃の傾向から:
新型コロナ禍以降、テレワーク環境の脆弱性を狙うサイバー攻撃も目立つようになりました。以下のような状況でのパスワード設定にもご注意ください。
・VPNやクラウドサービス等を活用してテレワークを行う際、強固なパスワードを設定し、可能な場合は多段階認証や多要素認証を利用しましょう。
・自宅のルータの管理用パスワードが脆弱(工場出荷時の仮パスワード含む)ではないか確認し、強固なパスワードを設定しましょう。
〇ご紹介:チョコっとプラスパスワード(IPAの情報提供ページ)
*IPAのサイトには上記のような、パスワードを自己点検して、さらに改善するための情報を提供するページもあります。ご参照・ご利用いただければと思います。
〇パスワード解読に時間がかかれば攻撃者が諦める可能性は高まります
セキュリティ関連サービス企業によれば、住宅などを狙う空き巣は、鍵の開錠に5分以上かかる場合は約70%、10分以上かかる場合は約90%が侵入を諦めるそうです。
ハッカー等の攻撃者が「総当たり攻撃」などでパスワードを破ろうとする場合を考えても、aaaaaa、password、など解読の最初に試すであろうパスワードならすぐに突破されそうだと私達にも容易に想像できます。
一方、%zBtpR!2vZ#y6など、パスワードが長く複雑で予想しにくければ、解読に時間がかかり、攻撃者も突破を諦める可能性は高まるでしょう。
パスワードの変更・強化は手軽にできます。
もし、簡単に予想できるようなパスワードを使用していたり、使い回しをしていたら、速やかに変更し強化しましょう。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments