ユーザＩＤ、パスワードの管理

キーワード

パスワード管理、パスワード管理者、パスワードの付与、パスワードの再発行、ユーザＩＤ管理

パスワードの管理

企業におけるユーザＩＤ管理での留意事項を列挙します。

システム管理者といえども、利用者のパスワードを知るべきではありません。

パスワードの付与: 最初にシステム管理者が利用者に仮パスワードを付与するときは、上記の「よいパスワード」になるようなランダムな文字列を与えて、利用者が最初にアクセスするときに、自分でパスワードを設定させます。
パスワードの変更: 利用者は、できるだけ頻繁にパスワードを変更するべきです。また、一定期間あるいは一定アクセス回数のたびに、強制的にパスワードを変更させる仕組み、８文字以上とか文字種混在の条件を満たさないと受け入れない仕組みなどが必要です。
パスワードの再発行: パスワードは本人以外は知るべきではありません。システム管理者も同様です。本人がパスワードを失念したときは、まず、そのユーザＩＤでの利用を禁止し、改めてユーザＩＤ（同じでもよい）とパスワードを再発行するようにします。
パスワード記録の禁止: パスワードを書いた付箋をパソコンに貼るのは論外。手帳に書くのも落としたとき困ります。特に重要なのが、パソコンの紛失・盗難・廃棄への考慮です。パソコンにパスワードを残さないために、「パスワードを記憶する」にせず、毎回入力させるようにします。

総務省のガイドライン

総務省「国民のためのサイバーセキュリティサイト」２０２２年では、「パスワードの設定と管理のあり方」として、次のように示しています。

安全なパスワードの設定
パスワードの保管方法
: パスワードは、同僚などに教えないで、秘密にすること
パスワードを電子メールでやりとりしないこと
パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと
やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること
パスワードを複数のサービスで使い回さない（定期的な変更は不要）: これまでは、パスワードの定期的な変更が推奨されていましたが、２０１７年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではないと示されました。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

カードのパスワード

キャッシュカードやクレジットカードなどでは、パスワードのことを暗証番号あるいはＰＩＮ（Personal Identification Number）といいます（ＰＩＮコードは、スマートフォンでの所有者を示す暗号番号やWindows10などでパスワードの代わりに使う暗号番号がありますが、ここではカードでの４桁のパスワードに限定します）。この場合は、上述した事項以外に留意すべきことがあります。

ＰＩＮの送付: カードとＰＩＮを同封して送付すると、第三者に利用される危険性があります。それを避けるために別便で送る必要があります。状況が許すならば、カードは郵送、ＰＩＮは電子メールのように別手段にするのが最善です。
ユーザＰＩＮとアドミンＰＩＮ: ユーザＰＩＮとは、カードを利用するときに使うＰＩＮです。これまでに述べたＰＩＮやパスワードは、すべてユーザＰＩＮを対象にしています。
アドミンＰＩＮとは、何らかの理由でカードが読めなくなる（ロックする）ような場合に、管理者がロックを解除するために使うＰＩＮです（ユーザＰＩＮは管理者すら知らないのですから使えません）。アドミンＰＩＮは、カード発行時に管理者が設定したものをそのまま使うケースと、それを利用者が再設定して管理者に伝えるケース（再変更はできないのが通常）があります。

ユーザＩＤ管理

企業におけるユーザＩＤ管理での留意事項を列挙します。

ユーザＩＤとは、利用者識別番号のことです。社員番号をユーザＩＤにしていることもあります。メールアドレスにユーザＩＤを用いていることもあります。
　共通にするか別途にするかは、利便性、管理面、セキュリティ面などから検討すべきですし、別途にしたとき、どのような場合にどれを用いるかも重要なことになります。

パスワードと比較して、ユーザＩＤは極度な秘匿はできません。

しかし、悪意のある第三者にユーザＩＤが漏洩すると、なりすましをされる危険性が増大します。パスワードを併用するとはいえ、ユーザＩＤを知られることにより、パスワード盗取の攻撃が容易になります。ユーザＩＤも（程度の差はありますが）秘密のするべきです。
　不正アクセス禁止法でも、パスワードと同様に、ユーザＩＤの盗取や第三者への漏洩を禁じています。
　ユーザＩＤ管理はパスワード管理と統合したポリシーの下で統合管理をする必要があります。

ユーザＩＤはシステム全体に関係するので、管理者が設定するのが適切です。また、その変更では影響を考慮する必要があり、パスワードのような廃棄・再発行が不適切なこともあります。

ユーザＩＤは一元管理する必要があります。個々のアプリケーションでユーザＩＤを記述するのではなく、一元管理しているデータベースを参照する方式にすること、そのデータベースでは暗号化しておき、特定の復号ツールを介して利用するなどの工夫も考えられます。

パスワード（アカウント）一元管理

（注）アカウントとは、ユーザＩＤとパスワードとを組み合わせたものですが、ここでは、アカウント＝パスワードとしています。

パスワードが漏洩してもリスクを最小限に抑えるには、利用システムごとに異なるパスワードにするのが適切です。反面、あまりにも多くのパスワードを設定すると、自分でもわからなくなります。その解決には、パスワードの一元管理が必要です。
　個人レベルでも大変ですが、多数の利用者が多様な機器を用いる企業ではさらに重要になります。

大量のパスワードを効率よく管理しながら、強固なセキュリティで保護できるパスワード管理アプリがあります。
　パスワード一元管理アプリに必要な機能を列挙します。

セキュリティは十分か。強力な暗号化機能が備わっているか
多くのＯＳや機器に対応できているか
バックアップ機能があるか
利用者が多様なので、シンプルで簡単に使いこなせるか

本シリーズの目次へ