規制対象業界におけるパスワードのベストプラクティス：実践的なセキュリティガイド

パスワードのベストプラクティスは、実際に効果のある、短く退屈なリストに集約されます。それは、パスワードマネージャーを使用してすべてのアカウントに長く固有のパスワードを生成し、多要素認証（MFA）を有効にし、サービス間で同じパスワードを再利用しないことです。医療、法律、金融分野のチームにとって、最大の危険は、パスワードが単純すぎることではなく、再利用または盗まれたパスワードです。現在、ほとんどのアカウント侵害は、攻撃者が推測したものではなく、既に持っている認証情報から始まります。そのため、真の目標は、パスワードの再利用をなくし、2要素認証を追加することです。

​

主なポイント

• パスワードマネージャーと多要素認証（MFA）を組み合わせることで、自動化されたアカウント乗っ取り攻撃の大部分を阻止できます。巧妙な文字列を暗記するのではなく、この組み合わせこそがパスワードセキュリティの核心です。
• パスワードの使い回しが最大の脆弱性です。業界調査によると、ほとんどの人がパスワードを使い回しているため、一度の侵害で、そのパスワードを共有するすべてのアカウントに被害が及ぶ可能性があります。
• 弱いパスワードは通常、ランダムではなく予測可能です。季節ごとの名前の入れ替え、ペットの名前、会社名などは、攻撃者が最初に試すものです。
• 脅威はパスワードの推測から盗難へと変化しており、そのため、単純な文字の複雑さよりも、パスワードの一意性や多要素認証（MFA）が重要になっている。
• 仕事上の信用情報と個人的な信用情報は決して混同すべきではありません。これらを分けておくことで、どちらかが漏洩した場合の被害を最小限に抑えることができます。

​

パスワードに関するベストプラクティスとは何ですか？

パスワードのベストプラクティスとは、アカウント認証情報が推測、解読、再利用、盗難されるのを防ぐための習慣と対策のことです。これには、パスワードの作成方法（長さとランダム性）、保存方法（付箋、スプレッドシート、ブラウザではなくパスワードマネージャーを使用する）、保護方法（多要素認証）、共有方法（安全なチャネルのみを使用する）などが含まれます。標準化団体による最新のガイダンスは、複雑な文字規則や頻繁な変更を強制するのではなく、長さ、一意性、強力な第二要素認証を重視する方向へとシフトしています。

​

パスワードセキュリティがこれまで以上に重要になっている理由

攻撃者の手口は変化しました。10年前は、弱いパスワードを総当たり攻撃で突破しようとする者が主な脅威でした。しかし今日では、認証情報の窃盗がより大きな脅威となっています。攻撃者は、データ侵害、フィッシング、情報窃盗マルウェア（感染したデバイスから保存されたパスワードやログインセッションを密かに収集するソフトウェア）などを通じて有効なパスワードを入手し、そのままログインします。Verizonのデータ侵害調査レポートによると、盗まれた認証情報は、攻撃者が最初に侵入する最も一般的な方法の1つであり、IBM X-Forceは、エクスプロイトではなく、有効な盗まれた認証情報を使用した侵入が多数発生していると報告しています。

​

これには実際的な理由が一つあります。攻撃者が既に有効なパスワードを購入または盗み出した場合、そのパスワードの強度だけではもはや保護になりません。保護となるのは、パスワードが固有のものであること（つまり、他のアカウントのロックを解除できないこと）、そして盗まれたパスワードとアカウントの間に第二要素が存在することです。機密情報を扱う規制対象チームにとって、この変化こそが、以下の対策を講じる根拠のすべてです。

​

強力なパスワードとは？

パスワードを強力にする3つの要素は、長さ、ランダム性、そして一意性です。長さは最も重要です。米国国立標準技術研究所（NIST）は、特別刊行物800-63B-4で、単一要素として使用するパスワードの最低文字数を15文字（最大64文字まで対応）と推奨しており、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、少なくとも16文字を目指すことを推奨しています。ランダム性とは、辞書に載っている単語や個人情報を避けることを意味します。一意性とは、アカウントごとに異なるパスワードを使用することを意味します。

