パスワードの基礎知識｜安全を確保するための作り方など徹底解説

クラウドサービスをはじめ、さまざまなWebサービスやシステムを利用する際には頻繁にパスワードを利用します。パスワードは正規のユーザーを認証するために必要であり、情報漏洩やサイバー攻撃から身を守るために必要なセキュリティ対策の一つです。

この記事では、パスワードの基礎知識として、パスワードの概要や、パスワードが必要とされる理由、安全なパスワードの作り方・管理方法、注意点などについて解説します。

パスワードとは

パスワードとは「秘密の言葉」や「暗証番号」のことであり、正規のユーザーを認証するために利用されます。本人しか知らない情報であるため、他者がなりすましたり不正にアクセスしたりできないようにするためのセキュリティ対策の一つになります。

IDとは？ IDとパスワードの違い

パスワードはIDと併せて利用されます。IDとは、身分証明などを意味する「identification」 の略語であり、ユーザーを識別するための番号や名前です。「アカウント」とほぼ同義であり、パスワードとあわせて「アカウント情報」として管理されます。

IDとしてメールアドレスを利用する場合も多く、IDによってユーザーを識別し、そのユーザーしか知らないパスワードと組み合わせることで、正規のユーザーを認証します。

パスワードが必要な理由

前述のとおり、パスワードはIDと組み合わせて利用することで、正規のユーザーを認証するために利用されます。もしも、IDだけでログインできるような仕組みであれば、誰でも対象のIDを騙るだけで不正にアクセスできてしまいます。

例えば、「TaroTanaka」というIDがあったとします。もしそのサービスを使っている人がタナカタロウさんだと分かるような情報があると、他の人でも簡単にそのIDを使って田中太郎さんになりすますことができてしまいます。しかし、ここに本人しか知らない情報であるパスワードを組み合わせることで、IDを知っていたとしても不正にアクセスできなくなります。

パスワードは不正アクセスやなりすましを防ぐために必要なセキュリティ対策です。

安全なパスワードを作成するためのポイント

パスワードはセキュリティ対策として利用されるため、推測されやすいパスワードを設定しては意味がありません。パスワードは「本人しか知らない情報」であることが重要です。IDなどから推測しやすいパスワードや簡単なパスワードを設定すると、不正アクセスやなりすましのリスクを防げません。

安全なパスワードとは、「本人しか知らない情報」であり「推測されづらい」ことが重要です。より具体的には「できるだけ長く」「複雑で」「使い回さない」ことが必要です。

安全なパスワードの作り方は後ほど詳しく解説しますが、まずは推測されやすいパスワードについて理解しておきましょう。

推測されやすいパスワードとは

推測されやすいパスワードの例として、次のようなものが挙げられます。

誕生日や電話番号など個人情報から類推できる数字

誕生日や電話番号などは、IDなどから推測できる情報であるため、パスワードとしてはふさわしくありません。前述の例のように「TaroTanaka」というIDの場合、TaroTanakaさんの誕生日や電話番号は本人以外も知ることができる情報です。そのため、個人情報から類推できる数字は推測されやすいパスワードの代表的な例です。

名前（本人以外の家族・ペットなども含む）

同じように、本人に関連する情報も推測されやすいパスワードです。自分自身の名前はもちろんのこと、家族やペットの名前は個人情報から類推できる情報であるため危険です。その他の名前に関連する固有名詞は、同様に推測できる可能性があるため避けましょう。

一般的な英単語

例えば「password」や「secret」などの英単語は、パスワードとして設定されることが多く、推測されやすいパスワードの例といえるでしょう。その他にも一般的な英単語を設定した場合は、ブルートフォースアタックや辞書攻撃と呼ばれる手口で簡単に突破されてしまいます。

キーボードの配列順の文字列

一般的な英単語とは異なりますが「qwert」などのように、キーボードの配列順の文字列もパスワードとして設定されることが多く、推測されやすいパスワードの例です。同じように「asdfg」や「zxcvb」などのようなパスワードも避けるべきです。

同じ文字の繰り返し

パスワードは長いほど推測されづらく、突破されづらいものとなります。しかし、同じ文字を繰り返す場合はその限りではありません。「aaaaaaaa」や「passwordpassword」のように、同じ文字を繰り返すパスワードは簡単に突破されてしまいます。

