パスワードポリシーは徹底されている？策定から順守までのポイントをご紹介

パスワードポリシーとは、システムやサービスを利用する際に、ユーザーアカウントのパスワードに使用できる文字数や文字の組み合わせなどを、組織が各々定めたルールのことを指します。

管理者が適切なパスワードポリシーを設けることで、「第三者が簡単に推測できるパスワードを設定してしまい、パスワードが第三者によって不正アクセスに悪用される」といったセキュリティリスクを防止し、セキュリティレベルを上げることが可能です。

多くの価値ある情報を所有する企業や組織において、パスワードポリシーの適切な設定・管理は必須事項です。しかし、ユーザーの利便性や負担も考慮した上で、柔軟なルールのパスワードポリシーを策定することも、何よりも重要な事項となります。

不正アクセスなどのサイバー攻撃から、組織ならびにユーザーの個人データや機密情報を守るためには、パスワードを設定する際のルールや条件を定め、適切なパスワード管理を運用することが欠かせません。

警視庁によると、2023年上半期に検挙された不正アクセスの83.5％が他人の識別符号を用いて不正利用できる状態にする行為でした。つまり、他人のID・パスワードを用いて不正アクセスを試みたことになります。

出典：令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について

複雑なパスワード設定のルールがないと、ユーザーは平易なパスワードを設定し、第三者による不正アクセスを可能なものにしてしまうおそれがあります。
つまり、社内のルールで複雑かつ利便性に問題がないようにパスワードポリシーを設定することが必要です。

ここでは、具体的にパスワードを含めた情報セキュリティポリシーの策定手順について記載します。

策定する手順は、組織の規模や業種によっても大きく異なります。しかし、どのような場合でも、企業全体に適用することになる情報セキュリティポリシーには、異なる部門で連携することへの意識や、明確な行動基準が必要です。

1.体制構築

まず、組織的にセキュリティマネジメントを実施するための体制を構築します。
策定するセキュリティ方針を具体的な企業活動に割り当て、それぞれ担当となる責任者を選定。情報セキュリティポリシーをどこまで適用するか、誰がどの役割を果たすかなどの役割分担も策定します。

情報セキュリティポリシーを策定・運用する上では、各文書や業務範囲の責任者を明確にすることが何よりも大切です。責任を明確にし、該当ポリシーの意図や課題の把握、必要に応じた修正をしやすくします。

2.方針の策定

次に、経営層などのトップマネジメント層が、「自らの責任」で情報セキュリティの維持や運用方針を宣言します。
自社のコーポレートサイトなどで公開することで、顧客や取引先に自組織の考え方を宣言する役割があります。

この宣言をすることで、セキュリティ基本方針が策定され、その方針を元に組織の情報セキュリティポリシーの策定や運用が始まるのです。

3.文書化

方針を策定したら、組織が保有する情報資産をひとつひとつ洗い出し、取り巻くリスクを分析します。

分析した結果、ひとつひとつのリスクに対して、どのようなセキュリティ対策を実施する必要があるのかを決定し、それを文書化します。
各リスクがどの程度の脅威なのかを把握することでセキュリティ対策の優先順を決め、決められた予算の中でどのような対策を講じるべきなのかを明確にします。

文書化することで、利用するセキュリティ製品やその運用方法を明確にし、組織のセキュリティ対策が具体的なものになるのです。

4.周知と実行

最後に従業員へ情報セキュリティポリシーの内容を周知し、それを間違いなく遵守できるように教育する必要があります。ルールを遵守する重要性、そしてルール違反をした際のリスクや組織内でのペナルティを明確に伝えます。

情報セキュリティポリシーは従業員が遵守しなければ、期待した効果を発揮できません。ユーザーひとりひとりの行動が、企業全体に影響する可能性があります。
したがって、この教育こそ、セキュリティポリシーの策定の上で、何よりも重要です。

次に、作成したパスワードポリシーを遵守するために、重要なポイントをご紹介します。

1.従業員への周知や研修を取り入れる

何よりも重要なのが従業員への教育です。システムの管理者も、利用者も同様に必要になります。

ポリシーを策定し、セキュリティ対策を万全にしたとしても、その人の利用の利用方法次第でセキュリティリスクになり得るということを常に理解し、徹底するのに必要なのが教育です。

セキュリティ違反を起こした場合、企業や個人にどのようなリスク（またはペナルティなど）が生じるのかや、適切なツールの使い方を教えたりすることで、少しでもセキュリティリスクを下げることが何よりも大切となります。

2.SSOを導入する

SSOとはシングルサインオンのことをいいます。一度のユーザー認証で、連携する複数のアプリケーションやクラウドサービスへログインできる方法です。

管理するIDやパスワードを減らすことで、ユーザーの利便性だけでなく、複数のパスワードを所持することによるセキュリティリスク（簡易に推測できるパスワードを設定する、パスワードをメモに残す等）を低減する効果があります。

また、SSO連携するにあたり、ユーザーが設定するパスワードポリシーも管理することができるため、もし個別のサービスで安易なパスワードが設定できたとしても、それを認めずに管理者側で設定したパスワードポリシーを強制的に適用させることができます。

3.多要素認証を取り入れる

多要素認証とは、本人を識別するために、2種類以上の認証要素を組み合わせる仕組みです。仮に攻撃者がパスワードを推測・窃取して不正ログインを試みたとしても、多要素認証を導入することで、パスワード入力だけで認証を突破される可能性が減ります。

　【動画】多要素認証（MFA）の組み合わせ例と認証の流れ

さまざまな情報へのアクセスが多く発生する昨今、企業内の情報は重要な資産であり、その情報が正規の方法を用いないで第三者に渡ることは重大なインシデント事項です。

そういった事柄を起こさないようにするために、パスワードポリシーを徹底し、第三者からのアクセスを可能な限り減らしていくことが何よりも重要です。

IDaaSを活用することでパスワードポリシーを徹底することが可能になるため、ポリシーの準拠にお悩みの場合には、ぜひサイオステクノロジーご相談ください。