パスワードの使い回しを防ぐには？

業務で利用するシステムやクラウドサービスが増えるなかで、社員一人ひとりが管理するID・パスワードの数も増えています。複数のサービスで異なるパスワードを設定することが望ましいとわかっていても、実際には覚えきれず、同じパスワードを使い回してしまうケースも少なくありません。

しかしパスワードの使い回しは、1つのサービスで情報が流出した際に、ほかの業務システムやクラウドサービスへ不正アクセスされるリスクを高めます。この記事では、パスワードの使い回しが起こる主な原因や放置するリスク、企業が取り組むべき対策について解説します。

パスワードの使い回しが起こる
主な原因

パスワードの使い回しは、社員のセキュリティ意識だけの問題ではありません。多くの場合、複数の業務システムやクラウドサービスを利用するなかで、社員が管理しなければならないログイン情報が増えすぎていることが背景にあります。

たとえば勤怠管理システムや経費精算システム、グループウェア、チャットツール、営業支援システムなど、業務で利用するサービスが増えるほどそれぞれのID・パスワードを覚える負担も大きくなります。すべてのサービスで異なる複雑なパスワードを設定し、正しく管理し続けることは簡単ではありません。

また、システムごとにパスワードのルールが異なることも使い回しの原因になります。文字数や記号の条件、変更頻度などがばらばらだと、社員は管理しやすいように似たパスワードを設定したり、過去に使ったパスワードを少し変えて再利用したりしやすくなります。

パスワードの使い回しを防ぐには、社員に注意喚起を行うだけでなく、使い回しが起こりにくい仕組みを企業側で整えることが重要です。

パスワードの使い回しを
放置するリスク

パスワードの使い回しは、企業のセキュリティ管理という視点では大きなリスクにつながる可能性があります。

1つのパスワード流出が複数サービスへの
不正アクセスにつながる

複数のサービスで同じパスワードを使い回している場合、どれか1つのサービスでパスワードが流出するとほかのサービスにも不正アクセスされる可能性があります。

特に、業務で利用しているクラウドサービスや社内システムに同じパスワードを使っている場合、攻撃者が流出したログイン情報を使ってアクセスを試みることがあります。パスワードをサービスごとに分けていれば被害の範囲を限定できますが、使い回しがあると1つのサービスで起きた問題が、別の業務システムの被害につながるおそれがあるのです。

個人利用サービスから
業務システムへ被害が広がる可能性がある

社員が私用のWebサービスと業務システムで同じ、または似たパスワードを使っている場合、個人利用のサービスで流出したログイン情報が業務アカウントへの攻撃に使われる可能性があります。

企業側が業務システムを適切に管理していても、社員が外部サービスで同じパスワードを使っていれば、そこからリスクが広がることがあります。特にメールアドレスをIDとして利用している場合、私用サービスと業務アカウントが推測されやすくなることもあります。

このようなリスクを防ぐためには、業務用アカウントと私用アカウントを分けて考え、パスワードの使い回しを避ける運用を徹底する必要があります。

退職者・異動者のアカウント管理が
複雑になる

複数のシステムで個別にID・パスワードを管理していると、退職者や異動者のアカウント管理も複雑になります。誰がどのシステムを利用しているのかを正確に把握できていない場合、不要なアカウントが残ったり、権限の変更が漏れたりする可能性があります。

パスワードの使い回しがある環境では、アカウントごとの管理状況も見えにくくなりがちです。退職後も一部のサービスにアクセスできる状態が残っていると、情報漏えいや不正利用のリスクにつながります。

入退社や異動に合わせて適切にアカウントを管理するためにも、企業全体でログイン情報や利用サービスを把握できる仕組みが必要です。

セキュリティポリシーが
形骸化しやすくなる

企業としてパスワードのルールを定めていても、社員が実際に運用できない内容であればルールは形骸化しやすくなります。複雑なパスワードを求めるだけでは、社員がメモに残したり似たパスワードを使い回したりする可能性があります。

