パスワード設定・管理の大切さについて　前編

前回は外部からのセキュリティ上の脅威の種類について書かせていただきました。今回は情報セキュリティ上でのパスワードの重要性、特にパスワードの設定・管理の大切さについてご説明させていただきたいと思います。

先生方にとって、パスワードは、普段の業務で当たり前のように使用する、日常の一部のような存在になっているかと思います。それでは、パスワードは重要性がそんなに高くない存在なのでしょうか？もちろんそんなことはありません。

学習システムログインID/PW、学習用端末ID/PWの情報資産としての重要度分類は、セキュリティポリシーガイドラインの例示では「２：セキュリティ侵害が 学校事務及び教育活動の実施に重大な影響を及ぼす」となっています。^*1

つまり、パスワードが１件でも漏れたりすると、学校中の情報セキュリティを見直さなければならないような重大なインシデントとなり、どこで、誰の端末から、いつ何時漏洩が起こったか、ということまで厳しく追及されることになります。

一人のセキュリティ意識の甘さが、多くの人を巻き込んだ大問題へと発展してしまいます。そのため、パスワードの管理・運用はとても大切です。（また、それに伴うセキュリティ意識の醸成も非常に大切です。）

また、GIGAスクール構想による児童生徒一人一段端末が導入されれば、児童生徒も自分自身のID、パスワードを持つことになります。そのため、ID、パスワードの管理・運用は先生だけではなく、児童生徒にとっても大切です。

杜撰なＩＤ、パスワードの管理は児童生徒の個人情報漏洩などにもつながりかねません。「教育情報セキュリティポリシーに関するガイドライン」では、パスワードについて、「児童生徒の発達段階に応じ、適宜見直しを行いましょう」と記載されています。^*2

そのため、これからは先生が適切なパスワードを設定できるよう、パスワードの特性についてきちんと理解しておく必要があります。
また、これからは児童生徒もパスワードを日常的に使うようになりますが、そんな時に先生がきちんとID、パスワードを管理していないところを見てしまうと、児童生徒から「なんだ、パスワードってそんなに大切な物じゃないんだ」と思われてしまう可能性がありますし、ID、パスワードの重要性を正しく認識している児童生徒からは、先生を見る目が厳しくなるでしょう。
そうならないためにも、学校の全ての先生方が正しいID、パスワードの知識を持ち、運用できるようになってほしいと思います。

なぜパスワードの管理が大切か パスワードの管理が大切であるのは、パスワード漏洩の原因が、杜撰なパスワードの管理方法に起因している場合があるためです。

この記事をお読みになっている先生の周りには、パスワードを書いて付箋に張り付けたり、複数のサービスで同じパスワードを使いまわしたりしている人はいないでしょうか？あるいは、他の人に仕事をお願いするために、パスワードを他人に安易に教えたりする人はいないでしょうか？

そういったパスワードの運用・管理体制はパスワードの漏洩を招くため、注意が必要です。（教育情報セキュリティポリシーに関するガイドラインでは、ＩＤ、パスワードの管理は「自分のIDは、自分のみが利用する（他の人には利用させない）こと、パスワードは他の人には知られないようにすること。忘れた場合及び漏えいした場合はすぐに教職員に報告し、再設定を行うこと」^*3）としています。）

パスワードの安全性を高めるには

一般に、パスワードは複雑性が高いほどセキュリティ強度が上がります。NISC（内閣サイバーセキュリティセンター）では、「ログイン用パスワードは英大文字小文字＋数字＋記号で 10桁以上」とされています。

また、総務省「国民のための情報セキュリティサイト」ではさらに、以下のように設定することが推奨されています。

これらの条件を満たした文字列をパスワードとして設定するようにしましょう。

類推しやすいしやすいパスワードとして８桁の生年月日や名前と数字のみの組み合わせ等が挙げられます。また、「123456」や「password」など、漏洩しやすいパスワードのランキングなどで検索すると表示されるような文字列をパスワードに設定することはやめましょう。

上記のようにパスワードを設定していただいたら、完全に安心かというと、そういうわけではありません。パスワードの運用でも、気を付けるべき点があります。

複数のサービスで同じパスワードを使いまわすと、情報セキュリティ上のリスクが増加します。これは、一つのサービスでパスワードが漏洩すると、他のサービスにまでログインできるようになってしまうためです。パスワードを複数のサービスで使いまわすことは止めましょう。

とはいっても、「複雑なパスワードを作って、それを使っているサービスの数だけ覚えておくことなんでできないよ」と思われる先生がほとんどなのではないでしょうか？
そんな場合には、パスワード管理帳を作ることが有効です。ノート等にパスワードをメモし、他人が見ることのできない場所（金庫や、最悪でも鍵のかかった引き出しなど）にしまっておけば良いのです。

そんな管理方法で大丈夫？と思われるかもしれませんが、アナログな管理方法である分サイバー攻撃に強いことや、機器損失に伴うパスワード紛失が起こらない分安全であるともいえます（もちろんノートそのものが盗まれたり、見られたりしないことが前提となります。）

また、たくさんのパスワードを管理しないよう、シングルサインオン（一度のサービスへのログインで複数のサービスをまたいで使える方法※）が今後普及してくると、パスワードの管理も楽になりますね。

ここまで読んでいただき、ありがとうございました。

次回は、実際に起こったパスワード漏洩による情報セキュリティインシデントを紹介しつつ、引き続きパスワードの重要性についてご説明させていただきます。

<参考文献>

*1 文部科学省　教育情報セキュリティポリシーに関するガイドラインハンドブック（令和3年5月）P12
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf(最終閲覧日2021年９月14日)

*2 文部科学省　教育情報セキュリティポリシーに関するガイドラインハンドブック（令和3年5月）P24
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf(最終閲覧日2021年９月14日)

*3 文部科学省　教育情報セキュリティポリシーに関するガイドラインハンドブック（令和3年5月）P20
https://www.mext.go.jp/content/20210630-mxt_jogai02-000011648_052.pdf(最終閲覧日2021年９月14日)