組織において、パスワードセキュリティを個々のチームメンバー任せにすることは、もはや許容されません。最善を尽くそうとしても、人間はブラウザ、スプレッドシート、付箋への認証情報の保存など、便利ではあるもののリスクの高い習慣に陥りがちです。
強力なパスワードポリシーは、組織全体でパスワードをどのように作成、保管、共有、確認、保護するかについて、明確で強制力のある基準を確立します。現代的なポリシーは、認証情報に基づくリスクを軽減し、コンプライアンスをサポートし、システム、チーム、ワークフロー全体でアクセスセキュリティの一貫性をもたらします。
これは企業が無視できる問題ではありません。Verizonの2025年データ侵害調査レポートによると、確認された侵害における主な初期攻撃ベクターの22%を認証情報の悪用が占めていました。不十分な認証情報セキュリティの代償は、業務の混乱、規制への露出、信用の失墜、そしてチームが失われた、あるいは侵害されたアクセスの回復を急ぐ際に生じる長期のダウンタイムとしても表面化します。
パスワードポリシーの作成に加え、組織には安全な習慣を簡単に取り入れられるようなシステムやツールが必要です。摩擦が存在する場所では、志の高い専門家であっても近道(ショートカット)を選んでしまうため、ルールだけでは業務上のセキュリティを確保するには不十分です。目標は、パスワードの衛生管理を最も抵抗の少ないパス(手段)にすることです。
以下のパスワードポリシーテンプレートは、お客様の企業が最新のベストプラクティスやNIST準拠のガイダンスに基づいた体制を維持するのに役立ちます。一般的なアドバイスよりも実用的なものを必要とする組織のために、内部ポリシー、セキュリティハンドブック、またはガバナンス管理として適応させることができます。
パスワードポリシーテンプレート(サンプル)
| セクション | ポリシー要件(文例) | 実装に関するメモ |
| 範囲 | 本ポリシーは、パスワードベースの認証を使用して会社のシステムまたはデータにアクセスするすべての従業員、請負業者、ベンダー、およびサードパーティに適用されます。これには、SaaSプラットフォーム、クラウドサービス、内部ツール、エンドポイント、管理環境を含むすべてのシステムが含まれます。 | システムやユーザーグループが範囲外にならないようにしてください。ベンダーや共有環境も含めてください。 |
| ユーザーの責任 | すべてのユーザーは、本ポリシーに従ってパスワードを作成、保管、および管理しなければなりません。ユーザーは認証情報を共有したり、パスワードを再利用したり、承認されていない場所に保管したりしてはなりません。認証情報の侵害が疑われる場合は、直ちに報告する必要があります。 | オンボーディングおよびセキュリティトレーニングに含めてください。 |
| 管理者の責任 | 管理者は、適切なアクセス制御と認証情報の更新を可能にするため、オンボーディング、役割の変更、およびオフボーディングの連絡を適時確実に行う必要があります。 | 人事ワークフローと連携させてください。 |
| ITおよびセキュリティ部門の責任 | ITおよびセキュリティチームは、本ポリシーの施行、パスワード管理ツールの承認、コンプライアンスの監視、および認証情報に関連するインシデントへの対応に責任を負います。 | 内部で明確な所有権を割り当ててください。 |
| パスワードの長さ | パスワードは以下の最小長を満たす必要があります。15文字(標準アカウント)、16文字(特権アカウント)、および20文字(可能な場合の共有アカウントまたはサービスアカウント)。 | システムは長いパスワード(理想的には最大64文字まで)をサポートする必要があります。 |
| パスワードの作成 | パスワードは、組織が承認したビジネスパスワードマネージャーを使用してランダムに生成する必要があります。パターン、個人データ、または予測可能な構造に基づいたユーザー作成のパスワードは許可されません。 | Proton Pass for Businessは、強力でランダムなパスワードの作成を自動化できます。 |
| パスワードの一意性 | パスワードは、すべてのアカウント、システム、およびサービスにおいて一意である必要があります。業務システム、個人用アカウント、またはクライアント環境間での再利用は厳禁です。 | 記憶だけに頼るのではなく、ツールやトレーニングを通じて徹底させてください。 |