短すぎる文字列

前述のとおり、パスワードは長いほど推測されづらいものであり、短すぎる場合は簡単に突破されてしまいます。「aaa」や「pass」のように短いパスワードは、ブルートフォースアタックの格好の餌食です。アルファベットのみのパスワードの場合、6文字でも1秒未満で解析できるとされており、短すぎるパスワードは意味をなさないと考えたほうがよいでしょう。

安全なパスワードの作り方

安全なパスワードは、「本人しか知らない情報」「推測されづらい」ものである必要があります。そのためには、次の基準を満たすパスワードを設定することがおすすめです。

• 最低10文字以上の長いパスワード
• アルファベットの大文字、小文字を含める
•  数字を含める
• 記号を含める
• 意味のない文字列にする

上記の基準は、いずれか一つを満たすのではなく、すべてを満たすことが望ましいといえます。2010年代までは8文字以上といわれていましたが、テクノロジーの進歩によって解析の速度が向上しているため、10文字以上が安全といわれるようになりました。

また、アルファベットの大文字小文字・数字・記号をランダムに混ぜて使用することで、推測されづらくブルートフォースアタックや辞書攻撃などにも強いパスワードが作れます。

加えて、このときに意味のない文字列にすることも重要です。例えば、「P4ssW0rd!」というパスワードは、一見すると前述の基準を満たしているように見えます。しかし、「password」として意味が通じてしまうため、推測されてしまう可能性があります。

「iO$32k9K!qv5」のように、全く意味をなさない文字列にすると、非常に推測されづらく、強度のパスワードとして利用することが可能です。

パスワードの安全な管理方法

パスワードは本人しか知らない情報である必要があり、他者が知り得る状態にしておかないことが重要です。例えば、付箋にパスワードをメモしてディスプレイに貼り付けておく、などは誰でもパスワードを知り得るため危険です。

パスワードを安全に管理する上で、最も安全な方法は自分自身で覚えておくことですが、近年では複数のクラウドサービスや社内システムなどを利用する機会が増えています。そのため、覚えておくことが難しい、という方も多いでしょう。

パスワードを覚えておくための方法の一つとして、「サービスごとにパスワードの前後に固有の文字列を設定し、中間の文字列を固定化する」という方法が挙げられます。例えば、次のようなパスワードを設定することで、パスワードの強度を保ちながら覚えやすいパスワードが設定できます。

• サイトA：Adk88OY!As
• サイトB：Bdk88OY!Bs
• サイトC：Cdk88OY!Cs

それでも覚えることが難しいという場合には、次のような管理方法がおすすめです。

• パスワードマネージャーを利用する
• 紙に書き出し鍵付きキャビネットに保管する
• テキストやExcelファイルに書き出し、暗号化して保存する

パスワードの安全な管理方法については、「パスワードの安全な管理方法とは？リスクや注意点とあわせて解説」の記事でも詳しく解説していますので併せてご覧ください。

パスワードに関する注意点

パスワードを利用・管理する上で、覚えておきたい3つの注意点を解説します。それぞれ重要な注意点であるため、一つずつ見ていきましょう。

パスワードの使いまわしは避ける

近年では一人が利用するWebサービス・システムが多いことから、パスワードを使いまわすケースが多く見受けられます。しかし、パスワードの使いまわしは極力避けなければなりません。その理由として、パスワードを使いまわしていると、仮にあるサービスでパスワードが漏れた場合、芋づる式に利用するサービス・システムすべてで不正アクセスやなりすましの被害に遭う可能性があるからです。

加えて、詳しくは後述しますが「パスワードリスト攻撃」というサイバー攻撃があり、パスワードを使いまわしていると被害が拡大する可能性があります。パスワードの使い回しに関しては、「パスワードの使いまわしは危険？ 知っておきたいリスクと対策」の記事で詳しく解説していますので併せてご覧ください。

定期的なパスワードの変更は必要？

2018年以前までは、定期的なパスワードの変更が推奨されていました。しかし、2018年3月に総務省から「パスワードの定期的な変更は不要」というメッセージが発信され、無理に定期的なパスワードの変更する必要はないという風潮に変わりました。

定期的なパスワードの変更が推奨されていた理由は、パスワードを推測されづらくする、仮に知られても変更しているため対策ができる、というような理由が挙げられます。しかし、定期的な変更を強制するがあまり、ユーザーが脆弱なパスワードを設定する例が多く見られ、むしろパスワードの強度を下げることにつながると考えられるようになりました。

定期的なパスワードの変更が不要という考え方は、日本だけでなく世界的な潮流です。2017年に米国国立標準技術研究所（NIST）が公表したガイドラインでも「サービスを提供する側がパスワードの定期的な変更を要求するべきではない」と記されています。

