企業パスワードポリシーのハウツーガイド(活用例7つ紹介)
デバイスがあればパスワードポリシーが必ず存在します。特に職場では決して大げさではありません。ミクロ視点から見ると、スマートフォンに要求される6桁コードは、マイクロパスワードポリシーです。
企業データの保護におけるパスワードの役割は決して過言ではありません。米国の国営金融機関であるノースダコタ銀行(BND)は、不適切なパスワードによる企業データ漏洩について「81%」という驚異的な数字を言及しました。
パスワードセキュリティは、多発するサイバー攻撃に対する最初の壁として、十分に整備された戦略でなければなりません。企業のパスワードポリシーは、最低6桁のパスワード以上のものです。この記事が役に立ちます。次に、組織に適切なパスワードポリシーを設定する方法を読み続けてください。
1パスワードポリシーとは
パスワードポリシーが企業レベルに関わる場合、パスワードに何桁の数字を設定すべきかという問題だけではありません。パスワード管理に関する活動やツールも考慮する必要があります。
それでは、企業のパスワードポリシーとは何でしょうか?これは、パスワードの使用を標準化し、企業資産をさらに保護するために、組織によってもたらされ、従業員によって実行されるパスワードポリシーです。ポリシーは以下の面をカバーすべきです:
- パスワード設定要件
- 業務用デバイスにパスワードを保存、保護、管理する規定
- パスワードのセキュリティ管理に関するガイドライン
- その他には社員研修、重大な損失が発生した場合の企業対応などがあります。
ルールの有効性を維持するために、企業はパスワードポリシーを定期的に検証し、更新する必要があります。強力な企業パスワードポリシーは、外部からのサイバー脅威、不正アクセス、人為的ミスによるデータ漏洩に対処するのに効果的です。これは、企業データの機密性、完全性、可用性を確保するのに不可欠です。
2準備編:企業のパスワードポリシーを作成する前にすべきこと
パスワードポリシーを策定する前に、企業はそれが確実に機能するよう、いくつかの準備が不可欠です。以下はその6つのステップです。
1. パスワードを設定するアイテムを把握する
企業資産を収集し、OA(オフィスオートメーション)システム、パソコン、ノートパソコン、スマートフォン、業務用アプリケーションなど、パスワード保護が必要なものを決定すべきです。
特に、機密性のレベルと侵害された場合の潜在的な影響に基づいて、これらの項目に優先順位を付けることが重要です。こうすることで、ITチームは強度の異なるパスワードルールを目的に合わせて使用できます。
2. 安全性の高い認証方法や技術をチェックする
シングルサインオン(SSO)、ワンタイムパスワード(OTP)、二要素認証(2FA)、多要素認証(MFA)などがよく使われています。これらの方法は、ユーザーアカウントのセキュリティを大幅に強化し、不正アクセスから保護することが可能です。
3.企業向けのパスワード管理ツールを選ぶ
SaaS市場には、エンタープライズクラスのパスワード管理ツールが数多く存在します。 レビューやテストを確認した上で、実績のある製品を選びましょう。パスワードマネージャーは、複雑でユニークなパスワードの生成、マルチベリフィケーション、アラートなどに役立ちます。
さらに、MDMやEMMソリューション を使用して、会社所有のデバイスや従業員所有のデバイスを保護・管理することもできます。これらのツールは、物理的な資料やデータを保護します。 さらに、パスワードポリシーの作成、デバイスやアプリケーションの使用制限、 キオスクモードの使用、リモートワークフローの自動化も可能です。
- キオスクモード
- アプリケーション管理
- ジオフェンシングとトラッキング
4. パスワードのセキュリティと管理を担当社員を指定する
企業資産のパスワードは非常に大きなものになる可能性があります。 一人の従業員でも、業務中に複数のパスワードを使用する可能性が高いです。そのため、パスワードのセキュリティと管理を担当する専門家チームを作る必要があります。
担当者には、脆弱性の検出、パスワードログの確認、パスワードのリセットと変更リクエストの受付、デバイスの紛失などの緊急事態への対応、研修などが含まれます。
専門チームを設置することで、企業は従業員がパスワードポリシーを遵守していることを確認できます。これにより、データ漏洩を防ぎ、全体的なセキュリティを向上させます。
5. 従業員に対するパスワードの作成と保存の要件を明記する
これにより、従業員のパスワードセキュリティに対する意識を高め、より複雑なパスワードを作成するよう促すことが可能となります。
6. 企業のパスワードセキュリティポリシーの実施計画を作成する
ポリシーの概要、やるべきこと、責任者などを説明します。この計画には、パスワードを正しく使用する詳細なガイドラインと、そのガイドラインに従わない従業員に対する結果も記載する必要があります。
3企業のセキュリティを向上させるベストなパスワードポリシープラクティス7選
行動を起こす時です。では、優れたパスワードポリシーの最良事例を紹介しよう。ここでは、従業員が守るべきパスワードポリシーと、組織がその実施を確実にする方法を挙げます。
110文字以上のパスワードを設定する
パスワードは10桁以上にすることが推奨されています。そうすれば解読が難しくなるからです (出典:www.security.org)。
インターネット上には、8桁のパスワードがベストだという記述がたくさんあります。これはデバイスのオペレーティングシステムによって大きく異なります。しかし、Statistaによると、8桁のパスワードを機械が22分で解読できるようになったそうです。
パスワードが長ければ長いほど、予測は難しくなり、安全性は高まります。このグラフは、両者の関係をより分かりやすく示しています。d.