| パスワード強度のテスト | パスワードは、強度が低いもの、再利用されたもの、または既知のデータ侵害で過去に流出したものであってはなりません。 | 可能な限り、侵害されたパスワードの検出をサポートするシステムを使用してください。 |
| 禁止行為 | 以下の行為は禁止されています:パスワードの再利用、個人または会社に関連する用語の使用、予測可能なパターン、プレーンテキストでのパスワード保存、メール、チャット、またはメモを介した認証情報の共有。 | 曖昧さを排除するため、このセクションは明示的な表現にしてください。 |
| 多要素認証(MFA) | MFAをサポートするすべてのシステム、特にメール、ユーザー情報プロバイダー、リモートアクセス、財務システム、人事プラットフォーム、および管理アカウントではMFAを有効にする必要があります。 | リスクの高いシステムを優先してください。 |
| パスワードのストレージ | すべての認証情報は、組織が承認したパスワードマネージャーにのみ保管する必要があります。一括管理および承認されていない限り、ブラウザやローカルツールへの保存は許可されません。 | Proton Pass for Businessは、制御されたアクセスを備えた暗号化済みの保管庫を提供します。 |
| 禁止されている保管方法 | パスワードをスプレッドシート、ドキュメント、メールの下書き、チケッティングシステム、共有ドライブ、または個人用メモに保管してはなりません。 | これらは非常によくあるケースであるため、定期的に監査を行ってください。 |
| パスワードの共有 | パスワードを非公式なチャンネルで共有してはなりません。共有が必要な場合は、アクセス制御、監査、および無効化をサポートする承認済みの安全なシステムを介して行う必要があります。 | Proton Pass for Businessを使用すると、パスワード自体を公開することなく、認証情報の安全な共有が有効になります。 |
| 共有アカウント | 共有アカウントやサービスアカウントの認証情報には、指定された所有者、制限されたアクセス、安全なストレージ、および定期的な見直しが必要です。人員の変更が発生した場合や侵害が疑われる場合には、認証情報をローテーションさせる必要があります。 | 可能な限り、個々のアカウントの使用を推奨します。 |
| トレーニングと意識向上 | すべてのユーザーは、オンボーディング時およびその後定期的に、パスワードと認証情報のセキュリティトレーニングを完了する必要があります。トレーニングには、パスワード管理、MFAの使用、フィッシング対策の意識向上、およびインシデント報告を含める必要があります。 | トレーニングは実用的かつ最新の状態に保ってください。 |
| インシデント対応 | 認証情報の侵害が疑われる場合や確認された場合は、直ちに報告する必要があります。影響を受けた認証情報はリセットし、セッションを失効させ、アクセス状況を確認する必要があります。インシデントは文書化する必要があります。 | 対応スピードは完璧さよりも重要です。 |
| 報告要件 | ユーザーは、認証情報の漏洩が疑われる場合、指定された報告チャンネルを通じて報告する必要があります。善意の報告によって懲戒処分が下されることはありません。 | 早期の報告を奨励します。 |
| 監視とログ記録 | ログイン試行、認証情報の変更、特権アクセスなど、可能な限り認証アクティビティをログに記録する必要があります。ログは、異常がないか定期的に確認する必要があります。 | まずはリスクの高いシステムに焦点を当ててください。 |
| オフボーディングとアクセス権の失効 | 役割の変更や退職時には、直ちにアクセス権を削除する必要があります。共有の認証情報は、必要に応じて見直しとローテーションを行う必要があります。 | 組織において最も一般的な失敗要因の1つであるため、これは不可欠です。 |
| コンプライアンスの整合 | このポリシーは、NISTやISO 27001のアクセス制御要件など、認識されている枠組みに対する組織のコンプライアンスをサポートします。 | 監査やガバナンスに有用です。 |
| 執行 | このポリシーに従わない場合、その深刻度に応じて、再教育、アクセス制限、または懲戒処分の対象となることがあります。 | 一貫して適用してください。 |
| 見直しサイクル | このポリシーは、少なくとも毎年、あるいはシステム、リスク、規制要件に重大な変更があった場合に見直す必要があります。 | 更新のための責任者を任命してください。 |
