コロナ禍でテレワークやオンラインサービス活用などデジタルシフトが急速に進み、ログイン認証情報、機密情報、金銭などを盗み取ることを目的としたサイバー攻撃が急増しています。国内企業にも多くの被害が出て、各省庁やサイバーセキュリティに関わる組織が続々とセキュリティ対策に関する注意喚起を出す事態となっています。
パスワードは、言うまでもなくセキュリティを保つために必要不可欠な要素です。そのパスワードが、安易で推測されやすいものであったら、どうでしょうか？
今回はよく使われているパスワードや、最近よく耳にする多要素認証について考えてみます。

パスワードクラック（パスワードクラッキング）とは、他人のパスワードを不正に割り出すことです。パスワードクラックによって不正ログインし、サイトの改ざんや個人情報を不正入手される被害が増えています。攻撃者は総当たり攻撃、逆総当たり攻撃などさまざまな手法を使ってパスワードを解読し、システムやWebサービスへの不正アクセスを試みています。これらの攻撃に対応するためには、パスワードを複雑化する・桁数を増やす、ある一定回数パスワード入力に失敗するとアカウントロックできるようにする、などの対策があります。

このようにさまざまな方法による攻撃は、後を絶ちません。そのため私たちも多くの対応策を取っていますが、人に依存した対応策では限界があるのが実情です。そうした考え方から、パスワードだけではなく他の要素（秘密の質問・指紋・スマホなど）による認証を経ないとアクセスできないようにする仕組みが考え出されました。そのうち多要素認証とクライアント証明書をご紹介します。

多要素認証（Multi-Factor Authentication）とは、利用者の本人認証時に「複数の要素を用いて確認する」ことをいい、認証の3要素である「知識要素」、「所持要素」、「生体要素」のうち、2つ以上を組み合せて認証することを指します。

IDとパスワードの組み合わせが何らかの方法で他人に取得されてしまうと、本人になりすましてシステムやネットワークにログインされる危険性があります。また、ユーザーが複数のサービスで同じIDとパスワードを使い回していると、1つのサービスからIDとパスワードが流出した際に、ほかのサービスでも不正が実行される可能性があります。そのため、IDとパスワード以外に、別の認証要素を組み合わせることで、なりすましのリスク低減を図ることができます。
多要素認証は、流出したID・パスワードで悪意のある第三者がログインを試みた場合にも、所有情報（携帯電話やスマートフォンを使ったSMS認証やアプリ認証など）や生体情報（顔や指紋）などの他の要素がそろっていない限りログインを許すことがなく、不正ログイン防止策として期待され急速に導入が広がっています。

多段階認証は、多要素認証と非常に混同しやすいものです。多要素認証の中でも、2要素を使う認証のことを「2要素認証」と呼びますが、これに似た言葉として、「2段階認証」と呼ばれる認証方式があります。この2つは“認証を2回行う”という点では同じですが、「2要素認証」が認証の3要素のうち2要素を利用するのに対して、「2段階認証」は認証要素が1つの場合を指します。
例えば、ID・パスワード認証の後に「秘密の質問への回答」という認証を行うとします。この場合、認証は2回行っていますが、パスワードと秘密の質問はどちらも知識要素です。つまり、1つの要素しか使っていないので2段階認証となり、2要素認証ではありません。
この2つの認証方式にはさほど違いがないように見えますが、知識要素で認証を複数段階にしても、情報が漏えいすると簡単にログインできてしまうため、複数の要素を組み合わせる2要素認証（多要素認証）の方がより安全といえます。どちらが良いか迷われた場合には、多要素認証をお勧めします。

クライアント証明書とは、サーバーに認証要求を送信するためにクライアント端末で利用される電子証明書の一種です。サーバーとクライアントの認証システムを設計する上で重要な役割を果たし、認証を要求する端末が許可されたものであることを保証する役割を果たします。さらに、期限が切れた証明書や、内容が古く正確ではなくなった証明書を無効にすることもできるようになっています。
テレワークが浸透し社内ネットワークに外部からアクセスをさせる機会が増え、個人所有パソコンなど会社が許可してない端末からのネットワーク接続の被害が想定できます。また社員が紛失してしまった端末を使った不正アクセスも考えられます。こうした被害を防ぐため、有効な証明書をインストールした端末のみリモートアクセス可能にする仕組みを採用する企業が増えています。
正しい対象を認証・特定することでき、盗聴・なりすまし・改ざんなどを防止できるのです。

パスワードを複雑な文字列にすればするほど覚えられない、何度も変更するから覚えきれないといって、パソコンにパスワードを書いた付箋紙を貼り付けたり、すぐ目に付くところにメモしたりするのはやめましょう。とても危険です！

パスワード管理ツール「NordPass」を提供するセキュリティ企業であるNord Securityは、2021年11月17日（米国時間）に「2021年で最も使われたパスワードのランキング」を発表しました。
Nord Securityはサイバーセキュリティインシデント調査を専門とする独立研究者と共同でパスワードを収集し、データベースを評価してランキングを作成。そこには各パスワードが使用された回数や攻撃者がクラッキング（パスワードクラック）に必要な時間も掲載されています。世界ランキングに加えて、50カ国の国別でもランキングを見ることができ、世界50カ国での1位は「123456」であり、日本での1位は「password」であることが分かりました。

一見複雑そうに見えるパスワードも、キーボードの配列上では横または斜めに並んだ文字列であり、簡単なものであることがわかります。

また、ソリトンシステムズも2022年2月に「日本人のパスワードランキング2021」を発表。それによると第1位は「123456」で、これは同社がこの調査を開始した2020年から2年連続で1位です。2位は「password」、3位は「000000」、4位は「1qaz2wsx」、5位は「12345678」、6位は「123456789」、7位は「111111」、8位は「sakura」、9位は「dropbox」、10位は「12345」と続きます。Nord Securityが発表した日本のランキングと似ていますね。
しかも、このランキングは「2021年に発覚した209件の情報漏えい事件のデータから分析した」もの。つまり、流出したパスワードのランキングでもあるのです。

皆さんは、こういった安易なパスワードを使用していませんか？自身のパソコンやソフトウエア、サービスへのログインに使用するものはもう少し複雑なパスワードにしているかも知れません。しかし、サーバーやネットワーク機器、複合機、クラウドストレージサービスなどの管理者パスワードや共有機器のパスワードはいかがでしょうか？ドキっとした方は、ぜひこれを機会に見直しされることをおすすめします。

複雑なパスワード設定、パスワードの定期的な変更、サービスごとのパスワード作成といったルールを策定し、きちんと社内に浸透させ運用できることが理想ですが、ルールが複雑になるほど運用が難しくなってしまうのが現実ではないでしょうか。それを補うために多要素認証、クライアント証明書による認証がビジネスシーンではよく見られるようになっています。
2022年4月1日に施行された改正個人情報保護法において漏えい時の罰則が厳重化されるなど、企業はこれまで以上に情報セキュリティ対策の見直しを迫られています。そうした見直しの際に、いかに管理者や従業員に負荷をかけ過ぎることなく安全にデータをやり取りできる環境を整えるかという視点で、パスワードポリシーの見直しと合わせて、多要素認証やクライアント証明書の導入を検討されてはいかがでしょうか。