- パスワードを設定して、データ・ファイル・アカウントへのアクセスを正当な利用者だけに制限する仕組みのこと
- 本人だけが知る文字列を鍵にして第三者の不正なアクセスを防ぐ最も基本的な認証手段だが、使い回しや単純なパスワードは漏洩・突破のリスクが高い
- パスワードは情報セキュリティの基本だが、近年は使い回しによる被害が深刻化しており、強固なパスワードの作成・パスワードマネージャーの活用・多要素認証との併用が推奨されている
【深掘り】これだけ知ってればOK!
パスワード使い回しの危険を理解しよう。複数のサービスで同じパスワードを使い回すと、1つのサービスから漏洩しただけで、他のすべてのサービスに不正ログインされる恐れがある。これを「パスワードリスト攻撃」と呼ぶ。攻撃者は漏洩したID・パスワードのリストを使って様々なサービスへのログインを試みる。使い回しは最も避けるべき危険な習慣だ。
パスワードマネージャーの活用を理解しよう。サービスごとに異なる複雑なパスワードを覚えるのは現実的でない。そこでパスワードマネージャー(パスワード管理ツール)が役立つ。マスターパスワード1つを覚えれば、各サービスの複雑なパスワードを自動生成・保存・入力してくれる。使い回しを避けつつ強固なパスワードを使える、現実的で安全な解決策だ。
ファイルのパスワード保護を理解しよう。アカウントだけでなく、ExcelやPDF・ZIPファイルにもパスワードを設定できる。ただし、メールでパスワード付きZIPを送り、別メールでパスワードを送る方法(いわゆるPPAP)は、同じ経路で送るため安全性が低く、近年は推奨されなくなっている。重要なファイルは、安全なクラウドストレージの共有機能やアクセス制御を使う方が安全だ。
よくある誤解
複雑なパスワードを1つ作って使い回せば安全だと思っている
どれだけ複雑でも使い回しは危険だ。1つのサービスから漏洩すれば、同じパスワードを使う他のすべてのサービスに不正ログインされる恐れがある(パスワードリスト攻撃)。サービスごとに別のパスワードを使うことが鉄則だ。
強固なパスワードを設定すれば多要素認証は不要だと思っている
どれだけ強固なパスワードでもフィッシングで盗まれれば突破される。パスワード単独では限界があるため、多要素認証との併用が強く推奨される。パスワードと別の要素を組み合わせることで安全性が格段に高まる。
会話での使われ方

同じパスワードを使い回さないでください。1つ漏れると全アカウントが危険です。パスワードマネージャーで管理しましょう。
情報システム担当者がパスワード管理を指導している場面。




パスワード付きZIPを別メールでパスワード送付するPPAPは安全性が低いです。クラウドの共有機能を使いましょう。
セキュリティ担当者がファイル共有方法の改善を提案している場面。




強固なパスワードでもフィッシングで盗まれます。多要素認証を併用して、パスワードだけに頼らない防御にしましょう。
セキュリティ研修で多層防御の重要性を説明している場面。
【まとめ】3つのポイント
- パスワードでデータやアカウントへのアクセスを制限する基本的な認証手段:本人だけが知る文字列を鍵にして第三者の不正なアクセスを防ぐ最も基本的な認証手段だが使い回しや単純なパスワードは漏洩・突破のリスクが高い
- 使い回しは最も危険でサービスごとに別のパスワードを使う:1つのサービスから漏洩すると同じパスワードを使う他の全サービスに不正ログインされるパスワードリスト攻撃のリスクがあるため使い回しを避けることが鉄則だ
- パスワードマネージャーと多要素認証で多層的に守る:複雑なパスワードをサービスごとに使い分けるためパスワードマネージャーを活用し強固なパスワードでもフィッシングで盗まれうるため多要素認証と併用する多層防御が現代の常識だ
よくある質問
-
Q安全なパスワードの条件は何ですか?
-
A
10〜12文字以上の長さ、英大小文字・数字・記号の組み合わせ、名前や誕生日など推測されやすい情報を避けること、そしてサービスごとに使い回さないことです。
-
Qパスワードの使い回しはなぜ危険ですか?
-
A
1つのサービスから漏洩すると、同じパスワードを使う他のすべてのサービスに不正ログインされる恐れがあるためです。これをパスワードリスト攻撃と呼びます。
-
Qパスワードマネージャーとは何ですか?
-
A
マスターパスワード1つで、各サービスの複雑なパスワードを自動生成・保存・入力してくれるツールです。使い回しを避けつつ強固なパスワードを使える現実的な解決策です。
-
QPPAPはなぜ推奨されないのですか?
-
A
パスワード付きZIPと解除パスワードを同じメール経路で送るため、経路が漏洩すれば両方盗まれ安全性が低いためです。クラウドの共有機能やアクセス制御の方が安全です。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| パスワード | 本記事のテーマと実務上セットで使われることが多い用語です。アカウントの持ち主が本人かどうかを確かめるための、本人だけが知る合言葉、それがパスワードだ |
| アカウント | アカウントとの関係を知ると全体像がつかみやすくなります。あるサービスを自分専用に使うために登録する、いわば会員証のような利用権、それがアカウントだ |
| パスワードリスト攻撃 | パスワードリスト攻撃を押さえると本記事の理解がさらに深まります。どこかのサービスから流出したID・パスワードの組み合わせを使い、他の複数サービスで同じ認証情報が通るか試みる攻撃だ。クレデンシャルスタッフィングとも呼ばれる |
| フィッシング | 本記事のテーマと実務上セットで使われることが多い用語です。実在する企業になりすまし、偽のメールやサイトへ誘導してパスワードやカード情報を盗み取る詐欺、それがフィッシングだ |
| データ | 本記事のテーマと実務上セットで使われることが多い用語です。コンピュータが処理する数値や文字、画像といった事実や資料そのもの、それがデータだ |
【出典】参考URL
https://www.ipa.go.jp/security/ :IPAの情報セキュリティ対策
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/ :総務省の国民のための情報セキュリティサイト
https://e-words.jp/w/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89.html :IT用語辞典「パスワード」

コメント