パスワード管理は、日々の業務において不可欠なセキュリティ対策です。しかしながら、不適切なパスワード管理がセキュリティシステムに於いて根本的な脆弱性となります。実は、悪意のある攻撃者による攻撃目標として3番目に多いのが脆弱なパスワードです。

上記のリスクを認識した上で、当社で、適用されている以下の３つのコツをご紹介いたします。

コツ1：長さ及びユニーク

基本ルール：複数のアカウントでパスワードを再利用しません。ログイン情報の再利用は、パスワードセキュリティにおける最も重大なミスの一つです。なぜなら、一度の侵入でクレデンシャル・スタッフィング攻撃（盗まれたユーザー名とパスワードを使用して複数のサービスに不正アクセスを試みる攻撃）によって複数のアカウントが瞬時に侵害される可能性があるからです。

• 長さの優先：パスワードの強度を高く保つためには、複雑さより長さの方が重要です。パスワードは16文字以上になる必要がありますが、可能であれば64文字まで伸ばすことを推奨します。
• 文字列の複雑性： 大文字、小文字、数字、特殊文字を組み合わせます。
• 文字列のランダム性： 名前、誕生日、ペットの名前などの個人情報は使用を禁止します。辞書に載っている単語、一般的なフレーズ、又は「123456」などのシーケンスは、クラッキングツールの標的になりやすいため、使用しないようにします。一方で、ランダムで関連性のない単語で構成された長いパスフレーズは覚えやすく、解読しにくくなります（例：HorsePurpleHatRun）。
• 必要に応じて更新： アクセスを共有する必要がある場合やフィッシングが疑われる場合、または侵害直後には、パスワードを変更しなければなりません。また、高リスクアカウントのパスワードを定期的に（例：3～6か月ごと）更新することで、漏洩した場合でも攻撃のリスクを限定することができます。

コツ2 : 専用のパスワードマネージャーの活用

パスワードマネージャーツールの活用： 長くて、ユニークなアカウントのパスワードを記憶するのは難しいため、強力なパスワード マネージャーを使用してセキュリティを自動化します。

• 安全な保存： パスワードマネージャーは、すべての認証情報を暗号化された保管庫において安全に保存します。これにより、パスワードを付箋に書き留めたり、プレーンテキストファイルやブラウザストレージなどの安全性の低い場所に保存したりするといった重大なリスクを排除できます。
• 自動生成： パスワードマネージャーは、各アカウントに対して強力で一意かつ解読不可能な認証情報を生成し、人為的エラーのリスクを軽減します。
• マスターキー保護： パスワードマネージャーは、保管庫へのアクセスに１つの強力なマスターパスワードを使用します。このマスターパスワードは、一意かつ記憶に残るものでなければならず、絶対にデジタル形式で保存しません。
• 監視と監査: ダークウェブモニタリングを統合して、漏洩した情報をスキャンし、使用状況を継続的に監査してポリシーを適用し、セキュリティのギャップを特定します。ダークウェブモニタリングは漏洩した機密情報がないかアンダーグラウンド サイトを監視するとのことです。

コツ3 : 多要素認証でドアを二重にロック（MFA）

コアレイヤー： 多要素認証（MFA）は必須であり、パスワード以外でセキュリティの重要なレイヤーを追加します。

• アカウント許可のMFA：MFAでは、アクセスするためにユーザーが2つ以上の認証要素を提供する必要があります。これは通常、ユーザーが知っている情報（パスワード）と、ユーザーが所有している情報（スマートフォン、セキュリティキー、アプリコード）またはユーザー自身（生体認証）を組み合わせたものです。
• 盗まれたパスワードの無効： MFA では、2つ以上の認証要素を要求することで、たとえ攻撃者が フィッシング詐欺やデータ漏洩などによるパスワードを入手できたとしても、追加の認証なしではアカウントにアクセスできないようにします。
• 義務付け： 特にすべての重要なシステム、金融アカウント、開発者プラットフォーム、および管理者ログインでは、MFA をデフォルトで適用します。

セキュリティは私たちの責任です。Transcosmos technology Vietnamでは、全ての従業員にこれらのベストプラクティスを日々の業務に取り入れることを指導しています。デジタル資産を守りましょう！