業務アプリケーションのパスワード

多数の業務関連クラウドツールおよびサービスで、パスワードのスマートな取り扱いが求められています。

オンラインのコラボレーションツールは、メリットが明らかであると同時に、以前にも取り上げたようにリスクもあります。コラボレーションツールに特有のリスクもそうですが、認証情報漏洩のリスクが高まるという側面があります。というのは、このようなサービスを利用する際にはログイン用にパスワードが必要なので、従業員一人一人が扱うパスワードの総数が必然的に増えてしまうからです。

1人の従業員が日常的にアクセスする必要があるサービスは、会社のメール、メッセンジャー、プロジェクト管理システムと、最低でもこのくらいはあります。担当する業務によっては、Webサイト管理ツールや企業の公式SNSアカウントへのアクセスが必要です。広告を担当しているならSNSの広告管理ツールへのアクセスが必要ですし、グラフィックツールを扱う人もいれば、会計システムへのアクセスが必須の人もいます。このとおり、現代の企業ではさまざまなサービスのパスワードを大量に保有しているもので、会社の規模が小さくなるほど、1人が管理しなければならないアカウントの数が増えます。そのため、つい1つのパスワードを全部のサービスに使ったり、1つのパスワードを少しずつ変えてそれぞれのサービスに割り当てたりしたくなりますが、これは絶対に避けるべきです。

1つのパスワードを使い回すことの問題点

「同じパスワードの使い回しをしないように」と、以前から言われてきました。この言葉の重要性は、時が経つにつれ、下がるどころか高まっています。「Have I been pwned」というWebサイトをご存じでしょうか?過去に流出したログイン情報の中に自分のメールアドレスやパスワードが含まれているかどうか、調べることができるWebサイトです。2020年10月時点で、同Webサイトのデータベースに登録されている流出アカウントの数は1,000万件を超えています。Have I been pwnedで網羅している流出アカウントのデータベースは、一般的に入手可能なデータベースのみです。当然ながら、サイバー犯罪者もこれらのデータベースを入手可能ですし、これ以外にもダークネットのハッカー向け掲示板でアカウントのデータベースが公開されている可能性を考えると、犯罪者が握っているアカウント情報はさらに多いと見てよいでしょう。

メールアドレスはログインIDとして使われることも多いので、サイバー犯罪者からすると、メールアドレスが手に入れば、流出したパスワードの中からそのアドレスにひも付くパスワードを探し出すことができます。同じパスワードをすべてのサービスで使い回しているらしいことが分かった場合や、パスワードの作成パターンを割り出せた場合、このメールアドレスの持ち主がほかにどんなサービスにアカウントを持っているのか、サイバー犯罪者は簡単な検索で突き止めることが可能です。どのようにして突き止めるのか、その方法の詳細は『サイバー犯罪者はスピアフィッシングに使う情報をどうやって収集するのか』の記事をご覧ください。

パスワードを付箋にメモするのが良くない理由

1つのパスワードを使い回すのは高リスク、しかし暗記できる量には限界がある。そうなると、パスワードを安全に保管してすぐに取り出せる手段が必要になります。パスワードを付箋にメモする、という昔ながらの方法がありますが、私たちは以前から、突然やって来た同僚や来客にパスワードを見られてしまう危険についてお伝えしてきました。近年は、自撮り写真という新たな流出経路が出現しています。

インターネット上には、写真や動画が大量に投稿されています。あなた自身も、自撮り写真や自分が写っている動画をSNSにアップしたことがあるのではないでしょうか?あなたがそういうタイプではなかったとしても、間仕切りのないオープンなオフィスの中に自撮り好きな人がいたら、同僚の姿やPCの画面、デスク上の小物、そしてパスワードをメモした付箋が、写真に写りこんでしまうかもしれません。また、人間味あふれるブランドであることを伝えようと、企業が社内での様子を撮影して公式のSNSアカウントから投稿することもよくありますが、こうした写真や動画にも、人目に触れてはいけないデータが写り込んでしまう可能性があります。

パスワードを安全に保管するには

メモ帳も付箋と大差はなく、いつ写真を撮られるか分かりません。そこでお勧めなのがパスワードマネージャー(パスワード管理ツール)です。覚えておかなければならないのはマスターパスワード1つだけで、後のパスワードはパスワードマネージャーに記憶させておくことができます。ただし、マスターパスワードと同じパスワードを別のところで使わないでください!

小規模企業のニーズに応えるために設計されたセキュリティ製品「カスペルスキー スモール オフィス セキュリティ」には、カスペルスキー パスワードマネージャーが含まれています。カスペルスキー パスワードマネージャーは、認証情報など重要な情報を安全に保存できるだけでなく、複雑なパスワードを生成することもできます。詳しくは、カスペルスキー スモール オフィス セキュリティのページをご覧ください。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?