本ブログ記事は、2021年5月6日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
毎年、5 月の第一木曜日は世界パスワードの日です。コンピューター史上最古のサイバーセキュリティ管理手法の記念すべき日です。ビットとバイトの歴史が始まって以来、システムとネットワークのセキュリティを守る最前線で、パスワードは重要な役割を果たしてきました。
しかし残念ながら、パスワードは
- 盗まれやすく、
- 使い回されがちで、
- 大半が簡単に推測・クラックでき、
- ひとたび漏えいすれば役に立ちません。それどころか、複数のアカウントで使い回されていれば、危険を招く可能性すらあります。
こうした、パスワードについて回る弱点を克服しようと、業界のイノベーターたちは、多要素認証 (MFA)を始めとする、パスワードを使用しないさまざまなログイン方法の改良に長年尽力してきました。その甲斐もあってか、最低でも 10 年以内にパスワードが絶滅すると予測する、専門家やセールスマンが続出しています。現状、この予測は少々無理があるものの、2021 年に企業が多要素認証の導入を大きく加速させていることは事実です。
それでもなお、パスワードは、ほとんどのシステムで使用される主要な (そして、しばしば唯一の) 認証方式として君臨しています。Forrester の分析によると、70% の企業が現在もパスワードに依存しています。パスワードが支持され続ける理由は、使いやすく、ログイン周りの設計が楽で、慣れ親しんだサービスだからです。
著名なセキュリティ専門家である Troy Hunt 氏は次のように述べています。「パスワードが本来求められる仕事を十分にこなしていることを、もっと認めるべきです。パスワードの他にない長所は、誰もが使い方を知っていることです。」同氏は、110 億個以上の漏えいしたパスワードのデータベースを掲載している Web サイト、「Have I Been Pwned」の創設者でもあります。
要するに、お手上げだと諦めるのではなく、今後しばらくパスワードと付き合うことを認めた上で、それに伴う危険性をなるだけ最小化できるような戦略を採用しましょう、ということです。
そのための 7 つの手法を、以下に提案します。
ヒント #1 - パスワードが漏れていないか調べる
おそらく、弱いパスワードを見分ける最善の指標は、そのパスワードがいずれかの時点で漏えいしたかどうかを調べることです。Have I Been Pwnedなどの漏えいしたパスワードのデータベースを情報源として活用しましょう。ユーザーがパスワードを考える際や、毎回のログインの際に、パスワードが漏えいしているかを調べることができます。これ以外にも市販のツールも利用できます。こうしたツールの中には、合法的なパスワードリポジトリを利用した API によって、リアルタイムに漏えい状況を調査できるものが多数存在します。
ヒント #2 - 複雑なルールは忘れる
従来、セキュリティの専門家は非常に面倒で複雑なパスワードのルールを定めていました。記号、大文字、小文字、数字を組み合わせること、等々。ところが調査によると、ユーザーはこうしたルールの裏をかく傾向があり、しかもその方法は安直なものです。たとえば、「password」という文字列を「p4$$word」や「password!」という風に少しだけ変更するのです。
このようなルールはユーザーをいら立たせるだけで、セキュリティの強化にはあまり貢献しません。そのため、標準化団体と専門家は手法を改めることにしました。昨年、NIST (米国国立標準技術研究所) は、電子的認証に関するガイドライン (Special Publication 800-63B)から、このような複雑な要求を削除しました。その代わり、過去に破られたパスワードの排除とブラックリスト化を推奨しています。また、これ以外にも排除・ブラックリスト化すべきパスワードとして、以下のものをあげています。
- 辞書に載っている単語
- 繰り返しの文字列や連続した文字列 (aaaaaa や 1234abcd など)
- 文脈から特定される単語。たとえば、サービス名やユーザー名。また、そこから導ける単語。
ヒント #3 - 定期的な変更の重要性は低い
こちらも、一般に信じられている常識とは逆の内容です。パスワードに有効期限を設ける運用は時代遅れになりつつあります。研究から、セキュリティにはそれほど影響しないと判明したためです。NIST は、パスワードの定期的な変更の強制を避けることを勧めています。というのも、パスワードチェック機能によって、ユーザーにパスワードを無作為に変更させることが難しいためです。ただし、パスワードが漏えいしたと認められる場合は、パスワードを変更することを強く推奨しています。
ヒント #4 - 長いパスフレーズを利用しやすく
NIST などのお墨付きを得ているパスワード強化方法のひとつが、とにかく長いパスワードを使うことです。NIST のガイドラインでは、パスワードの条件として長さを最低でも 8 文字とすることを勧めています。また、組織に対して、パスワードの最小文字数を増やすことを目標とし、64 文字のパスワードを受け付けるようにシステムを設計することを推奨しています。これは、ユーザーにパスフレーズの使用を促すためです。長いパスフレーズは、クラックや推測を困難にすることで攻撃のコストを押し上げます。どれほど複雑なルールを採用するよりも効果的な手法です。
ヒント #5 - 多要素認証を有効化する
企業のリスク管理者のおよそ四分の三が、この 1 年で多要素認証の導入を加速させると回答しています。時に問題は、特定のプラットフォームで多要素認証を利用できないことではありません。パスワードを補完する機能として多要素認証が用意されているのに、ユーザーと管理者に利用されない場合があるのです。
最近の調査によると、なんと、Microsoft® 365 の管理者の 78% が、自身の管理する環境で多要素認証を有効化していません。まずは、多要素認証を有効化しましょう。これが、パスワードのリスクを軽減する上で、組織にできる最善の対策のひとつです。
ヒント #6 - パスワードマネージャーを導入する
多要素認証を利用できない場合、パスワードマネージャーは有効な次善策であり、パスワードを唯一の認証手段として利用する際のさまざまなリスクを管理できます。パスワードマネージャーを使用すると、無作為の文字列からなる複雑で長いパスワードを自動的に作成できます。ユーザーは、アカウントを作成するたびにこうした強固なパスワードを設定でき、しかも、パスフレーズをひとつ覚えるだけで済みます。NIST のガイドラインは、パスワードマネージャーの利用を特に義務付けても、要求してもいません。ですが、利用に賛同し、導入を促しているのは確かです。パスワードマネージャーの利用を促進するため、パスワードチェック機能に入力欄へのペーストを許容させることを推奨しているためです。
ヒント #7 - パスワードマネージャーのマスターパスワードの運用をダブルチェック
パスワードマネージャーをユーザーが利用できるようにしたら、パスワードマネージャーに設定されたユーザーのマスターパスワードに十分な強度があるか、念のため確認しましょう。NIST の推奨は以下のとおりです。
- パスワードマネージャーのマスターパスワードは、長いパスフレーズとする。また、盗難を防止するため、コンピューターやスマートフォン上ではなく、オフラインに保存する。
- マスターパスワードを復元できるパスワードマネージャーは使用しない。アカウント復元ツールによって、ひとたびマスターパスワードが漏えいすると、保管されているすべてのパスワードが漏えいするおそれがあるため。
- 復元機能を持つプログラムマネージャーアプリケーションには、多要素認証を使用する。
紹介した 7 つのヒントは 100% の安全を保証するものではありません。別の選択肢として、BlackBerry® Personaなどのセキュリティソリューションを導入して、パスワードを利用しやすい環境を築く方法もあります。BlackBerry Persona は、進化した生体認証を利用して、各デバイスに対するユーザー認証を実現します。そのため、頻繁なパスワード入力を要求されることがなくなります。
BlackBerry Personaの詳細は、こちらをご覧ください。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・BlackBerry Japan:https://www.blackberry.com/ja/jp
