社内の情報セキュリティを確保する上で欠かせないのが、適切なパスワードの設定・管理です。総務省は、安全なパスワードの利用を促すためにガイドラインを公表しているので、ぜひ参考にしてみましょう。実践的なパスワード管理のポイントとともに解説します。

総務省によるパスワードのガイドラインとは?

総務省が公表しているパスワードのガイドラインは、これまで一般的だった「定期的な変更」や「複雑すぎる設定」を見直し、実効性のある管理を重視しています。まずは、パスワード管理の基本方針を理解しましょう。

安全なパスワードの設定・管理に関する指針

従来、パスワードは強固なものでなければならず、定期的に必ず変更することが重要とされていました。しかし、2024年に総務省は「国民のためのサイバーセキュリティサイト」において、パスワードの強度を保ちながらも、利用者が無理なく管理できるのが望ましいとしています。

パスワードの強固さは必要であるものの、単に複雑さを追求するのではなく、利用者が覚えやすく忘れにくい「強いパスワード」が求められるようになりました。

※出典:安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト

パスワードの定期的な変更は不要

上記のように、かつては定期的にパスワードの変更が推奨されていましたが、総務省の最新ガイドラインではこの考え方を改めています。頻繁な変更はユーザーの負担が大きく、結果として単純なパスワード設定やメモへの書き残しなど、逆にリスクを高める恐れがあるためです。

外部への情報漏洩や不正アクセスが疑われる場合を除き、定期的な変更は不要とされています。むしろ、初期設定のまま使用せず、自分だけが分かる強固なパスワードを最初に設定し、使い回さないことが基本となります。

安全なパスワード設定のポイント

上記のガイドラインを踏まえて、安全なパスワードを設定するには、以下のポイントを押さえる必要があります。単に複雑にするだけでなく、予測されにくい内容にするのに加えて、使い回しをしないように徹底しましょう。

機械的な処理で割り出しにくい内容にする

パスワードを設定する際には、総当たり攻撃などの機械的な解析に、十分耐えられる構成にしなければいけません。英大文字・小文字・数字・記号を組み合わせることで、推測の難易度を上げる必要があります。

8文字以上の長さを確保するとともに、辞書に載っている単語や一般的なフレーズは避け、ランダムな文字列や、自分にしか分からない言葉を組み合わせるのも有効です。単なる複雑化ではなく、機械的な予測が困難で、かつ利用者が覚えやすい工夫を取り入れましょう。

他人が類推しやすい情報を避ける

自分や家族の名前・誕生日・電話番号など、身近な情報をパスワードに使うのは危険です。こうした情報は、SNSや公的記録から容易に特定されることが多く、攻撃者の手掛かりとなります。サービス名や、アカウント名を含めるのも避けた方が安全です。

その代わりに、自分に関連性のない単語を組み合わせたり、思い出しやすいフレーズを英数字に変換したりすると、推測されにくく覚えやすいパスワードを作れます。他者が想定できないパターンを意識することが、第三者による不正アクセスの防止につながります。

使い回しをしない

複数のサービスで同じパスワードを使い回すと、一つのサイトから情報が漏れた場合に、他のアカウントも連鎖的に不正利用される危険があります。こうしたリスクを防ぐため、サービスごとに異なるパスワードを設定することが大事です。

ただし、複数のパスワードを覚えるのは難しい場合もあるでしょう。その際はパスワード管理ツールを活用し、安全に保管・管理する方法を検討するのがおすすめです。手間を省こうとして安易に同じパスワードを使うことは、結果的に大きな被害を招く可能性があるので注意が必要です。

パスワードを安全に保管するポイント

いくら強固なパスワードを作成しても、保管方法が不適切であれば、容易に盗まれてしまう可能性があります。総務省のガイドラインでも、パスワードの適切な管理方法が示されているので、確認しておきましょう。

パスワードをメモする場合は、他人の目に触れない場所に保管し、パソコンのディスプレイやデスクの上など、分かりやすい場所に貼り付けるのは避けなければいけません。また、スマートフォンのメモアプリや、電子メールの下書きなどにパスワードを保存するのも非推奨です。

これらの方法では、端末の紛失や不正アクセスによって、パスワードが漏洩するリスクがあります。信頼できるパスワード管理ツールを使用すれば安全に保管できるので、この機会に導入を検討してみましょう。

安全で効率的なパスワード管理を

総務省によるパスワードのガイドラインは、利用者に過度な負担をかけず、実際に安全性を高めるための実践的な指針です。重要なのは、単にパスワードを複雑にするのではなく、推測されにくく管理しやすい状態を保つことです。

定期的な変更よりも、強固なパスワードを長く安全に使い続けるほうが効果的です。日々利用する全てのツールやサービスでこの考え方を徹底し、情報漏洩のリスクを最小限に抑えましょう。

低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる 低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる
編集部のイメージ画像
執筆者

Watchy編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営するクラウドサービスです。企業のIT情報統制の課題やバックオフィスの課題を、情報システム担当者が手薄な状況でも、Watchyが解決。設定・運用の手間を最小化しながら、押さえるべきポイントを確実に押さえた企業統制の実現を支援します。

【株式会社スタメンについて】 東京証券取引所グロース市場上場。Watchy、TUNAGなど、人と組織の課題解決を実現するSaaSを展開。情報セキュリティマネジメントシステム(ISMS)及びプライバシーマークを取得。