Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

パスワード保護とは?

パスワード保護とは、組織のデータを攻撃から守るために既知の弱いパスワードと、その組織に固有の弱い用語を検出してブロックすることです。

詳細情報

パスワード保護とは

パスワード保護は、正しい資格情報によってのみアクセスできるようにすることで、ハッカーから重要なデータを守るためのアクセス制御技術です。

パスワード保護は、ユーザーが利用できる最も一般的なデータ セキュリティ ツールの 1 つですが、ハッカーを想定して作成されていない場合、簡単に突破されてしまいます。組織は、弱いパスワード、繰り返し使われるもの、推測されやすいものをブロックするように設計されたパスワード保護ソリューションを導入することで、より良いパスワード管理を行うことができます。

パスワード保護が重要である理由

パスワードは、オンラインのアカウント、デバイス、ファイルへの未承認のアクセスに対する最初の防衛線です。強いパスワードは、データを攻撃者や悪意のあるソフトウェアから保護するのに役立ちます。パスワードが強いほど、情報の防御も強くなります。弱いパスワードを使うのは、自動車や住宅のドアを開けたままにしておくようなものであり、まったく安全ではありません。

弱いパスワードを使うとどうなるか

人は平均で 150 個を超えるオンライン アカウントを保有しており、パスワード疲れが現実のものとなっています。つい単純なパスワードを使ってしまったり、アカウントごとに別のパスワードを作成する代わりに同じパスワードをいくつものアカウントに使ったりしがちです。しかし、パスワードについて油断していると、個々のユーザーとビジネスにとって壊滅的な結果につながることもあります。

個人にとっては、貴重な個人情報や金銭あるいは医療に関する情報が失われることによって、長期にわたる金銭的損害と評判の低下を被るおそれがあります。被害者は自動車の購入や、アパートの賃借、あるいは住宅ローンの契約ができなくなったり、場合によっては医療サービスを受けられなくなったりすることがあります。多くの人にとって、名誉を回復して元の生活に戻るには時間とお金がかかります。

サイバー犯罪者が組織のデータへの不正アクセスに成功すると、その結末は深刻です。ビジネスの収益と知的財産の巨額の損失が発生し、業務運営が混乱するだけでなく、規制違反の罰金が課せられて評判の低下が長期にわたるおそれがあります。

ハッカーがパスワードを盗む方法は年々巧妙化しています。

パスワード ハッキングの方法

パスワードを盗むには、次のようにさまざまな戦術が用いられています。

  • ブルート フォース攻撃。アカウントとシステムへの未承認アクセスを獲得するために、試行錯誤を繰り返してパスワードとログイン資格情報を割り出す (クラック) という方法です。
  • 資格情報スタッフィング。オンライン アカウントへの未承認アクセスを獲得するために、盗んだユーザー名とパスワードを自動化した方法で使うというものです。
  • 辞書攻撃。パスワードを割り出すために、辞書にある単語を 1 つずつ入力する、その単語を文字や英数字で置き換えた派生形を使う、および漏洩したパスワードとキー フレーズを使うというものです。
  • キーロギング。ソフトウェア プログラムを使ってユーザーのキーボード打鍵を追跡し、PIN、クレジット カード番号、ユーザー名、パスワードなどを盗むというものです。
  • マルウェア (malware) つまり悪意のあるソフトウェア (malicious software)。コンピューター システムに損害を与える、または悪用することを目的とし、多くの場合はパスワードを盗みます。
  • パスワード スプレー。アカウントのロックアウトを回避し、見つからないようにするために、1 つのパスワードを多数のアカウントに対して使うことです。
  • フィッシング。ハッカーが本物の機関や販売業者になりすましてユーザーをだまし、その資格情報を公開させるというものです。

パスワード ハッカーに対する最善の防御方法は次のとおりです。

  • 強いパスワードをすべてのデバイスとアカウントで使用します。
  • リンクや添付ファイルを無条件で信用しないよう注意します。
  • 書類、デバイス画面、キーパッドが他人から見えないように隠します。肩越しにのぞかれてパスワードが盗まれるのを防ぐためです。
  • 個人情報や金銭に関するデータに公共 Wi-Fi でアクセスすることを回避します。
  • ウイルス対策とマルウェア対策のソフトウェアをすべてのデバイスにインストールします。

強いパスワードを作成する方法

強いパスワードは、サイバー攻撃に対して防御するとともにセキュリティ侵害のリスクを下げるのに役立ちます。一般的には、長く (最低 12 文字)、英大文字、小文字、数字、特殊文字が含まれているものです。強いパスワードには、個人情報が含まれていてはなりません。

強いパスワードを作成するときは、次のガイドラインに従ってください。

  • 少なくとも 8 文字から 12 文字を使用します。
  • 英字、数字、記号を組み合わせます。
  • 英大文字を少なくとも 1 文字使用します。
  • アカウントごとに別のパスワードを使用します。
  • 一般的ではない、ありふれていない単語を使用します。歌詞や名言などのよく知られているフレーズから作成すると、パスワードを記憶しやすくなります。たとえば、“Veritable Quandary was my favorite Portland restaurant” という文の各単語の最初の 2 文字ずつを使ってパスワードを作成すると、VeQuwamyfaPore97! となります。

強いパスワードの例を次に示します。

  • Cook-Shark-33-Syrup-Elf
  • Tbontbtitq31!
  • Seat_Cloud_17_Blimey.