出典:Hive Systems Password Table
しかし、これは従業員が無制限のパスワードを設定する必要があることを意味するわけではないのです。業務で使用するパスワードを作成する際には、覚えにくさを考慮する必要があります。覚えられないからといって、毎日パスワードをリセットするのは絶対に避けたいものです。
業務用デバイスのパスワードの長さ制限も考慮すべきです。 適切な長さのパスワードを設定することが最良の選択です。Androidデバイスは16桁まで、iOS デバイスは6桁までです。 モバイルデバイスのパスワードポリシーについてさらに詳しくお知りになりたい方は、こちらをご覧ください。
2パスワードには多種類の文字が含まれる
C複雑さも、企業のパスワードのセキュリティを高める方法のひとつです。強力なパスワードには、大文字、小文字、数字0~9、アルファベットなどの文字を含める必要があります。従業員は、推測や ブルートフォース攻撃を防ぐため、パスワードを作成する際にこれらの要件を満たすことをお勧めします。
では、強力なパスワードとはどのようなものでしょうか。ここでは、パスワードの複雑性に関する最適な例をいくつか紹介します。
- Z6jk3%ec4@
- #Zjn6a$7rO
- EM%ub4!2v5
パスワードの強度をテストしたい場合は、パスワード強度チェックツールが効率的です。テストを開始するには、ここをクリックしてください。
3繰り返し文字の使用を避けて、代わりにパスフレーズを使う
攻撃者は、繰り返される文字やパターンを使用したパスワードをすぐに推測したり、クラックしたりすることができます。このような状況を防ぐため、従業員は業務関連のパスワードに、同じ文字を2桁以上(例:111やaaa)、または連続した文字を2桁以上(例:123やabc)使用することは避けてください。
「Miloismydog のようなパスフレーズは、覚えやすいが解読が難しい、会社のパスワードポリシーのベストプラクティスです。
4必要な場合のみ、パスワードをリセットする
従業員はどれくらいの頻度で会社のパスワードを更新すべきでしょうか?答えは、頻繁に更新する必要はありませんが、漏洩の危険性があるときに更新します。
Business Insiderによると、多くのサイバーセキュリティコンサルタントがこのようなパスワードリセット方法を提案し、強力なパスワードはパスワード変更よりも役に立つと主張しているとのことです。もっともな話ですが、パスワードを頻繁にリセットしすぎると、パスワードを再利用する可能性が高まり、サイバー攻撃に対してより脆弱になりやすいです。
したがって、企業はパスワードポリシーに、いつパスワードをリセットするかを明記すべきです。例えば、既知の情報漏えいやその疑いがある場合、従業員が退職した場合、デバイスを紛失した場合などです。
5パスワードの悪癖を特定し、禁止する
ほとんどの従業員は、パスワードを保持しないことによる重大な問題を認識していません。企業は「ToDoリスト」を作成することで支援する必要があります。
従業員の行動を規制するパスワードポリシーのベストプラクティス
職場でパスワードを共有しないこと
これは従業員の間では一般的なことです。Beyond Identityの調査によると、従業員の41.7% が職場でパスワードを共有しています。同僚や契約社員だけでなく、家族や友人も含まれます。
実のところ、組織として他人がパスワードを拡散しないように追跡・管理するのは難しいです。アカウントの紛失はすぐに起こりうる可能性があります。
パスワードはメールやテキストメッセージで送らないこと
データ漏洩に関しては、電子メールとテキストメッセージがオンライン詐欺に遭う最も大きな原因です。もし従業員がこれらの手段でパスワードを送ってしまったら、データ損失はすでに目に見えています。
パスワードをブラウザに保存しないこと、あるいは防御策を追加する
確かに、ブラウザにパスワードを保存しておくと仕事では便利です。しかし、いったんデバイスが盗まれると、大きな問題になる可能性があります。盗難者は会社のシステムに簡単にアクセスできます。 企業として、従業員にこの状況を注意を喚起するのは良いことです。
実際、会社がパスワードをブラウザに保存しないように求めても、応じない従業員もいるでしょう。この状況に対処するため、企業は追加のセキュリティ手段として、企業のパスワードポリシーにモバイルデバイス管理を組み込むべきです。
異なるアカウントで同じパスワードを使用しないこと
企業はパスワードの再利用ポリシーを策定しなければなりません。Visual Objectsの報告によると、従業員の中には、仕事用のアカウントとデバイスに同じパスワードを使用している者の割合は63%以上占めます。
出典: Visual Objects
従業員にとってこのやり方は便利ですが、会社にとってはリスクが高いです。なぜなら、一度パスワードが解読されれば、会社は同じパスワードを使ったデータを失うことになるからです。そのため、企業は従業員がパスワードを再利用することを制限すべきです。
AirDroid BusinessのようなMDMツールを使えば、IT管理者はデバイスにパスワードを強制し、会社の要求に応じてパスワードを変更することができます。
