半径300メートルのIT："使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか (4/4)

　とりわけ企業においては、従業員のモラルとITリテラシーだけに頼ったセキュリティに限界が来ていると私は思います。報告書では、再発防止策として、真っ先に下記の点が挙げられています。

1 メールシステムへのログイン

メールシステムへのログインについては、外部からは VPN 接続を必須とする運用とし、さらに、内部ネットワークからログインする場合でも、一定期間ごとに二段階認証を求めるよう認証方式を強化した。

　メールシステムへのログインにVPN接続や二段階認証を使っていれば、万が一パスワードが弱かったとしても、突破されることはまれでしょう。この対策は、多くの企業ですぐに導入すべき、重要な対策です。もはや、「二要素認証を入れるとログインがめんどくさい！」と文句を言ってられるような時代じゃなくなってしまいました。

「まだ二要素認証が入ってない企業」にお勤めの皆さまへ

　最後に、私から皆さんにとても重要なことをお伝えします。

　もしあなたの会社に二要素認証が存在しない場合、絶対にやってはならないことがあります。それは「個人で利用しているパスワードを、会社のシステムのパスワードとしても使い回す」こと。もう一度言います。これは、絶対にやってはなりません。

　その理由は簡単で、「個人で利用しているパスワードが、ばんばん流出しているから」。その事実をありありと見せてくれるのが、以前も紹介したWebサイト「Have I Been Pwned」です。

　著名なセキュリティ研究家、トロイ・ハント氏によるこのWebサイトでは、自分のメールアドレスを入力するだけで、それが過去の漏えい事件で被害に遭ったかどうかを判定してくれます。その根拠になっているのが、これまで発生したID／パスワード漏えい事件の情報。同サイトがこうした情報から収集した“被害パスワード”は53億件に上りますから、もはや「あなたのパスワードはどこかで漏れている」という前提で考えるべきかもしれません。

「Have I Been Pwned」のトップページ。本校執筆時点で53億件を超える「漏えいパスワード」がある

（参考）

• 漏えいパスワードのリストを見て分かった“強いパスワード”の作り方

　また、もしあなたが企業のパスワードを個人利用のパスワードとしても使っている場合、リスクが格段に高くなります。ちょっと調べれば、あなたの会社のメールアドレスくらい簡単に分かるでしょう。そのIDと、個人用サービスから漏れたあなたのパスワードを使って、昨今当たり前になった企業のクラウドメールサービスにログインできてしまったら――今回の産総研と同じことが、あなたの企業にも起きてしまうでしょう。

　もし二要素認証の仕組みがあなたの企業に導入されていないのであれば、VPNサービス用、メールシステム用だけでも、個人利用のものとは違うパスワードを設定してください。同時に、本コラムのURLを企業のIT管理者に送って、「ウチは大丈夫なの？」と伝えていただければ幸いです。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法～1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。