​

ランダムな文字列に代わる便利な方法として、パスフレーズがあります。パスフレーズとは、4～7個の無関係な単語を並べたもので、長く、解読が難しく、覚えやすいのが特徴です。CISAは、いくつかの無関係な単語を組み合わせたフレーズなどを例として挙げています。

​

​

実際のところ、以下のような違いがあります。

​

​

強力なパスワードを作成する方法

最も速く確実な方法は、パスワードマネージャーにパスワードを生成させることです。手動でパスワードを作成する必要がある場合（たとえば、マネージャーのロックを解除するマスターパスワードなど）は、パスフレーズを作成してください。

​

1. 関連性のない、ランダムな単語を4～7個選びましょう。あなた自身、あなたの雇用主、または日付に関連する単語は避けてください。
2. これらを1つのフレーズにまとめてください。スペースは残しても削除しても構いません。
3. 複雑さよりも長さを重視する。記号だらけの短い文字列よりも、長いフレーズの方が効果的だ。
4. 必ず一箇所のみで使用し、他の場所では使用しないようにしてください。
5. 決して平文で保存しないでください。マスターパスワードは記憶しておき、残りのパスワードは管理者に保管させてください。

​

予測可能な構成要素は一切使用しないようにしましょう。攻撃者は辞書攻撃（一般的な単語と既知のパスワードのリストを使用した自動推測）やクレデンシャルスタッフィング（他の情報漏洩で流出したユーザー名とパスワードの組み合わせを再利用）を実行します。NordPassの調査で頻繁に確認されている「123456」、「admin」、「password」などの一般的な漏洩パスワードは即座に破られてしまいます。ペットの名前、会社名、季節と年といった文脈を利用したパスワードも同様です。

​

パスワードの使い回しをやめる：最も重要な対策

習慣を一つ変えるなら、まずはこの習慣を変えましょう。セキュリティ調査で引用されているアンケートによると、ほとんどの人が複数のアカウントでパスワードを使い回しており（Forbes Advisorは78%前後と報告しています）、SpyCloudの侵害分析では、情報漏洩で身元が特定された人の多くが、以前に漏洩したパスワードを使い回していたことが判明しています。パスワードの使い回しは、たった一つの情報漏洩を連鎖反応へと変えてしまう原因です。あるサービスが侵害されると、攻撃者はあなたのメールアカウントへの鍵を手に入れ、あなたのメールアカウントは他のすべてのサービスのパスワードリセットの鍵となってしまうのです。

​

ここから2つのルールが導き出されます。まず、例外なくサービスごとに1つのパスワードを使用してください。次に、仕事用と個人用の認証情報は完全に分離してください。ストリーミングサービスのパスワードを会社のシステムで使用するべきではありませんし、会社のパスワードを個人アカウントの保護に使用するべきでもありません。分離はマナーではなく、セキュリティ対策として捉えてください。そうすることで、一方のシステムで情報漏洩が発生した場合でも、被害範囲を限定し、他方のシステムへの影響を最小限に抑えることができます。

​

パスワードマネージャーとは何ですか？また、使用すべきでしょうか？

パスワードマネージャーとは、暗号化された保管庫内にパスワードを生成、保存、自動入力するアプリケーションです。強力なマスターパスワードを1つ覚えておけば、あとはマネージャーが、覚えきれないような長いランダムパスワードも含め、他のすべてのパスワードを記憶してくれます。また、脆弱なパスワードや重複したパスワードを警告してくれるので、修正することができます。CISAやほとんどのセキュリティチームは、パスワードマネージャーを、すべてのアカウントで強力で固有のパスワードを現実的に作成するための最も簡単な方法として捉えています。

