Keeper Security APACではパスワード管理や特権ID管理などサイバーセキュリティソリューションを提供し、企業のゼロトラストセキュリティ実現を支援している。同社は情報セキュリティEXPOでセミナーを開催し、2024年9月にNIST（米国国立標準技術研究所）が発表したパスワードに関する新しいガイドラインも交えながら、適切なパスワード管理のあり方について説明した。今回はその模様をレポートする。

非効率な入力作業と煩雑な管理がパスワード運用の“穴”となる

　サイバーセキュリティ対策のなかでユーザーが直接関与するのが、各種システムにログインするためのパスワードだ。パスワードに関する課題としてKeeper Security、 APAC Lead of Salesの田辺洋介氏は「狙われている」と「無駄な時間」を挙げる。

　前者は、パスワードがあれば各種システムに侵入できるため、さまざまな形で攻撃者から狙われてしまっているのだ。「サイバー攻撃の68％はパスワードに起因し、特にランサムウェア攻撃にその傾向が見られる」と田辺氏は語る。

　後者の課題は、パスワード入力に費やされる時間の多さである。パスワード管理など専用ツールがなければ、ユーザーは1日に何度もパスワードを入力しなくてはならない。仮に1日に費やす入力時間が5分なら、1年間で計20時間となり、従業員が1000人いる企業だとしたら2万時間にも及ぶ。

　ありがちなパスワード運用の悪い例が「パスワードをメモ帳や表計算などに記録する」「使い回す」「覚えやすいように単純または短い文字列にする」「気づかぬうちに漏えいしたパスワードを使い続けている」だ。

　これをあるべき姿に是正するためには、サイバー攻撃に対抗でき、かつガイドラインに準拠したパスワード管理を目指す必要がある。
   

漏えいの大半は外部に起因　その解決策こそがパスワードマネージャー

　では、パスワードを攻撃者視点で見ていこう。攻撃者は、ダークウェブで漏えいしたパスワードを探索して購入、あるいはフィッシングなどで一般ユーザーのクレデンシャル（認証に用いられる情報）を奪取するところから始め、企業システムに侵入する。もしパスワードの使い回しや管理が甘いと、権限昇格やラテラルムーブメント（水平展開）が実施され、最終的に機密情報へとアクセスされてしまう。

　パスワードを単純で短い文字列にすると、現在のコンピューター処理能力ならあっという間に破られてしまうが、10桁なら破るのに約3週間、16桁かつ大文字、数字、記号などの使用を含むと約1兆年以上かかると言われている。このことから、パスワードにはある程度の長さと複雑さが必要なことがわかるだろう。

　「実際には、パスワードが内部から漏えいすることは希で、外部（組織やサービス）で保存されていたものが漏えいし、サイバー攻撃で悪用される割合のほうが多い」（田辺氏）

　セキュリティ対策としてユーザーに過度な負担をかけず、かつサイバー攻撃に対抗することを考えると、パスワードを安全に記録して自動入力機能を持つパスワードマネージャーが有効な解決策となる。
 

パスワード管理の負担を抑えつつ安全性を高める機能を搭載

　Keeper Securityが提供するKeeperパスワードマネージャーには、ユーザー向けの「マイボルト（安全な保管庫）」と、管理者向けの管理コンソールがある。前者はシステムにアクセスするための情報を保存し、パスワード入力が必要な場面でパスワードの自動入力を行う。後者はユーザー管理、利用状況の可視化、権限管理などを司り、誰がパスワードを使い回しているかも確認可能だ。
 
　特徴的なのはダークウェブモニタリング機能で、ダークウェブを監視して漏えいしたパスワードを検知し、ユーザーに変更を促す。また、パスワード自動入力補助機能ではドメイン名とID・パスワードを紐付けているため、偽のドメインだと自動入力補助は作動しない。

　「パスワードの自動生成と覚えなくてすむ仕組みがあると、使い回しを防止できるようになる」（田辺氏）

　最後に田辺氏は、NISTの新たなガイドラインを説明した。そこでは、定期的なパスワード変更ではなく「漏えいが判明したら即座にパスワードを変更するように」と示されている。また、パスワードの初期設定時に複雑な文字列にしておくことも重要だ。

　つまり、これに準拠するには複雑なパスワードの自動生成機能とダークウェブモニタリング機能を持つツールの導入が前提条件となる。

　田辺氏は「セキュリティ対策の根幹をなすパスワードマネージャーを活用することで、ガイドラインに準拠したパスワード管理が実現する」とパスワード管理の重要性について訴えた。