パスワードポリシーとは? 定義、目的、目標
パスワードポリシーとは、組織のシステム全体で認証情報がどのように作成、管理、保管、保護されるかを定義する正式な規則のセットです。
パスワードポリシーの概念は単純に聞こえますが、その影響は広範囲に及びます。それは、ビジネス用の認証情報にビジネス向けパスワードマネージャーの使用を義務付けるだけのことではありません。現代の組織において、パスワードポリシーはユーザー情報セキュリティの基盤として機能します。
システム間での認証情報の取り扱いを規定する一貫したポリシーがなければ、パスワードの慣行は断片化しがちであり、組織はアクセスが実際にどのように管理されているかについての可視性を徐々に失うことになります。
強力なパスワードポリシーの目的
適切に定義されたパスワードポリシーは、組織全体で認証情報をどのように取り扱うべきかという明確な期待値を設定することで、セキュリティのギャップに対処します。これにより、パスワードの作成、ストレージ、共有、およびライフサイクル管理に関する一貫した基準が確立されます。
パスワードポリシーは、ガバナンスとコンプライアンスにおいても重要な役割を果たします。NISTデジタルアイデンティティガイドライン(新しいウィンドウ)などのセキュリティフレームワークやISO 27001(新しいウィンドウ)などの標準規格は、現代のアクセス制御の一部として、強力な認証実践の重要性を強調しています。
機密データ、特に個人情報、財務記録、または独自のビジネス情報を扱う組織は、それらのシステムへのアクセスが文書化されたセキュリティ管理によって統制されていることを実証することがますます求められています。
パスワードポリシーを策定することで、組織は、会社のシステム、サービス、デバイス、アプリ、およびデータにアクセスするために使用されるパスワードの作成、保管、共有、および管理に関する最低要件を定義します。
パスワードポリシーが果たすべき役割とは?
パスワードポリシー文書の目的は以下の通りです:
- パスワード関連のセキュリティインシデントを削減する
- パスワードの使い回しや安全でない保管慣行を防止する
- 安全なパスワード作成および管理の実践を義務付ける
- 従業員、ベンダー、システム間での安全なアクセスをサポートする
- 監査への対応力とアクセスガバナンスを強化する
- 侵害された認証情報への対応手順を定義する
これらの目標を合わせることで、パスワードセキュリティが非公式な期待事項ではなく、運用基準として扱われるようになります。
パスワードポリシー:範囲、役割、および責任
強力なパスワードポリシーは、2つの事項を明示する必要があります。まず、どのユーザー、システム、およびデータがポリシーを遵守しなければならないかを明確に定義する必要があります。
次に、組織全体でそれらの基準に従い、実施し、維持する責任が誰にあるのかを明確にする必要があります。
パスワードポリシーの範囲を定義する
現代の組織において、アクセス権が社内ネットワーク上のフルタイムの従業員に限定されることは稀です。請負業者、ベンダー、およびサービスプロバイダーのすべてが企業システムへのアクセスを必要とする可能性があるため、ポリシーはパスワードベースの認証を通じて会社のシステムやデータとやり取りするすべての人に適用されるべきです。
また、以下を含むテクノロジー環境全体に適用される必要があります:
- クラウドプラットフォーム
- SaaSツール
- 内部システム
- 開発環境
- 管理コンソール
- 共有の運用アカウント
攻撃者が侵入口を探す際、プライマリーシステムとセカンダリーシステムを区別することはほとんどないため、これは非常に重要です。
パスワードポリシー内で役割と責任を定義する
所有権が明確でないと、パスワード管理は断片的なものになります。従業員はIT部門がセキュリティを自動的に処理していると考え、IT部門はユーザーが独自にベストプラクティスに従っていると思い込んでしまいます。効果的な認証情報のセキュリティを確保するには、組織全体での連携が必要です。
従業員や請負業者は日々のシステム利用においてパスワードのセキュリティを維持しますが、マネージャーはオンボーディング、役割の変更、オフボーディング時のアクセスガバナンスを監督します。ITおよびセキュリティチームは、技術的な制御の実装とコンプライアンスの監視に責任を負います。システムの所有者は、管理するアプリや環境内で標準が確実に施行されるようにします。
最小パスワード長とエントロピー要件に関するパスワードポリシーのガイドライン