​

大きく分けて2つのカテゴリーがあります。 Personal パスワードマネージャーは、個人ユーザーや小規模チーム向けに提供されています。 Enterprise 多くの場合、特権アクセス管理（PAM、価値の高い管理者資格情報を保護および監視する手法）の一部であるソリューションは、集中管理、アクセス制限、監査、およびシングルサインオン（SSO、ユーザーが一度認証するだけで複数の承認済みアプリケーションにアクセスできる機能）を追加します。ただし、重要な資格情報をブラウザの内蔵ストレージに保存することは避けてください。ブラウザに保存されたパスワードは、専用の暗号化されたマネージャーに保存されたパスワードよりも、侵害されたり盗まれたりしたデバイスから簡単に抽出される可能性があるためです。

​

多要素認証（MFA）を有効にする

多要素認証（MFA）では、パスワードに加えて、認証アプリからのコード、ハードウェアキー、生体認証など、2つ目の本人確認手段が必要です。盗まれたり推測されたりしたパスワードだけでは侵入できないため、MFAは自動化された大量攻撃の大部分を阻止できます。CISAとMicrosoftはともに、MFAを基本的なセキュリティ対策として推奨しています。

​

すべての要素が同等に重要というわけではありません。サポートされている場合は、FIDO2およびWebAuthn規格に基づいたフィッシング対策に強い方法、特にパスキー（デバイスに紐づけられた暗号鍵で、パスワードを完全に置き換え、単なる第二要素ではなく単独のログイン方法として機能する）を優先してください。SMSで送信されるワンタイムコードは、SIMスワッピングやSS7プロトコル攻撃（ネットワークレベルでSMSメッセージを傍受できる）に対して脆弱であるため、最も弱い共通要素です。NISTとCISAは、より強力な選択肢がある場合は、ワンタイムコードに頼らないよう勧告しています。

​

パスワードは定期的に変更すべきでしょうか？

いいえ、少なくとも一般ユーザーアカウントについては、決まったスケジュールで変更する必要はありません。NISTは現在、ユーザーパスワードの定期的な強制変更を推奨していません。強制的な変更は、ユーザーを予測可能なパターン（例えば、Summer2025がSummer2026になるなど）に誘導し、パスワードを書き留める習慣を助長するからです。代わりに、パスワードを変更するのは、既知の侵害または疑われる侵害、侵害通知、あるいは管理不能になった認証情報など、正当な理由がある場合に限ります。「おそらく大丈夫だろう」と思っていても、侵害が確認された場合は、パスワードを変更する十分な理由となります。（ただし、高度な権限を持つ管理者認証情報は例外で、定期的に変更されることがよくあります。）

​

パスワードを安全に共有する方法

認証情報をどうしても共有しなければならない場合もあります。その場合、パスワードだけでなく、共有するチャネルも重要です。Slack、メール、テキストメッセージなどでパスワードを送信してはいけません。これらのチャネルでは、パスワードが検索可能な履歴に残ったり、転送されたり、アカウントが侵害された場合に漏洩したりする可能性があるからです。代わりに、パスワードマネージャーの安全な共有機能を使って共有しましょう。この機能を使えば、認証情報は暗号化されたままになり、後でアクセス権を取り消すこともできます。チャットやメールでパスワードがやり取りされた場合は、漏洩している可能性があるとみなし、定期的にパスワードを変更してください。

​

規制対象業界におけるパスワードのベストプラクティス

医療機関、法律事務所、金融機関は、対象となるアカウントが規制対象データを保護することが多いため、特別な義務を負っています。医療分野では、これには保護対象医療情報（PHI、個人識別可能な医療データ）が含まれます。フレームワークは、認証情報の衛生管理が満たすのに役立つ期待値を設定しています。たとえば、HIPAAセキュリティルールは、PHIを扱うシステムへのアクセス制御と認証保護を要求しており、固有の認証情報とMFAは、これらの要件をサポートする実用的な方法です。（HIPAAはまた、ベンダーとの関係も規定しています。 Business 提携契約（BAA）とは、サービス提供者が個人健康情報（PHI）を保護する責任を負うことを定めた契約のことである。