6パスワードマネージャーやデバイス管理ツールを使って、企業のパスワードポリシーを実施する
従業員にパスワードを正しく使わせるだけでは不十分です。 企業は、自社のパスワードポリシーが効果的に機能していることを確認するために、パスワードポリシー管理ツールを最大限に活用することが必要です。
企業はどのようなメリットを得られるのでしょうか? ここではベストプラクティスをいくつか紹介します。
ログイン失敗時のアカウントロックアウトポリシーを設定する
MDMプロバイダーは、認証されていないアクセスをブロックすることで企業のデバイスを保護することが可能で、ITチームはパスワードの試行回数を設定できます。設定回数を超えると、デバイスは工場出荷時にリセットされます。
パスワード設定要件の実施
MDMポリシーでは、IT 管理者はパスワードポリシーを構成し、パスワードの複雑さや長さなど、そのポリシーをデバイスに適用できます。さらに、管理者は、ユーザーが変更できない独自のロック画面パスワードを作成できます。
自動的に画面をロックするか、デバイスのデータを消去する
MDMのもう一つのセキュリティ機能はアラートです。AirDroid Business では、組織はデバイスの動作ステータス、デバイスが特定の地理的範囲から離れる、SIM カードの挿入または取り外し、アプリの実行などのトリガー条件を設定できます。次に、アラームが発生した場合の自動ワークフローを設定します。
MFAまたは2FAを設定する
インストールされたアプリ、電子メール、ウェブサイト、クラウドストレージサービスなどに認証を追加できます。
詳細: MDMソリューションは、次のようなことに役立ちます。
- ポリシー:USBアクセス、ネットワーク接続、ファイル転送などのデバイス機能を無効にします。
- アプリ管理:特定のアプリケーションの使用を許可または拒否し、アプリケーションの設定を構成します。
- リモートコントロール:リモートで画面のロック、データの消去、工場出荷時のリセットが可能です。
- ジオフェンシング: デバイスの位置を追跡および監視します。
- アラートと自動ワークフロー: トリガーを設定し、インスタント通知を受け取ります。 トリガーが発生すると、プリセットコマンドを自動的に実行します。
- その他:Kioskモード、一括ファイル転送、デバイスおよびユーザー管理などの機能も備えています。
7パスワードを作成し、保護する方法について従業員を指導する
強力なパスワードを作成し、悪いパスワードの習慣を避けるための研修を従業員に提供します。さらに、従業員にパスワードマネージャーを使用し、職場のパスワードを保護することが推奨されます。会社がデバイス管理ソリューションを使用する場合は、事前に従業員に使い方を説明する必要があります。そうしないと、MDM管理ソリューションによる監視および強制活動がプライバシーに関わる紛争に発展する可能性があります。
4なぜ企業にパスワードポリシーが必要なのか?
● データセキュリティの強化
企業データは重要な資産として、企業の命運を左右するほど重要なものです。データ漏洩が原因で倒産した企業の数は予想以上に多いです。
パスワードは、データ損失に対する防御の第一線として重要な役割を果たしています。企業は、包括的なパスワードポリシーによって、セキュリティをさらに向上さ せます。
● パスワードとアカウント管理の促進
従うべきポリシーにより、従業員は業務用のアカウントとパスワードをより適切に保護し、意識を高めることができ、責任者もパスワードの紛失やその他の事故に効率的に対処することもできます。
● 法規制の順守
ヘルスケア業界のように、企業が従うべき法律や規制がある業界もあります。企業のパスワードポリシーは、企業のセキュリティ対策の一部です。
5MDMで会社所有のデバイスにパスワードポリシーを適用する方法
会社所有のデバイスにパスワードポリシーを適用するには、AirDroid Businessをご利用いただけます。
- Step 1.AirDroid Businessアカウントを作成し、管理コンソールにログインします。
- 会社のあらゆるデバイスをリモートで管理・監視し、アプリケーションやアップデートを設定し、機密データを保護するためのセキュリティポリシーを設定できます。ここをクリックして無料で登録しましょう。
- Step 2.デバイスを組織に登録します。
- モバイルデバイスをデバイスリストに登録します。異なるグループを設定して、それらを効率的に管理することができます。
- Step 3.ポリシープロファイルを作成し、デバイスに適用します。
- これにより、デバイスが組織のセキュリティ基準や規則に準拠するようになります。
- パスワード・ポリシーでは、パスコードにアルファベット、数字、またはその両方を使用すること、パスワードの最小長、試行失敗の最大回数を指定するルールを作成できます。さらに、独自のパスワードを作成し、登録されたデバイスでの使用を強制することも可能です。
- Step 4.会社の資産を保護する追加機能
- USB、WiFi、アプリ、ファイル転送の使用制限など、デバイスに追加のポリシーを設定できます。
よくあるご質問
返信を残してください。