パスワードの長さは、認証情報の強度を決定する最も重要な要素の1つです。パスワードが長いほど、攻撃者がブルートフォース攻撃中にテストする必要がある可能な組み合わせの数が飛躍的に増加します。
実際、NIST(米国国立標準技術研究所)は(新しいウィンドウ)、厳格な構成ルールよりもパスワードの長さを優先することを推奨しています。記号、数字、大文字の特定の組み合わせを含めることをユーザーに強制するのではなく、最新のポリシーでは、パスワードが十分に長く、既知の侵害された認証情報と照合して審査されるようにすることに重点を置いています。
したがって、組織は技術的に可能な限り、システムがより長く複雑なパスワードをサポートするようにすべきです。そうすることで、セキュリティチームは時間の経過とともに、より強力な認証情報の標準を採用できるようになり、将来の変化するセキュリティ要件に対応できるよう組織を整えることができます。
強力なパスワードは、以下の主要な要件を満たすか、それを上回る必要があります。
- ブルートフォース攻撃や自動解析の試みに耐えうる、十分な長さがあること
- 単一のアカウントまたはサービスに対して一意であり、システム間での認証情報の再利用を防いでいること
- 個人情報、会社名、予測可能なパターンを避け、推測が困難であること
- ランダムまたは極めて予測不可能であり、理想的には承認されたパスワードマネージャーによって生成されていること
- 過去に既知のデータ侵害で漏えいしておらず、一般的なパスワードリストに含まれていないこと
名前、誕生日、会社の用語、または単純なキーボードパターンに基づいたパスワードは、長さに関わらず、自動化されたパスワード解析ツールを使用して短時間で解読される可能性があることに注意してください。個人と企業の両方に向けた、強力なパスワード要件に関する詳細なガイドをご覧ください。
パスワードのランダム性と複雑さ
最新のセキュリティフレームワークでは、ユーザーに手動で作成させるのではなく、パスワードをランダムに生成することを推奨しています。承認されたパスワード管理ツールによって生成されたランダムなパスワードは、予測可能なパターンを回避し、覚えるのが現実的ではないほどの長さで作成できるため、大幅に強力な保護を提供します。
例えば、Proton Passに組み込まれた安全なパスワード生成ツールと、安全な認証情報管理の実践を利用できます。これらのツールを組み合わせることで、強力で予測不可能なパスワードの生成を支援すると同時に、パスワードのストレージ、共有、ライフサイクル管理に関する一般的な課題に対処できます。
脆弱なパスワードや再利用されたパスワードを抑制するために、パスワードポリシーに以下の最小要件を含めることができます。
- 標準ユーザーのアカウントパスワードは15文字以上である必要があります。
- 特権または管理者アカウントのパスワードは16文字以上である必要があります。
- 共有またはサービスアカウントの認証情報は、技術的に可能な限り、20文字以上である必要があります。
- システムは、可能な限り64文字以上のパスワードをサポートする必要があります。
- サポートされており適切である場合は、長いパスフレーズを使用できます。
- パスワードは、使用前に組織の承認された強度および審査要件を満たしている必要があります。
システムまたはサービスごとの一意のパスワードの使用
パスワードの再利用は、認証情報に起因するセキュリティインシデントの最も一般的な原因の1つです。複数のサービスで同じパスワードが使用されている場合、たった1回の侵害で複数のシステムへのアクセスが一度に露呈する可能性があります。
攻撃者は通常、リスト型攻撃(クレデンシャルスタッフィング)と呼ばれる手法を使ってこの行動を悪用します。これは、あるサービスから盗まれたユーザー名とパスワードを他のプラットフォームで自動的に試すものです。
このため、一意性は譲れない要件です。各アカウント、サービス、システムには、他で決して再利用されない独自のパスワードを設定する必要があります。
安全なパスワード管理ツールのサポートなしに、数十、数百もの固有のパスワードを管理することは現実的ではありません。企業向けパスワード管理ツールは、強力なパスワードを自動的に生成し、安全に保存することで、この要件を実用的なものにします。これにより、従業員は記憶に頼ることなく、固有の認証情報を維持できるようになります。
多要素認証(MFA)の要件
