docomo business Watch

DXの課題を解決するヒントをお届け

docomo business Watchはドコモビジネスが運営しています。

中小企業の社員が今日からできるPW強化策

中小企業の社員が今日からできるPW強化策

小西 一禎(ジャーナリスト 元米国在住駐夫 元共同通信政治部記者)ハイブリッドワークやクラウドサービスを使った仕事が浸透して、ネットに関するセキュリティーのトラブルについてのニュースもよく耳にします。セキュリティー対策が重要なのは理解しているものの、コストや手間はかけづらい……。そんな中小企業のために、明日からできるセキュリティー対策を独立行政法人情報処理推進機構(IPA)の江島将和さんに聞きました。社員一人一人が今日からできるパスワード対策のイロハとは? 江島将和(えじま・まさかず)独立行政法人情報処理推進機構(IPA)普及啓発グループ グループリーダー。
外資系コンピューターウイルス対策メーカー、セキュリティーコンサルティング会社を経て現職。IPAでは、情報セキュリティーの調査、研究および普及啓発業務に従事し、「中・小企業の情報セキュリティー対策ガイドライン」改訂や「SECURITY ACTION」制度創設に携わる。

目次

メルマガを登録する!(無料)

セキュリティー対策は優先度が低い

――セキュリティーに関する意識は、中小企業と大企業で、どこが違うのでしょうか。

江島:経営リソースの違いという風に見ています。どこにお金をかけるかということです。

ある程度の大きな組織ができて、社会的責任や影響力を考えるようになると、企業は対策にもお金を払いますし、事業継続に関する意識もやはり高いのでお金を費やします。その点、優先順位で中小企業はやはり低くなるのでしょう。

scanrail / iStock
scanrail / iStock

以前、コンサルティング会社に勤めていましたが、中小企業からスタートして、会社が大きくなり、上場するというタイミングになると、内部統制の仕組みの有無や、セキュリティー対策を考えるような会社が目立ちました。それらがないと、上場の足かせになるからです。

セキュリティー投資「必要ない」が約4割

――中小企業の経営者にとって、セキュリティー意識はどのように位置付けられるのですか。

江島:IPAが2016年度、2021年度に実施したセキュリティーの実態調査があります。

約4千の中小企業を対象にしたアンケートではセキュリティーに対する意識の低さが浮き彫りになりました。2回目の調査の方が若干伸びてはいますが、まだまだ低い状況にあります。

