中小企業のためのクラウド活用術 〜クラウドを利用するときのセキュリティ対策 – 最強のパスワード管理編 〜

クラウドはインターネットを介し、ユーザIDとパスワードを入力して利用します。

多くの場合クラウドの入口は、誰でもアクセスできますので、ユーザIDとパスワード、中でも特にパスワードはしっかり管理する必要があります。

パスワード管理の基本のき

安全なパスワード管理とはどういうものでしょうか?

一つの指針となるのが、総務省が出している「安全なパスワード管理」です。

安全なパスワード管理によると以下のことが推奨されています。

  • 安全なパスワード以下のように作成する
    • 名前などの個人情報からは推測できないこと
    • 英単語などをそのまま使用していないこと
    • アルファベットと数字が混在していること
    • 適切な長さの文字列であること
    • 類推しやすい並び方やその安易な組合せにしないこと
  • パスワードの保管は、他人に分からない、自分で忘れないことに注意し、メモする場合は肌身離さず管理する
  • パスワードの定期変更は不要
  • パスワードは複数のサービスで使い回さない
  • 離席するときにはログアウトする

これらを元に、パスワードに関するセキュリティポリシーを決めているところが多く、「英字大文字、小文字、数字、記号を含む8文字以上」というパスワードとなっているケースがあります。

例えばイニシャルがTNで、スマホの電話番号が090-1234-5678の方が「+t1234m.」というパスワードを作成した場合はどうでしょうか?

パスワードのセキュリティポリシーは満たしていますが、「+t1234n.」というパスワードは安全でしょうか?

「パスワードは複数のサービスで使い回さない」をクリアするには、個人で利用しているAmazonや楽天などのパスワードも含めてクリアする必要があり、すべてのサービスでセキュリティポリシーが満たされるパスワードを管理するのはなかなか大変です。

最強のパスワード管理

個人利用を含め、クラウドを安全に利用するためには、以下の基準をクリアしておくと安心です。

  • パスワードは20文字以上(20文字のパスワードが設定できない場合は最大文字数)
  • 英字大文字、小文字、数字、記号をすべて含む
  • パスワードはパスワード生成ツールを使ってランダムな文字列にする
  • 個人利用を含めたクラウドごとにユニークなパスワード
  • ユーザIDが自由に設定できる場合、ユーザIDもパスワードのような文字列にする

安心できる基準ではありますが運用面を考えますと、以下の課題があります。

  • 覚えられない
  • クラウドサービスを利用するたびに20文字のランダムな文字を入力するのは面倒

そこで最強のパスワード管理としておすすめしたいのが、パスワード管理ツールの利用です。

パスワード管理ツールを利用すると、安心なパスワードの基準をクリアできるだけでなく、パスワードを覚える必要も、パスワードを入力する必要もありません。

複雑なパスワードを設定できる上に、パスワードを知っている人は誰もいないと言うことになり、最強のパスワード管理が実現できます。

著名なパスワード管理ツールとして、1Passwordがあります。

インストールできるソフトウェアがあるほか、ブラウザの拡張機能としても利用できるので便利です。

マスターパスワードというすべてのパスワード利用するためのパスワードを、自分で覚えやすく、推測できない文字列で管理すれば安全に利用できます。

アクセスしたクラウドサービスを判別して、ユーザIDとパスワードを自動入力してくれるので、複雑なユーザID、パスワードであっても入力の手間も掛かりません。

1Passwordはクラウドサービスですので、パソコンが紛失、盗難などで他人の手に渡ってもパスワードが漏洩することもありません。

企業として大切な情報を守るためには、ユーザIDとパスワードはしっかり徹底、管理したいところです。

パスワード管理ツールの利用で、安全性の向上と手間抑制の両立を目指してみませんか?

さらにここまでやれば安心

最強のパスワード管理でご紹介した方法であれば、クラウドは安心して利用できます。

さらに安全性を高める場合は、以下のことを考慮する必要があります。

  • コンピュータウィルスへの感染、無料WiFiの利用などで入力したパスワードが外部に漏れることがある
  • 偽サイト(Twitterにそっくりな偽サイト)にアクセスし、ユーザIDとパスワードを入力しパスワードが盗まれる

上記を防ぐためには、以下の対策が有効です。

  • ユーザIDとパスワードを入力するパソコン以外で追加の認証を行う
  • 追加の認証は、使い捨てのパスワードにする

具体的な対策としては、クラウドが対応している多要素認証を利用します。

スマートフォンに、「Google Authenticator」「Microsoft Authenticator」という2段階認証用のアプリをインストールし、利用するクラウドごとに2段階認証を設定すれば利用できますので、手軽にかつ追加のコストをかけずに利用できます。

2段階認証用アプリを利用することで、ユーザIDとパスワードの他に、以下の要件を追加できますので、パスワードが他人の手に渡ってもクラウドを利用されることがなく安心です。

  • 2段階認証用アプリがインストールされたスマートフォンを持っていること
  • 2段階認証用アプリで表示されたクラウドごとの6桁の数字入力が必要

今回は、クラウドを利用する際のパスワード管理についてご紹介しました。

パスワードを強化すると手間やトラブルが増えます。

今回ご紹介した方法は、手間とトラブルを抑制しつつパスワードを強化できますので、おすすめです。

ぴたデジでは、クラウド導入コンサルティングでパスワードなどのセキュリティ対策についても、アドバイスしております。

相談は無料ですので、パスワード管理などのセキュリティ対策にお悩み、お困りの際は、ぜひ、お気軽にご相談ください。

クラウドサービス導入コンサルティング