多要素認証(MFA)は、不正アクセスのリスクを低減する最も効果的な方法の1つです。特に、フィッシング、マルウェア(新しいウィンドウ)、または外部のデータ侵害によって認証情報が漏えいする可能性がある環境で有効です。
MFAは、アカウントへのアクセスを許可する前に、お客様に少なくとも2つの独立した要素を通じて本人確認を求めることで機能します。これには以下が含まれます。
- ユーザーが知っているもの(パスワードなど)
- ユーザーが持っているもの(セキュリティキー、認証アプリ、モバイルデバイスなど)
- ユーザー自身(指紋や顔認証などの生体認証)
攻撃者がこれらすべての要素に同時にアクセスできることは稀であるため、MFAを利用することで、盗まれた認証情報だけでアカウントが侵害される可能性が大幅に減少します。
NISTやCISAなどの組織のガイドラインは、パスワードベースのアクセスが使用されるあらゆる場所、特に機密データを含んでいたり、管理特権を提供したりするシステムにおいて、多要素認証の使用を強く推奨(新しいウィンドウ)しています。
パスワードポリシーへのMFAの組み込み
組織は、アカウント間の2要素認証の導入と管理を容易にするツールを使用することで、MFAの採用をさらに強化できます。例えば、Proton Passは保存された認証情報と共に、時間ベースのワンタイムパスワード(TOTP)を保存して自動入力できるため、認証データを暗号化したままログインワークフローを簡素化できます。
認証要素の分離を好む組織向けに、Protonは専用のProton Authenticatorアプリも提供しています。このアプリは安全な6桁の検証コードを生成し、エンドツーエンド暗号化を使用してデバイス間で同期できます。この認証アプリはオフラインで動作し、オープンソースであるため、組織は透明性と強力なプライバシー保護を維持しながら、ビジネスアカウント全体にMFAを実装できます。
安全なパスワード共有の実践
多くのセキュリティガイドラインはパスワードの共有そのものを控えるよう助言していますが、実際のビジネス環境では依然としてそれが必要になる場合があります。サービスアカウント、ベンダーによるアクセス、および緊急時の手順において、複数の許可されたユーザーが同じ認証情報にアクセスしなければならない場合があります。
メール、チャット、口頭によるコミュニケーションなど、非公式な方法で共有が行われると、認証情報が露呈し、管理が困難になります。これらのチャネルを通じて一度共有されると、通常、誰がアクセス権を持っているかを追跡したり、後でアクセス権を失効させたりするための信頼できる方法はありません。
したがって、パスワードポリシーでは、共有が許可される方法とタイミングを定義する必要があります。ほとんどの組織では、アクセス制御、監査、および必要に応じてアクセスを失効させる機能を提供する、承認された認証情報管理ツールを通じてのみ共有が行われるべきです。
オフボーディングとアクセス失効の手順
従業員が役割を変更したり、組織を離れたり、ベンダーとの関係が終了したりした場合、アクセス権を速やかに確認し、調整する必要があります。認証情報を適時に失効させないことは、不正アクセスの最も一般的な原因の1つです。
強力なパスワードポリシーは、オンボーディングおよびオフボーディングのプロセスと統合し、アカウントの無効化、共有認証情報のローテーション、不要なシステムアクセスの失効など、役割の変更や退職を即座に反映してアクセスの権限を更新するようにする必要があります。
複数の個人が共有サービスアカウントにアクセスできる場合、アカウントが無効化された後も元従業員や請負業者が引き続きアクセスすることを防ぐために、人事異動が発生したらすぐにパスワードをローテーションする必要があります。
パスワードポリシーと人間の習慣のギャップをBridgeで埋める
パスワードポリシーは、人々がそれに従って初めて効果を発揮します。
ほとんどの組織において、失敗が起こるのはポリシーが欠如しているからではありません。ポリシーが日常のワークフローに埋め込まれていないために起こるのです。プロセスが不明確であったり、ツールが不十分であったり、期待が強化されていなかったりすると、従業員はショートカットを選んでしまいます。適切に実施された場合(およびビジネスパスワードマネージャーと組み合わせた場合)、強力なパスワードポリシーは、非公式な習慣を一貫した制御に置き換え、認証情報に関連するリスクを軽減し、安全なアクセス管理を単なる付け足しではなく日常業務の一部にします。