セキュリティポリシーは厳しくすればよいというものではありません。現場で無理なく守れる内容でなければ、結果としてリスクを高めてしまいます。

パスワードの使い回しを
防ぐための対策

パスワードの使い回しを防ぐには、社員の意識づけとあわせて、企業として運用ルールや認証環境を整えることが重要です。

パスワードポリシーを見直す

まずは、自社のパスワードポリシーが現場で無理なく運用できる内容になっているかを確認しましょう。

パスワードを複雑にすることは重要ですが、複雑さだけを重視しすぎると社員が覚えられず、使い回しやメモ書きにつながる可能性があります。また、短い周期で頻繁に変更を求める運用も、似たパスワードの再利用を招く場合があります。

パスワードポリシーを見直す際は、安全性を確保しながら社員が管理しやすいルールになっているかを考えることが大切です。文字数や複雑さ、変更頻度、過去に使ったパスワードの再利用制限などを整理し、実際の業務に合ったルールを設計しましょう。

パスワード管理ツールの
利用ルールを整える

パスワード管理ツールを活用すると、サービスごとに異なる複雑なパスワードを管理しやすくなります。社員がすべてのパスワードを記憶する必要がなくなるため、使い回しの防止にも役立ちます。

ただし、パスワード管理ツールを個人任せで利用すると、管理方法がばらばらになったり会社として状況を把握しにくくなったりすることがあります。業務で利用する場合は、会社として利用可否や管理ルールを定めることが大切です。

多要素認証を導入する

多要素認証とは、パスワードに加えて、スマートフォンアプリの承認、ワンタイムパスワード、生体認証など複数の要素で本人確認を行う仕組みです。多要素認証を導入すれば、仮にパスワードが流出した場合でも、追加の認証を求めることで不正アクセスを防ぐことができます。

パスワードの使い回しそのものをなくす対策ではありませんが、万が一の被害を抑えるうえで有効です。特に社外からアクセスするシステムや、顧客情報・機密情報を扱うサービスには多要素認証の導入を検討するとよいでしょう。

社員教育を行う

パスワードの使い回しを防ぐには、社員一人ひとりがリスクを理解していることも重要です。ルールを設定するだけでなく、なぜ使い回しが危険なのか、どのような被害につながるのかをわかりやすく伝える必要があります。

1つのサービスで流出したパスワードが別の業務システムへの不正アクセスに使われる可能性があること、私用サービスと業務アカウントで同じパスワードを使うとリスクが高まることなどを具体的に説明すると、社員も自分ごととして理解しやすくなります。

また、パスワードをメモに残さない、他人と共有しない、私用と業務用を分けるといった基本的なルールも定期的に周知しておくことが大切です。

アカウント棚卸しを定期的に行う

パスワードの使い回し対策とあわせて、アカウントの棚卸しも定期的に行いましょう。利用していないアカウントや不要な権限が残っているアカウントを放置すると、不正アクセスや情報漏えいのリスクにつながります。

利用するシステムが多い企業ほど、手作業での管理には限界が出やすくなります。定期的な棚卸しによって誰がどのシステムを利用しているのかを把握し、不要なアカウントや権限を整理することが大切です。

社員が複数のシステムごとにID・パスワードを管理しなければならない状態が続く限り、使い回しのリスクを完全になくすことは難しくなります。そこで検討したいのが、SSO（シングルサインオン）によるログイン管理の一元化です。SSOとは、一度の認証で複数の業務システムやクラウドサービスにログインできるようにする仕組みです。

SSOを導入すると社員が個別に管理するID・パスワードの数を減らせます。覚えるパスワードが少なくなれば、同じパスワードを複数のサービスで使い回すリスクも下がります。社員にとってはログインの負担が軽くなり、企業にとっては認証管理を一元化しやすくなります。

また、SSOは多要素認証と組み合わせることで利便性とセキュリティを両立することも可能。社員のログイン手順を簡素化しながら、必要な場面では追加認証を求めることで、不正アクセス対策を強化できます。

情シスや管理部門にとっても、ログイン状況や利用サービスを把握しやすくなる点は大きなメリット。個別のシステムごとに認証情報を管理するのではなく、認証基盤をまとめることでアカウント管理やセキュリティ対策を進めやすくなります。