パスワードのパラダイムシフトと、サービス管理者として今取るべきパスワードポリシー

「より安全 = より不便」という言葉は、自社サービスや社内システムを管理する担当者にとってよく耳にする表現かもしれない。 
この言葉は、セキュリティにおける長年の常識であり、今も多くの領域で通用している。言い換えれば「安全を確保するためにはその分手間をかける必要がある」、つまり、「家のドアにカギを付けたら開け閉めの手間は増えるが、強盗から家を守ることができる」という考えと本質的に同様の発想で、多くのセキュリティ対策はこの考えに基づいて作られてきた。 
パスワードにおける一連の施策もその一つで、今は大文字と小文字を両方入れたり、特殊文字を混ぜたりすることで複雑なパスワードを設定するよう求めることがごく当たり前だ。 

  
ところが、昨今この考えは覆されつつある。その象徴的な動きが、アメリカの科学技術における標準を定義する米国立標準技術研究所(NIST)が発表した新しいパスワードガイドラインだ。 
これは2022年12月にドラフトが公開され、デジタル環境の認証に関する標準を網羅した「デジタル・アイデンティティ・ガイドライン（注1）」の一部である。 
パスワードの複雑化を前提とする既存のアプローチとは打って変わり、必ずしもユーザーの不便から生じる安全性を前提としないパスワードルールを提示している。 
つまり、ユーザーの不便がセキュリティにつながるというこれまでの考えから、根本的なパラダイムシフトが起きたとも言える。 
本論稿では、この新しい考え方に基づき、どのようにパスワードを設定・管理すべきかを説明する。 

これまでNISTのガイドラインなどで、セキュリティの強化のために勧められていた施策のうち、実際の効果は逆であったと分かった施策の中から4つ紹介する。 
一つ目は複雑なルールの強制だ。NISTのガイドラインは、既に他社の情報漏洩で公開されているパスワードや、ユーザー名と同じパスワードを使えないようにするといったこと以外に過度な制限は設けないよう求めている。 
これは、ユーザーに特殊文字などを強制すると逆に推測されやすいパスワードを作る傾向にあると分かったからだ。 
例えば「pass」というパスワードを使おうとして、数字と特殊文字がないと止められた人が、「p@ss1」や「pass1!」などをパスワードに設定することは容易に想像がつくだろう。 
一方、パスワードの長さは推測を難しくすることに有効ということが分かっており、セキュルティソフトウェアを開発するBitwarden社によると、7文字以下のパスワードは秒単位で突破されるが、11文字あれば最短でも数か月、14文字あれば数世紀かかるとの分析が出ている（注2）。 
この考えに基づき、NISTはキーボード上の特殊文字に限らず、Unicode上の文字も含めて使える文字セットを増やし、設定できるパスワードの長さを64文字以上にするよう勧告している。パスワードが長くなるとその分入力の手間が発生することになるが、同研究所は後述するパスワード管理アプリの利用で回避するよう推奨している。 
  
短期間でパスワードの変更を強制することも、ユーザーの利便性を阻害する施策の一つだ。 
今は3か月や6か月ごとに、社内システムのパスワードを変更させる企業も珍しくないが、これはユーザーにとってパスワードを「手間」だと思わせることにつながってしまう。 
結果的にこれまでと異なる強固なパスワードを設定しなおすのではなく、その場しのぎのためにこれまでのパスワードとほぼ変わらない内容で変形するように誘導し、パスワードを推測しやすくしてしまう可能性がある。 
実際のパスワード変更履歴を分析したノースカロライナ大学の研究では、特殊文字を1個だけ追加したり、sを＄に置き換えるような形で文字を類似する特殊文字に入れ替えたり、パスワードを変更した月をパスワードに含めたりするなどのパターンが確認された（注3）。 
NISTの新しいガイドラインでは、パスワードの漏洩が確認されているとき以外、パスワードの変更を強制しないように求めている。 
  