​

留意すべき点が一つあります。コンプライアンスとセキュリティは関連していますが、同一ではありません。パスワードポリシーは、技術的には古いチェックリストを満たしていても、実際のリスクはそのまま残ってしまう可能性があります。また、厳格に見えるポリシー（頻繁な強制変更、複雑な文字ルールなど）は、長さ、一意性、パスワードマネージャー、多要素認証（MFA）に基づいたシンプルなポリシーよりも、実際には脆弱になる場合があります。規制対象チームにとっての目標は、監査人に対して正当性を証明でき、かつ今日の攻撃者の手口に対して真に効果的なポリシーを策定することです。強力で固有の認証情報、多要素認証（MFA）、安全な共有、暗号化された保管庫は、使いやすさを損なうことなく、HIPAA、SOC 2、ISO 27001などのフレームワークで認められている管理策をサポートします。

​

よくある質問

​

最も安全なパスワードの種類は何ですか？

最も安全なパスワードは、パスワードマネージャーで生成・保存される長くてランダムなパスワードです。なぜなら、それを覚えたり入力したりする必要がないからです。どうしても覚えなければならないパスワードは、4～7個の無関係な単語からなるパスフレーズにすると、長さと記憶しやすさを両立できます。どちらの場合も、パスワードは単一のアカウント専用のものにする必要があります。

​

避けるべき最も一般的なパスワードは何ですか？

NordPassの年次分析など、侵害された認証情報に関する調査では、常に同じものが上位に挙げられています。それは「123456」「admin」「password」です。辞書に載っている単語、名前やペットの名前、会社名、季節と年を組み合わせたものなども、同じ罠に陥ります。これらは自動攻撃者が最初に推測する候補なので、完全に避けるべきです。

​

パスワードマネージャーは安全ですか？

はい、ほとんどの人にとって、信頼できるパスワードマネージャーは、使い回し、脆弱なパスワード、付箋といった代替手段よりもはるかに安全です。保管庫は暗号化されており、MFAを有効にした強力なマスターパスワード（理想的にはパスフレーズ）を1つだけ保護すれば済みます。また、その利便性のおかげで、数十ものアカウントで強力で固有のパスワードを現実的に使用できるのです。

​

パスワードはどのくらいの長さにするべきですか？

長いほど強力です。NISTは、単一要素パスワードの最低文字数を15文字とし、少なくとも64文字までの長さを推奨しています。一方、CISAは最低16文字を目指すことを推奨しています。パスフレーズは、覚えにくいものにすることなく、この長さを実現する簡単な方法です。

​

パスワードは定期的に変更すべきでしょうか？

通常のアカウントでは、決まったスケジュールで変更する必要はありません。NISTは、定期的な強制変更は予測可能なパターンを助長するため、推奨していません。情報漏洩の通知や侵害の兆候など、実際に変更すべき事案が発生した場合にのみ、パスワードを変更してください。

​

ブラウザにパスワードを保存するのは安全ですか？

重要なアカウントについては、ブラウザの内蔵パスワードストレージよりも専用のパスワードマネージャーの方が安全です。ブラウザに保存されたパスワードは、紛失、盗難、またはマルウェアに感染したデバイスから簡単に抽出される可能性があります。ブラウザのログイン情報保存機能は、重要度の低いアカウントにのみ使用するか、全く使用しないようにしましょう。

​

同僚とパスワードを共有するにはどうすれば良いですか？

パスワードマネージャーの安全な共有機能を使用してください。この機能を使えば、認証情報は暗号化された状態で保存され、後でアクセス権を取り消すことができます。Slack、メール、テキストメッセージなどで送信しないでください。もしパスワードがこれらのチャネルを経由して送信されたことがある場合は、すぐに変更してください。