ISMSを構築する過程で、業務上利用する必要があるサービスや顧客情報を閲覧するために必要なパスワードをどのように扱うのかということで悩む方も多いと思います。

今回は、社内で利用するパスワードについて解説していきますので、ぜひ参考にしてみてください。

目次

そもそもパスワードはなぜ必要なのか

当たり前かもしれませんが、重要な情報にアクセスするためには、パスワードが必要です。——特に、WEB上で利用できるものであれば、外部からのアクセスを防ぐためにパスワードは必須といえるでしょう。

——もちろん、WEBのミドルウェアからIPアドレスで制限をかけることもできますし、他の方法で外部からの閲覧を制限することはできるのですが、可用性を維持するためにはパスワードを設定するという方法を採用する企業は多いでしょう。

さて、上記で解説したように、パスワードは主に情報の機密性を維持するために必要なものですが、パスワードを設定するとパスワードそのものが重要な情報となってしまいますから、適切に管理を行う必要があります。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

パスワードは特定される!?

近年はWEBを中心とするIT産業はめざましく発展しており、それに比例してサイバー攻撃の数も増えています。こんなご時世ですから、「パスワードをかけていれば安心」と高を括っていると、痛い目を見るかもしれません。——なぜなら、パスワードを設定するだけでは簡単にそのパスワードを外部から盗み取られてしまうためです。

少し技術的な話になりますが、WEBアプリケーションなどにログインをする際に、IDとパスワードの二種類を入力するようなケースでは、大抵以下の二種類の方法でログインを行います。

  • 予めIDとパスワードを決めておき、その組み合わせでしかログインできないようにする
  • データベース上にIDとパスワードの情報を持たせておき、それらが一致するパターンが入力された場合にログインできるようにする

前者の方法ですと、PHPやPerlなどのサーバーサイドスクリプト言語にその組み合わせを定数として持たせていることがあると思います。——このような場合、WEBスクレイピングなどの技術によって複数種類のパターンマッチを実行されてしまい、ログイン画面を突破されてしまう恐れがあります。

後者の場合でも、しっかりとした対策がなされていなければ、SQLインジェクションなどによる攻撃を受けることになってしまいます。SQLインジェクションとは、データベースからデータを引っ張り出すための言語であるSQLを、開発者が意図しないデータを送信させることで改ざんし、データベースから情報を盗み取ろうとする攻撃手法です。

こういった攻撃は専門的な知識なしに実行することが可能であり、少しWEBに関して勉強したエンジニアであれば容易に攻撃が可能なのです。

——では、顧客情報や社内の情報を守るためにはどのようにすれば良いのでしょうか?

パスワードを保護するための管理策

以下では、機密性を維持するためにどのような管理策を取ることができるのかということについて、一例をご紹介していきましょう。

二段階認証

二段階認証とは、ID、パスワードの入力とは別に異なる認証方法を設定し、2ステップを経てからログインを可能にするという方法です。

二段階認証は異なる要素の認証方法であることが望ましいとされており、同じ要素の認証方法であるならば、「その方法は意味がない」と言われているくらいです。

——例えば、ID・パスワードの入力を1段階目の認証とするならば、ランダムに生成された数値列(機械認識がしにくい数値列)の入力を求めたり、人間にしか判別できないような画像を認識させたりするようなものが有名です。

これは、PythonやC言語などによるWEBスクレイピング―—つまりロボットによるログインを阻止する目的で使用されることが多いです。ただし、AIの発達によって機械の画像認識の精度は飛躍的に向上しているため、特に大規模な会員サイトの場合は攻撃の対象となりやすいため注意が必要です。

試行回数の制限

次に考えられる方法は、特定のIPアドレスや端末からのアクセスに対して、思考回数制限をかけるという方法があります。

プログラムなどによるパターンマッチには数万、数億もの試行が必要になりますから、これを防ぐために何度もアクセスがあった場合は403(Forbidden)エラーをサーバーに吐かせるように設定しておくという方法です。

ただし、この方法であってもSQLインジェクションによる攻撃は防げないため、 顧客のIDやパスワードをデータベース化している場合は注意が必要です。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

今回は、認証方法に関する管理策について解説をしてきました。WEBアプリケーションなどは非常に便利なものですが、それ故機密性を残ってしまうこともあります。

適切な管理策を実行し、技術的な観点からもセキュリティを向上させる努力をしてみましょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