パスワード欄を伏せることはもはや当たり前のこととなりつつあるが、見直すべき施策の一つだ。 
これまではログイン画面におけるパスワード欄はユーザーが何を入力したか見えないように伏せることが常識とされてきた。 
だが、これは特にパスワードが長い場合に入力を誤る確率を上げ、不便だと感じたユーザーが短く間違えづらいパスワードを設定してしまう恐れがある。 
ログインのときに入力しているパスワードの文字が見えていたとしても、ユーザー以外の人が画面を見ている確率は低いため、あえて文字を隠すことは得よりも損の方が多い。 
ボタンを押したら見えるようにしたり、入力後に文字が一定時間見えるようにしたりと導入方法は様々ある。 
少なくともログイン画面においてパスワード表示ボタンを無効にしている場合は、設定を見直すことを推奨する。 
  
パスワードヒントおよびセキュリティ質問も避けるべき施策の一つだ。 
数は減ってきたものの、日本ではいまだに多く見かける。具体的には、ユーザーがパスワードを思い出せるヒントを保存したり、「子供のころの親友の名前は? – ○○君」のような質問と答えのペアを登録して、パスワードリセット時の本人認証に使用したりすることだ。 
これはシステムを攻撃する側にとってもパスワードを推測するヒントになり、フィッシングなどのソーシャル・エンジニアリングと連携することで容易に侵入できてしまう恐れがある。 
ユーザーがパスワード忘れたときは、事前に登録・認証した別の本人確認手段(メール、携帯電話など)を使い、新しいパスワードをセットするように案内すべきであり、パスワードを平文で保存して本人認証を通った人にそのまま教えるなどもってのほかだ。 

では、導入するべき施策とはどのようなものだろうか。まずはパスワード管理アプリの導入を進めることだ。 
ウェブサイトごとに異なる、長いパスワードをすべて覚えるのは、容易いことではない。代わりに個々のパスワードをアプリに保存して、そのアプリへログインするためのパスワードを覚えることで、強固なパスワードとユーザーの利便性が両方とも確保できる。 
ただ、前提としてパスワード入力欄に文字の貼り付けができる必要があるので、あえてできないようにしている場合は見直しが必要だろう。 
  
NISTはMFA(Multi-Factor Authentication=多要素認証)の導入も強く推奨している。 
これは、パスワードなど「ユーザーがすでに知っているもの」に加え、携帯電話上のアプリで生成されたワンタイムパスワードなど「ユーザーが持っているもの」を組み合わせてログインに使う方法だ。 
ワンタイムパスワードの他に、アプリでログインを承認させたり、ユーザーが物理的に持ち歩くセキュリティキーをデバイスに挿入させたりする場合もある。複数の認証手段を用いることで、万が一パスワードが漏洩しても不正ログインを防ぐことができ、より強力なセキュリティ体制を構築できる。 
MFA導入の代表例はGoogleで、同社は全社員にセキュリティキーを用いるMFAを導入した後、自社の業務アカウントへのフィッシング攻撃が0件に減少したと発表している（注4）。 
  
最近はパスワードそのものをなくす動きとしてパスキーと呼ばれる技術も登場している。これは、ユーザーにパスワードを作らせる代わりに、デバイスの内部に安全な認証情報を生成・保管し、以降は生体認証などを用いたユーザーの本人認証だけでログインを行う方法だ。 
パスキーを保管していないデバイス上でも、QRコードを読ませることでパスキーが保存されているスマホから認証を行うことができる。 
パスワードという潜在的な穴そのものを塞ぐため、安全性が保たれるうえ、ユーザーはいちいちパスワードを考えたり覚えたりする必要がなく、利便性が向上する。パスキーはGoogleやMicrosoftといった海外の企業だけでなく、ヤフージャパンや任天堂など国内企業においても導入が進められている。 

昨今、とある大手企業の大規模な情報流出が社会問題になるなど、企業におけるサイバーセキュリティの重要性は日々高まっている。パスワードはそのセキュリティ体制の確立におけるもっとも身近な存在であり、同時に外部から最も狙いやすい潜在的な脅威の一つでもある。 
独立行政法人情報処理推進機構によると、2023年国内での不正アクセス届出は過去最多の243件に登り、うち79件でパスワード推測が使われている。同機構が確認した不正アクセス手口のうち、過去3年連続で件数が増加したのはパスワード推測だけだった（注5）。 
新しいパラダイムを受け入れ、増えつつあるパスワードへの脅威から自社と顧客を守るために、ユーザーが使いやすく、強固なセキュリティ体制を確立し、自社と顧客の情報を守るための先手を打つべきだ。