マイクロソフトのパスワードに関するガイダンス

  • Article

こんにちは、プラットフォーム サポートチームの高田です。

今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。

本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。

基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。

IT 管理者向けの、パスワードに関するガイダンスは以下のとおりです。

 

1. 8 文字の最低パスワード長を維持する (必ずしも長いほど良いというわけではない)
非常に長いパスワード要件 (10 文字以上) を強要すると、ユーザーは攻撃者から予測しやすいパスワードを設定する可能性があります。例えば、16 文字のパスワード長を要件として設定した場合、ユーザーは fourfourfourfour や passwordpassword など、とにかく要件を満たすために簡単なパスワードを設定するかもしれません。

また、長いパスワードを要件とすると、すべてのパスワードが最低要件より数文字だけ長いものになる傾向を生みます。この結果として攻撃者は長さを絞り込むことが可能になります。さらに、長いパスワードが要求されると、ユーザーはパスワードを紙に書いたり、別のアカウントにも使ったりと、そのほかにも望ましくない行動をしがちです。

 

2. 文字の組み合わせ (複雑さ) に関する要件を廃止する
パスワードの複雑さ要件があることで、ユーザーは予測しやすいパスワードを設定する可能性が高まることが知られています。

ほとんどのシステムが、大文字や小文字の英字、数字や記号を組み合わせた複雑さの要件を定めていますが、多くの人が同じようなパターン (最初の文字は大文字、記号や数字は最後など) でパスワードを設定しています。攻撃者は、ユーザーのこのような傾向を把握して、パスワードの解読を試みます。

 

3. ユーザーアカウントの定期的なパスワード変更を強制しないようにする
定期的なパスワード変更も、メリットよりもデメリットの方が大きいです。このポリシーがあることで、ユーザーは、連続性のある言葉や数字をつかうようになり、攻撃者は現在のパスワードから次の新しいパスワードを予測しやすくなります。定期的なパスワード変更は長らくセキュリティ上の良いプラクティスと言われていましたが、攻撃者に対しても効果はなく、反対にユーザーの望ましくない行動を招きやすくなります。

 

4. わかりやすい一般的なパスワード使うことを禁止する
ユーザーがパスワードを設定するとき、簡単で分かりやすいパスワードを使わないようにすることが最も大切です。マイクロソフト アカウントでは abcdefg や password、monkey などわかりやすいパスワードの使用を禁止しています。

 

5. 業務アカウントのパスワードを社外他のアカウントに使いまわさないようユーザーを教育する
業務用の ID およびパスワードをその他の場所で使いまわさないようにすることが非常に大事です。

攻撃者は、盗み取ったパスワードを他のサイトでも利用するため、ユーザーは一度パスワードが盗み取られると、他のサイトでも攻撃にあう可能性があります。業務上のパスワードを外部サイトで利用すると、企業への攻撃の可能性が高まります。

必ず明確なセキュリティポリシーを設け、ユーザーが自身の業務上のパスワードを使いまわさないよう周知ください。

 

6. 多要素認証を必ず利用するようにする
ユーザーが、メールアドレスや電話番号、登録端末など、現在最新のセキュリティ情報を組織に登録していることを確認ください。これにより、多要素認証においてこれらの情報を利用しユーザーを確認することや、ユーザーがパスワードを忘れた場合も本人確認が可能となります。また、何者かがアカウントを乗っ取ろうと不正な認証を試行した際も、その通知受けることが可能となります。

事前に登録された正しいセキュリティ情報および多要素認証を利用することで、ユーザーのセキュリティを向上させるだけでなく、ヘルプ デスクのコスト削減にもつながります。

 

7. リスクベース多要素認証の方法を検討する
リスクベース多要素認証は、マイクロソフトが疑わしい行動を検知した際に、そのユーザーが本当に正当なアカウント保持者であるかを確認する仕組みです。リスクベース多要素認証を利用することで、正当なユーザーの負担を抑えながら、セキュリティを高めることが可能です。

補足: 普段はユーザーが日本からログオンしているのにも関わらず、突然外国からログオンが試行された場合や、時間帯、使用デバイスが著しく異なる場合に、状況に応じて多要素認証が必要になるという機能です。