3IPA基本診断項目
破られにくい強固なパスワードを設定する
「定期的に変更する」「大文字・数字・記号を混ぜる」は、NISTの最新ガイドライン(SP800-63B)では非推奨とされています。現代のパスワード管理はツールに任せることが前提です。
⚠️ なぜ必要なのか?
単純なパスワードや使い回しは、攻撃者のプログラムによって短時間で突破されます。定期変更や文字種の強制はかえってパスワードを単純化・パターン化させる原因になることが分かっており、NISTは2024年のガイドラインで明確に禁止しています。重要なのは「長さ」と「使い回しをしないこと」、そしてそれをツールで徹底することです。
✅ 何をすれば良いのか?
推測されやすいパスワードの利用を撲滅し、主要なサービスに多要素認証(MFA)を実装する。
🏁 どうなったら完了?
- ✓パスワードマネージャーまたはIDaaSが導入されている
- ✓主要なサービスで多要素認証(MFA)が有効になっている
- ✓ExcelやメモへのパスワードのRaw保存がなくなっている
⚠️ 運用だけでは管理しきれない時代です
15文字以上のランダムなパスワードをサービスごとに使い分けることは、人の手では事実上管理しきれません。パスワードマネージャーを使えば、強固なパスワードの生成・管理・自動入力までツールが担います。ただし、古いクライアントサーバー型のシステムへは自動入力が使えないケースがあります。その場合は利用システム自体の見直しも視野に入れてください。
🔧 まず導入する:パスワードマネージャー
1Password
チーム向けパスワードマネージャーの定番。共有ボールトで業務用パスワードを安全に共有できる。Windowsデスクトップアプリにも対応しており、クラサバ型システムへのログイン時もコピペで利用可能。
Bitwarden
オープンソースのパスワードマネージャー。無料プランでも十分使える。セルフホスト運用も可能。
🚀 さらに一段上へ:IDaaS
TrustLogin(GMOグローバルサイン)
国産IDaaS。基本プラン無料・即日導入可能で、十数人規模の中小企業から使いやすい。Pro版は月額300円/IDと低コスト。SAML認証だけでなくフォームベース認証・Basic認証にも対応しており、SaaS以外の社内システムへのSSOも幅広くカバーできる。まずIDaaSを試してみたい会社の入門として最適。
HENNGE One(IDaaS)
クラウドサービスが多い会社向け。SSOでパスワードを一本化・省略できるIDaaS。各サービスへのログインをHENNGE Oneに集約することで、パスワード自体をなくすことができる。HENNGE Endpoint & Managed Securityとの統合も可能で、クラウドセキュリティをまとめて整えたい会社に最適。