中小企業が直面するパスワードに関する問題４選

中小企業のオンラインセキュリティが安全でないことによる危険性に焦点を当てた記事が増えています。マルウェアやランサムウェアの流入や、サイバー攻撃全体の70％が中小企業に対するものであるという事実は、当然のことながら中小企業の経営者たちを不安にさせています。

しかし、こうしたリスクの原因は、ほとんどの場合、意外と単純なものです。ハッキングの大半は、人為的なミスや、簡単に対処できる小さなセキュリティ上の問題が原因で起こります。この問題に対処し、パスワードを狙った一般的なハッキングやソーシャル・エンジニアリングに備えるために、ここではよくある問題とその対処法をご紹介します。

よくある問題１：従業員が自身のデバイスを使う

７０%以上の従業員が、自身が所有しているスマートフォンやタブレットから会社のデータにアクセスしていますが、そのデバイスは、会社のコンピュータと同じようにセキュリティが確保されているとは限らず、パスワードの使用を管理したり、オープンな公共ネットワークを避けるようにする方法はありません。なので、BYOD（個人所有デバイスの業務使用）ポリシーを徹底することで、従業員は企業データの保護をより厳格にし、データ損失を防ぐために導入したパスワードマネージャーまたはシステムを確実に使用するようになります。

従業員の在宅勤務やリモートワークが増加する中、中小企業では、従業員が仕事をする上で必要な機密情報は何か、また、それが個人の端末に渡ってしまう可能性はないかを検討する必要があり、そのような場合、VPN（仮想プライベートネットワーク）と安全な共有をサポートするパスワードマネージャーの導入が欠かせません。また、安全でないネットワークに接続することによる潜在的なリスクや脅威を従業員が理解できるよう、定期的なトレーニングを行うことも検討しましょう（下記参照）。

よくある問題２：共有パスワードまたは初期設定パスワード

開発時や新規アカウント作成時に設定されたデフォルト（初期設定）のパスワードは、よく変更せずにそのまま使われたり、そのままユーザー間で共有されてしまうことがあります。特に中小企業やスタートアップ企業では、ソフトウェアのシートが限られていたり、１つのアカウントからリソースを共有することがあるため、この問題はよくあります。

全ユーザーは、厳格なガイドラインに沿った固有のパスワードを使って、定期的にパスワードを更新すべきであり、初期設定されたパスワードは、アカウント作成時に直ちに変更すべきです。また、アカウント共有の全てにパスワードマネージャーを、ファイルアクセス共有にクラウドストレージを活用する必要があります。長くてユニークなパスワードを設定するには、パスワードジェネレータを使うのがおすすめです。パスワードジェネレータはほとんどのパスワードマネージャーに組み込まれており、そのパスワードは、複数のチームメイトと安全に共有されるでしょう。

よくある問題３：そもそもパスワードが安全ではない

パスワードの最もよくある問題の１つは、「覚えやすい」または「推測しやすい」パスワードを設定してしまいがちという点です！多くの人は、大文字や小文字、数字など異なる文字種を使用すれば短いパスワードでも安全だと勘違いしていますが、実際には、少なくとも１２文字以上の長さで、ある程度任意の文字列に設定しないと本当に安全なパスワードとは言えません。パスワードを作成する際は、長くて複雑なパスワードを意識して作成しましょう。

全パスワードに、パスワードジェネレータを使用することができますが、その場合は生成したパスワードを整理するパスワードマネージャーが必須です。長くて複雑な分、覚えるのが難しいうえ、アカウント1つごとに異なるパスワードを作成しなければならないので、全てのパスワードを覚えるのは事実上不可能です。パスワードマネージャーがないと従業員は覚えることができず、すぐに単純な覚えやすいパスワードに戻ってしまうことになります。

マスターパスワードなど、パスワードの暗記が必要な場合には、「TeamPassword-is-a-Blue-Padlock」などのパスフレーズや、色と動物と場所を組み合わせた「Blue-Flamingo-from-Tokyo」 のように、さまざまなものを組み合わせた推測されないパスワードを設定しましょう。このようなパスワードは意外と覚えやすく、１２文字以上で、珍しい言葉や辞書に載っていない言葉を使うと、とても解読しにくくなります。

よくある問題４：研修を受けていない従業員がリスクをもたらす

ハッカーの侵入経路として最も一般的なのは、従業員に対するサイバー攻撃をきっかけに侵入する方法です。スパムメールやなりすまし電話、あるいはカフェでの盗み見などによるソーシャルエンジニアリングは、悪質なデータ侵害よりも大きなハッキング被害やデータ損失につながります。従業員にフィッシングメールを見抜けるよう教育し、フォローアップできるよう対処法とベストプラクティスを身につけさせましょう。

パスワード管理、セキュリティに関するトレーニング、そして対処法を正しく行えば、ハッキングやデータ損失のリスクを大幅に減らすことができます。多くのハッカーが中小企業を標的にする理由は、企業レベルの組織のプロトコルがなく、標的にしやすいからです。リスク管理を徹底して、サイバー攻撃から会社を守りましょう。

TeamPassword をお試し

チーム内で共有が安全な共有が可能なパスワードマネージャーを使うことで、これらの問題を解決することができます。TeamPassword は、パスワードを保存し、チームで共有するための最もシンプルで最も安全な方法です。早速１４日間の無料トライアルにサインアップして、その使いやすさをぜひお試しください。