いまどきの"パスワード"のはじめかた

いまどきの "パスワード"の はじめかた セキュアスカイ What’s Up #6 in 福岡

※本日の内容は個人的な見解です。所属する組織や団体とは無関係です。

1. はじめに

自己紹介

hayapi コーポレートITとセキュリティ領域なんでもやる人 アーキテクチャの設計・実装 セキュリティ戦略・ガバナンス・マネジメント 脅威分析 etc. 登壇歴 / ブログ(順不同) JNUC 2025 Denver / 2024 Nashville Jamf Nation Live 2024 Tokyo / Taipei 脅威モデリングナイト #2, #9 SST What's Up #1 「VPNは廃止しなければならないのか」 etc. @yo_hayasaka

• https://note.com/yohayasaka/n/ne129d81ac53c
• https://x.com/yo_hayasaka

みなさん、 パスワードの運用と管理はきちんとできてますか？

この話の前提

業務で利用するパスワードの話です。 SSOを導入している組織でも、現実的にはパスワード運用が一部残ると思うの で、そのパスワードの話です。 パスキーや多要素認証の話ではないです。 パスワードの運用・管理を布教するIT管理者視点の話です。

目次 1. はじめに ｲﾏｺｺ 2. いまどきのパスワード 3. いまどきのパスワード管理の選択肢 4. じゃあ、組織でどの方法を選択すれば良いのか 5. おまけ

2. いまどきのパスワード

NIST SP 800-63Bにおける 「パスワード」

要件をざっくり書き出すとこう(3.1.1.2. Password Verifiers) 最低15文字以上であること(推奨) 多要素認証の場合は最低8文字以上であること(推奨) 最低64文字の長さを許容すること (必須) すべてのASCII文字とスペースを許容すること (必須) 英数字記号の混在は強制しないこと(推奨) 定期的なパスワード変更を強制しないこと(推奨)

続き(2/3) 「秘密の質問」や「ヒント」の登録を求めないこと(推奨) 一部分ではなく、全文で検証すること(推奨) 次のようなパスワードは、別のパスワードに変更を促すこと(推奨) 過去に漏洩しているパスワード 辞書に載っている単語 サービス名やユーザー名など推測しやすいパスワード

続き(3/3) 認証失敗回数に応じてBot認証やロックアウトを実施すること(推奨) オートフィルを許可すること(推奨) それができない場合は、ペーストを許可すること (必須)

この中で、利用者に意識してもらうところはこれ 最低15文字以上であること 多要素認証の場合は最低8文字以上であること 次のようなパスワードは、使わないこと 過去に漏洩しているパスワード 辞書に載っている単語 サービス名やユーザー名など推測しやすいパスワード ＋使い回しは禁止 ＋漏洩した可能性がある場合は速やかに変更すること

3. いまどきの パスワード管理の選択肢

一昔前まで

ローカルファイル テキストエディタ、Excel(パスワード保護なし/あり) Excelのバージョンによっては簡単にパスワードを解除できる

パスワードマネージャー

ブラウザ一体型 Googleパスワードマネージャー、Microsoftパスワードマネージャー など Chromeの1機能として2000年代後半に登場 パスワードの自動生成と保存、URLを見てオートフィルをしてくれる

スタンドアローン型 ローカルに暗号化されたデータベースファイルを作成して管理 ブラウザ拡張機能を導入するとブラウザ上での自動生成やオートフィルに対応

クラウド型 1Password、KEEPER、Bitwarden など SaaSとしてクラウド上にパスワードを保管。マルチデバイス対応 ブラウザ以外のパスワード入力項目でもサジェストしてくれる

ざっくり比較

比較(1/2)

比較(2/2)

自動生成、保存、オートフィルしてくれる パスワードマネージャーは優秀 基本的にはこの中から選ぶのが良い

4. じゃあ、組織で どの方法を選択すれば良いのか

理想的な運用

利用者にパスワードを"作らせない" 利用者にパスワードを"覚えさせない"

どれを選ぶ？

クラウド型が良いケース 担当者間で共有が必要なパスワードがいくつかある(公式SNSなど) PC＋スマホのように一人が複数のデバイスを業務利用している 予算が確保できる(月額$6〜9程度/ユーザー)

スタンドアローン型でも良いケース 担当者間でパスワードを共有する必要がない 基本的にPCのみで業務を行う ※マルチデバイスで使いたい場合はクラウドストレージ等で同期

ブラウザ一体型を使うしかないケース 前述を普及できるほど組織のITリテラシーが高くない(教育も困難) 業務がブラウザベースで完結する ※インフォスティーラー対策として、せめてブラウザは常に最新の状態に保つ

どうしてもExcelを使うしかないケース ＜どうしてもテキストエディタやExcelがいい！ せめて、パスワード保護したExcelを使う 保護に使うパスワードは覚えられるかぎりで複雑な文字列にする パスワード生成はその手のWebサービスなどを使って生成する(無料でも良い) 生成AIを使ってパスワード生成は絶対にしない！

それぞれの特性を理解して、 組織に最適な方法を選択しよう

そしてそのまえに

組織で使っているシステムのパスワード要件は "いまどき"にアップデートしよう 「( 2. いまどきのパスワード」参照)

5. おまけ

administratorを使っているサーバたち どうする問題

パスワード強度が低いadministrator/rootアカウント 組織内のネットワークへの侵入や横展開に悪用されるケースは定番 NW機器などローカル管理者アカウントのパスワードは比較的難易度は高くない 一方で、Windowsのドメイン管理者のパスワード変更はなかなか難しい

これらの改善に取り組むときの例

※類似の管理者アカウント使用箇所の調査・見直し作業を行なったときベースの話です。

Step1: ドメイン管理者で実行しているタスクを洗い出す

1. サーバの一覧を片手に タスクスケジューラなどから実行されているタスクを確認 する Administratorで登録されているタスク Administratorのパスワードが平文で書かれている（！）バッチファイル 2. 実行に必要な権限を持ったアカウントを払い出して順次切り替えていく

Step2: ドメイン管理者でログインしているサーバを洗い出す

1. 該当のサーバと管理者権限で実行されているミドルウェア・サービスを洗い出す 2. 見つかったものを以下いずれかの方法で切り替えていく 理想としては、サーバごとに必要な権限を付与した管理者アカウントを発行す る すぐに切り替えることが難しければ、ドメイン管理者のパスワードを強度が高 いものに変える(変えちゃう) リプレスのタイミングでは適切なアカウントを使うように要件に入れておく

いずれにしても

とても地道な作業、かつ何の生産性もない作業なのであとに回されがち とはいえ、やらなければならないこと 他社のセキュリティインシデントなどで世の中が盛り上がっているとき、いい かんじに話を出してリソースを確保するムーブをする 重要なシステムから重点的にやっていく すべてのサーバを一度にやろうとするとリソースが不足するので

みなさん、がんばりましょう！！！！

Thank you.