弱いパスワードには、個人情報や次のようなキーボード パターンが含まれていることがよくあります。弱いパスワードの例を次に示します。

  • 1234567
  • 1111111
  • Qwerty
  • Qwerty123
  • Password
  • Password1
  • 1q2w3e
  • Abc123

パスワード保護のソリューション

パスワード保護は、データをセキュリティで保護してなりすましやデータ侵害を防ぐために重要です。強いパスワードをオンライン アカウント、デバイス、ファイルに対して使用することは、個人が取れるハッカー対策です。組織の高価値リソースとデータへのアクセスを保護するためのサービスとしては、Microsoft の ID (アイデンティティ) アクセスやパスワードレス保護のソリューションなどがあります。

Microsoft Security についてさらに学ぶ

ID およびアクセス管理のソリューション

サイバーセキュリティ攻撃に対する防御に役立つ、完全な ID およびアクセス管理のソリューションです。

詳細情報

なりすまし

従業員の保護と生産性の維持に役立つ、シームレスな ID (アイデンティティ) ソリューションです。

詳細情報

パスワードレス保護

エンド ユーザーが 1 回見るだけまたはタップするだけでサインインできるパスワードレス認証の説明をご覧ください。

詳細情報

フィッシング

なりすましをベースとする、悪意のあるフィッシング攻撃から組織を守るのに役立ちます。

詳細情報

よく寄せられる質問

  • パスワード セキュリティとは、組織のデータを攻撃から守るために既知の弱いパスワードとその変形、およびその組織に固有の弱い用語を検出してブロックすることです。

    パスワードは、デバイスとオンラインのアカウントへの未承認のアクセスに対する最初の防衛線です。パスワードが強いほど、デバイス、ファイル、アカウントの保護も強くなります。

  • パスワードを保護するための最善の方法は次のとおりです。

    • 強いパスワードを作成します。長さ 12 文字以上で、英大文字と小文字、句読点が含まれるものです。キーボードやキーパッド上で記憶しやすいパスは避けてください。
    • 同じパスワードを複数のアカウントで使用しないでください。
    • パスワードをオンライン上の安全な場所に保管し (たとえばパスワード マネージャーを使用)、オフラインでも保管します。
    • アカウントへのアクセスを獲得するには 2 種類以上の本人確認が必要となる、多要素認証を使用します。
    • ウイルス対策とマルウェア対策のソフトウェアをデバイスにインストールします。これで疑わしいアクティビティが検出されてユーザーに通知されます。

  • パスワードを盗むには、次のようにさまざまな戦術が用いられています。

    • ブルート フォース攻撃。アカウントとシステムへの未承認アクセスを獲得するために、試行錯誤を繰り返してパスワードとログイン資格情報を割り出す (クラック) という方法です。
    • 資格情報スタッフィング。オンライン アカウントへの未承認アクセスを獲得するために、盗んだユーザー名とパスワードを自動化した方法で使うというものです。
    • 辞書攻撃。パスワードを割り出すために、辞書にある単語を 1 つずつ入力する、その単語を文字や英数字で置き換えた派生形を使う、および漏洩したパスワードとキー フレーズを使うというものです。
    • キーロギング。ソフトウェア プログラムを使ってユーザーのキーボード打鍵、たとえば PIN、クレジット カード番号、ユーザー名、パスワードなどを追跡するというものです。
    • マルウェア (malware) つまり悪意のあるソフトウェア (malicious software)。コンピューター システムに損害を与える、または悪用することを目的とし、多くの場合はパスワードを盗みます。
    • パスワード スプレー。アカウントのロックアウトを回避し、見つからないようにするために、1 つのパスワードを多数のアカウントに対して使うことです。
    • フィッシング。ハッカーが本物の機関や販売業者になりすましてユーザーをだまし、その資格情報を公開させるというものです。

  • パスワードの強度とは、パスワードが攻撃に対してどの程度有効かを測定するものです。パスワードの強度はその長さ、複雑さ、推測の難しさによって決まります。

  • 強いパスワードは、サイバー攻撃に対する最初の防衛線であり、セキュリティ侵害のリスクを下げるのに役立ちます。一般的には長く、英大文字、小文字、数字、特殊文字が含まれているものです。強いパスワードには、個人情報が含まれていてはなりません。例を次に示します。

    • Pilot-Goose-21-Cheese-Wizard
    • Pie_Bumpy_Dove_Mac44
    • Oui.Mister.Kitkat.99

Microsoft Security をフォロー