もちろん、パスワードを定期的に変更すること自体に問題はありません。パスワードを変更する際は、「安全なパスワードの作り方」で解説した基準を満たすパスワードに設定することで、安全性を高く保つことができます。

パスワードを過信しない

「安全なパスワードの作り方」の基準を満たすパスワードは安全性が高いといえますが、過信してはいけません。あくまでも、一般的なパスワードに比べて安全性が高い、ということであり、必ずしも不正アクセスやなりすましを防げるわけではないからです。

どれだけ難解なパスワードを設定したとしても、パスワードの情報自体はサービス・システム上に必ず残っています。何らかの手順でパスワードを一度知りさえすれば、突破することが可能です。実際、弊社が行った漏洩アカウント調査では、調査した数千ドメインのうち99%近くのアカウント情報が漏洩していることがわかっています。

そのため、難解なパスワードを設定したからといっても過信しないことが重要です。近年では、多くのサービス・システムで「二段階認証」や「多要素認証」が導入されるようになりました。これらは、パスワードだけでなくスマートフォンなどを使ったデバイス認証や、指紋などの生体情報を使った生体認証を組み合わせるものです。

「二段階認証」や「多要素認証」など、パスワード以外の認証方法を採用すれば、仮にパスワードが知られてしまったとしても、その他の認証をあわせて突破することは難しいため、パスワードのみの認証よりも不正アクセスやなりすましを防ぐことができます。そのため、パスワードだけでなくその他のセキュリティ対策をあわせて実施することがおすすめです。

パスワードを狙ったサイバー攻撃

パスワードによって守られている情報は、個人情報や機密情報などの価値の高い情報である場合が多く、パスワードを狙ったサイバー攻撃も多数存在します。パスワードを狙った代表的なサイバー攻撃の例としては、次のようなものが挙げられます。

• ブルートフォースアタック（総当たり攻撃）
• パスワードリスト攻撃
•  辞書攻撃

ブルートフォースアタックは総当たり攻撃とも呼ばれ、パスワードのすべての組み合わせを試してセキュリティを突破しようとする攻撃手法です。例えば、000～999の数字のみで構成されたパスワードの場合、すべての組み合わせは1,000通りであり、最大でも1,000回試行すれば突破できます。英字を含めた場合は組み合わせが増えますが、機械的に試行するためいずれは突破される可能性があります。より詳しくは「ブルートフォースアタックとは？被害内容と対策など」の記事をご覧ください。

次のパスワードリスト攻撃は、攻撃者が入手してリスト化したアカウント情報を使い、不正アクセスを行なう手法です。IDとパスワードの組み合わせであるアカウント情報を何らかの方法で入手し、複数のサービス・システムで試行することで不正アクセスを狙います。近年、一人が利用するサービス・システムの量は多くなり、パスワードを使い回すケースも多く見受けられます。そのような場合にパスワードリスト攻撃は非常に効果的です。より詳しくは「パスワードリスト攻撃とは？仕組みや必要な対策など」の記事をご覧ください。

最後の辞書攻撃は、人名やパスワードに使われやすい文字列などを辞書としてリスト化し、試行を繰り返す攻撃手法です。ブルートフォースアタックと組み合わせて利用されることも多く、辞書攻撃があるからこそ意味の通じるパスワードが危険といえます。

このように、パスワードを狙ったサイバー攻撃は多種多様です。個人情報や機密情報をしっかりと守るためにもパスワードの設定・管理には注意し、十分なセキュリティ対策が必要です。

まとめ

パスワードは正規のユーザーを認証するために利用され、不正アクセスやなりすましを防ぐためのセキュリティ対策の一つです。さまざまな場面で利用され、個人情報や機密情報を守るために必要とされています。

安全なパスワードを作成するためには、「本人しか知らない情報」であり「推測されづらい」ことが重要です。より具体的には「できるだけ長く」「複雑で」「使い回さない」ことが必要となってきます。この記事では安全なパスワードの作り方も解説していますので、新しく作成する場合や今使っているものをより安全にしたい場合には、ぜひ参考にしてみてください。

また、パスワードを狙ったサイバー攻撃も多様化しており、パスワードのみの認証は今や安全とは言い切れなくなっています。安全性の高いパスワードを設定したとしても、過信してはいけません。二段階認証や多要素認証などと組み合わせ、強固な認証の仕組みを導入しましょう。