パスワード管理の答えが見えない、結局どうすればいいの？

パスワードはサイバー犯罪者の前では無力だ。パスワードに関する規則は改善されているものの、パスワードの文字列自体が保護されていなかったり、ユーザーが規則を守っていることを保証できかったりするためだ。ではどうすればよいのだろうか。

[Sue Poremba，Cybersecurity Dive]

　PCユーザーなら既に知っているだろう。パスワードはユーザーを保護することができない。

　「セキュリティ戦略としてのパスワードは死んだ」と、Cybraryの脅威インテリジェンス担当シニアディレクターであるデビッド・メイナー氏は述べる。

「パスワードマネジャー」が最善策ではないワケ

　パスワードはすでに、セキュリティ戦略としては弱い。パスワードのような認証情報はいったん盗み出されると、サイバー犯罪者のお気に入りの攻撃手段に変わってしまう。1つのパスワードだけで多くの被害が生じる。

　悪意のある攻撃者でなくても、パスワードを本来の用途を超えて使用することがいかに簡単であるかは分かるだろう（注1）。パスワードの共有や、許可なく複数のアカウントにアクセスすることについて、雑誌などのコラムニストが質問を受けることがよくある。

　問題はパスワードの利用ではなく、パスワードそのものが保護されていないため、脆弱（ぜいじゃく）になっていることだ。

　そこで米国国立標準技術研究所（NIST：National Institute of Standards and Technology）は、パスワードポリシーの標準を策定した（注2）。パスワードの使い回しという最悪の習慣に対抗するため、パスワードマネジャーを使うこともできる。

　しかし現在に至るまで、パスワードは誤用され、盗まれ、悪用され続けている。きちんとしたポリシーがあるのに、なぜパスワードはいまだにセキュリティの弱点なのだろうか？

NISTのパスワード標準はどう変わったのか

　「NIST Special Publication 800-63B Digital Identity Guidelines」は、パスワードをライフサイクル全体にわたってうまく管理するのに役立つベストプラクティスと、その他の認証方法に関するポリシー標準を提供している。パスワード管理に関するガイドラインは単純明快だ（注3）。

・漏えいしたパスワードリストと自分のパスワードを照合する
・パスワード辞書に含まれていたパスワードをブロックする
・反復的またはインクリメンタルなパスワードの使用を防ぐ（ABC001、ABC002、ABC003……といったもの）
・文脈依存の単語をパスワードとして使用できないようにする（Amazon.comのパスワードとしてamazon001を使うなど）
・パスワードの文字数を長くする

　NISTはフレームワークを更新して、パスワード管理に関する2つの古い指針を廃止した。パスワードを定期的に変更することについては逆効果だという意見もあった（注4）。NISTはこの意見を追認した形だ。さらに大文字や小文字、数字、記号を混ぜた複雑なパスワードを使用することも推奨していない。

　「NISTのパスワードガイドラインは、デジタルアイデンティティーと認証ライフサイクル管理の基準であるべきだ」と、Taniumのティモシー・モリス氏（チーフセキュリティアドバイザー）は述べる。

　NISTのフレームワークは、多くの組織でサイバーセキュリティシステム全体の基準として使われている。このガイドラインは170万回以上ダウンロードされた他（注5）、重要なインフラのうち、16のセクターがこのフレームワークに依存している。

パスワードマネジャーはどれほど有望なのか

　古い指針にあったように、90日ごとに新しいユニークなパスワードを作成する必要がないのは助かる。だが、反復的なパスワードの使用を防ぐためのNISTのガイドラインは依然としてユーザーの負担が大きい。何十種類ものパスワードを覚えるのは不可能であり、ユーザーはパスワードを書き留めることを嫌がる。

　多くの人にとっての解決策はパスワードマネジャーを使用することだ。

　「企業環境において、パスワードマネジャーはセキュリティを強化するだけでなく、生産性を最適化する」と、Keeper Securityのテレサ・ローター氏（ガバナンス、リスク、コンプライアンス《GRC》アナリスト）は述べる。

　パスワードマネジャーを採用すると、IT管理者はユーザーのパスワードの使い方をコントロールし、ポリシーを実施することが可能になる。

　「ヘルプデスクの担当者はパスワードのリセットを求めるチケットに煩わされることがなくなり、従業員もパスワードを忘れたために身動きが取れなくなることがなくなる」とローター氏は語る。

　LastPassの調査によれば、パスワードマネジャーは人気を集めており、45％の企業がこのようなパスワード管理ソリューションを導入している（注6）。

　パスワードマネジャーを導入すると、セキュリティチームがポリシーを実施する際に役立つ。だが、企業が潜在的な脅威にさらされる可能性もある。パスワードマネジャーは他のアプリケーションと同様に脆弱性やリスクの影響を受けやすく、ハッキングされてデータが流出するケースもある（注7）。

　例えば、2022年には「LastPass Password Manager」が複数のサイバーインシデントに見舞われている（注8）。

　パスワードマネジャーを利用する企業は、潜在的な脆弱性があることを認識し、ユーザーを保護するための措置を講じる必要がある。

　「パスワードマネジャーが『ゼロナレッジ』にとどまる限り、つまり、ベンダー自身ですらエンドユーザーのパスワード保管庫のプレーンテキストコンテンツにアクセスできないなら、パスワード管理ベンダーが侵害されたとしても、企業にとってのリスクはほとんどない」とローター氏は話す。

パスワードは結局どうなるのか

　ポリシーを策定して、パスワード管理ソリューションを導入することは、強固なセキュリティプログラムの構築に大きく貢献する。

　しかし、Keeper Securityが発表した「2022年米国サイバーセキュリティ国勢調査レポート」（2022 U.S. Cybersecurity Census Report、注9）によると、パスワードとアクセス管理に関するガイダンスとベストプラクティスを従業員に提供する企業は、44％にとどまっていることが明らかになった。

　さらに3分の1近くの企業が従業員にパスワードの設定と管理を許可しており、従業員がパスワードへのアクセスを共有することが多いと認めている。

　しかし、企業はパスワードでは既に対応できない状況に至っている。NISTのフレームワークはパスワード管理だけでなく、バイオメトリクスや多要素認証など、さまざまな認証方法に関するガイドラインを推奨している。

　「パスワード認証の強化に費やす時間は無駄なコストだ。企業はできるだけ早くパスワード方式から脱却し、代替手段を検討すべきだ」とメイナー氏は述べる。

　パスワード戦略は世界がデジタルに依存する前の時代からの遺物だということを認識すべきだ。パスワードポリシーが施行されていないため、ユーザーを保護するのには有効ではない。

　企業はパスワードの使用を控え、ユーザーとそのアイデンティティー、データをより安全に保護するために設計された他の選択肢を検討する必要がある。

出典：Face it, password policies and managers are not protecting users（Cybersecurity Dive）

注1：Ask Amy: My mooching friend uses my streaming subscriptions

注2：NIST Special Publication 800-63B

注3：NIST 800-63b Password Guidelines and Best Practices

注4：Surprising Password Guidelines from NIST

注5：Cybersecurity Framework

注6：Enabling the Future of Work with EPM, Identity and Access Controls

注7：Which Password Managers Have Been Hacked?

注8：LastPass breached, portions of source code stolen, CEO says（Cybersecurity Dive）

注9：2022 US Cybersecurity Census Report