「IDとパスワードによる認証」は、様々なサービスで利用されています。
しかし、IDとパスワードが適切に管理されていないことから、「なりすまし」による不正アクセスを受けて情報漏えいしてしまう情報セキュリティ事故が頻発しています。
IDとパスワードを適切に管理するために、以下の対策を行ってください。
情報セキュリティ事故を起さないための「IDとパスワードの管理」
-
パスワードは絶対に人に教えない
パスワードは「本人だけが知るべき情報」のため、システム管理者であってもパスワードを聞くことはありません。
パスワードは絶対に人に教えないようにしてください。
-
強力なパスワードを使う
以下を参考にしてパスワードは「他人に推測されにくい」ものにしてください。≪パスワード設定のポイント≫
覚えやすい/辞書にある単語や固有名詞を使わない/文字数は8文字以上にする(12文字程度を推奨)
文字の種類は大文字、小文字、数字、記号を組合せる/変換ルールやアナグラムを使う≪強力なパスワードの作成例≫
①好きな英文を考える →Don’t put all your eggs in one basket.
②オリジナルのルールに基づいて文章をつなげる →Dpayeiob (頭文字をつなげています)
③オリジナルの変換ルールで文字を置き換える →Dp@yE!06 (「a」「i」「o」「b」を似た記号や数字に変換しています)参考例ですので上記の文字列をパスワードに使用しないでください。
-
パスワードの使い回しをしない
複数のサービスでパスワードの使い回しをしている場合、1つのパスワードが流出すると他のサービスでも不正アクセスを受ける可能性が高まりますので、パスワードの使い回しをしてはいけません。
RAINBOWユーザーIDとパスワードは学外サービスへの使い回しを禁止しています。
-
パスワード管理ツールにパスワードをそのまま保存しない
「3.パスワードの使い回しをしない」ためには、複数のIDとパスワードを管理しなければなりません。
便利な「パスワード管理ツール」などもありますが、利用する場合は自分の記憶にしかない情報と組み合わせるなどの自分なりの工夫をして、パスワードをそのまま保存しないようにしてください。
-
多要素認証(多段階認証)を使う
「多要素認証」とは、「知っているもの(パスワードなど)」「持っているもの(スマートフォンやICカード、乱数表など)」「本人自身に関するもの(指紋、静脈、虹彩、顔)」のうち2種類以上で認証することです。
IDとパスワードが窃取されてしまったとしても不正アクセスを受けないための技術として「多要素認証」が有効とされていますので、利用可能なサービスがあれば積極的に活用しましょう。
多要素認証の運用状況について
-
ログイン履歴や変更通知メールを確認する
サービスによっては、ログイン履歴を確認したり、設定が変更された際にメール通知を受け取ることができたりしますので、不審なログインや設定変更がないか定期的に確認するようにしましょう。