「直近3年間で、セキュリティー投資を行ったか」の問いに対し、約3割が投資をしていませんでした。

うち、最も多い理由が「必要性を感じていない」で4割に上っています。次いで「費用対効果が見えない」「コストがかかりすぎる」がそれぞれ2割ぐらいです。

Tippapatt / iStock
Tippapatt / iStock

対策① 相手の脅威や攻撃を知る

――従業員レベルで実際に取り組める点は、どういったことでしょうか。

江島: まずは、OSやソフトウェアのアップデートです。そして、ウイルス対策ソフトを導入し、パスワードの強化をしてもらいたいです。

共有設定の見直しも大事ですし、脅威や攻撃の方法をぜひ知っておいてほしいです。

脆弱性を突くサイバー攻撃と、ウイルス感染を狙う攻撃の2つがインターネットの普及とともに出現しました。

最近では、クラウドの利用で、パスワードを狙った攻撃も増えています。中小企業だけでなく、個人でも気を付けるべきかと思っています。

hanieriani / iStock
hanieriani / iStock

共有設定の見直しは、なかなか理解いただけないのですが、ビジネスの場でもSNSで公開したくない範囲まで公開してしまったようなことが起きています。

外部から、会社の複合機でスキャンして作ったPDFが、ハードディスクに残ったままで、外部からのぞかれてしまうケースも報告されています。

迷惑メール・ショートメールも巧妙になっています。

人をだますという手口は昔から古典的にありますが、脅威や攻撃の手口を知るのは非常に重要です。

alexsl / iStock
alexsl / iStock

オレオレ詐欺に、引っかかる人はかなり減ったかと思いますが、ショートメールで「不在通知」などと送られてくることがありますよね。

そうしたパターンを知っていれば、「最近よく聞くあの攻撃だな」と気付くことができます。

対策② 3つのキーワードと10桁以上でPW強化

――パスワード強化で、お勧めの方法はありますか。

江島:3つのキーワードを長く複雑にしつつ、使い回さないことを推奨しています。

長さは、以前は8桁を勧めていましたが、今は10桁ぐらいあってほしい。複雑さでは、数字や記号をできるだけ混ぜてもらいたいです。

使い回さない、というのは、1つのサイトからIDやパスワードが漏れると、それを使って別のサイトにログインする「パスワードリスト攻撃」が増えているためです。

IDは、大体がメールアドレスですので、同じパスワードを使い回すと、本当に危ないです。

filistimlyanin / iStock
filistimlyanin / iStock

1つのパターンとしてお勧めするのは、いつも使っているパスワード、「マスターパスワード」に変化をつけることです。

例えば、いつも使う8桁のパスワードがあれば、その後ろに「-」をつけて、ヤフーだったら「-Y」、アマゾンだったら「-A」とかを加えれば、記号も入りますし、使い回しにもなりません。

ただ、私がよく話しているので、攻撃者もそのパターンを織り込んでいるかもしれませんが、「‐」を「!」に変更するとか、頭に持ってくるなどして、自分で分かるようなパスワードルールを作ってしまえばいいと思います。

tsingha25 / iStock
tsingha25 / iStock

対策③ 理想はワンタイムPWや顔認証・指紋認証

――ブラウザーが自動生成するパスワードや、ワンタイムパスワード、顔認証などもあります。

江島:自動生成パスワードは推奨していません。その情報を盗まれて、不正ログインされた事例が報告されていますし、そもそもパソコンなどを紛失して、誰かがログインしたら不正利用される可能性があります。

ワンタイムパスワードの活用は理想的です。顔認証や指紋認証もお勧めしています。セキュリティーレベルは、一般的なパスワードよりも高いです。

誤検知とか誤認証はかなり少ないと認識しています。もちろん、20桁などの長いパスワードとか使っていれば別かもしれませんが。

metamorworks / iStock
metamorworks / iStock

懸念するChatGPTの浸透

――ChatGPTとパスワードが、今後悪い方向性で関連付くような恐れはありますか。

江島:ChatGPTは、ネットから情報をかき集めてきます。

私が、先ほど申し上げたパスワードの作り方のお勧めなどの情報も引っ張ってきて、パスワード解析に関する知識も、どんどん蓄積されることでしょう。それを悪用するケースが出てくることは想像できます。

Userba011d64_201 / iStock
Userba011d64_201 / iStock

――この先、どのような手立てで警鐘を鳴らしていく考えですか。

江島:銀の弾(解決が困難な諸問題を一撃で解決するような万能な解決策)と言いますが、これをやればうまくいくというのは、なかなかないのが実態ですので、多方面で多角的に取り組んでいこうと考えています。

インシデントを巡る実態調査を行い、被害事例集を作って、啓発ツールとして使っていく方法もあります。IPAは今後も中小企業の皆様のセキュリティー意識向上に取り組んでいきたいと考えています。

mapo / iStock
mapo / iStock

サイバー攻撃に限らず、犯罪をすべて止めることはできません。いくら気を付けても、交通事故はなくならないのと同じです。

ガイドラインを活用していただき、「自分たちは被害にあわない」と考えず、できるところから自衛していただければと思います。

IPAが掲げた「情報セキュリティー5か条」
1.OSやソフトウェアは常に最新の状態にしよう!
2.ウイルス対策ソフトを導入しよう!
3.パスワードを強化しよう!
4.共有設定を見直そう!
5.脅威や攻撃の手口を知ろう!

この記事はドコモビジネスとNewsPicksが共同で運営するメディアサービスNewsPicks +dより転載しております 。
取材・文:小西一禎
デザイン:山口言悟(Gengo Design Studio)
編集:比嘉太一、野上英文

メルマガを登録する!(無料)

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

検索