安全なパスワード設定方法とは？注意点やセキュリティレベルを高める方法を解説

サイバー攻撃の多様化・高度化が進んでいる現代社会において、安全なパスワードの必要性は一層高まっています。リスクの高いパスワードを使っている方は、安全なパスワードの設定方法を知り、セキュリティレベルを効果的に高めるとよいでしょう。 
 

この記事では、安全なパスワードが必要な理由や危険なパスワードの特徴、安全なパスワードの設定方法などについて解説します。セキュリティレベルを高めたい方におすすめのサービスも紹介しているので、ぜひ参考にしてください。 

 

■安全なパスワードが必要な理由

IT機器やWebサービスを使う際のパスワードは、家や金庫の鍵に相当するものです。安全性に配慮しなければ、大切な情報を盗まれるなどの被害につながる恐れがあります。クレジットカードなどの個人情報が流出し、金銭的な損失が生じるケースも珍しくないため、厳重に管理することが重要です。 

安全性の高いパスワードは、不正アクセスを防止するだけでなく、犯罪に加担する事態を防ぐことにも役立ちます。パスワードの安全性が低いためにSNSなどを乗っ取られ、犯罪に悪用されることもあります。攻撃者がなりすましを行なうことで、SNSなどでつながっている知人が信用し、詐欺の被害に遭ってしまう場合もあるのです。 

そのほか、パスワードの流出で企業の機密情報が漏れ、社会的な信頼を失う事態も起こり得ます。大切な情報を守ると同時に、他人に迷惑をかけないためには、安全なパスワードを設定してセキュリティレベルを高めることが重要です。 

 

■危険なパスワードの特徴 

サイバー攻撃の標的になりやすい危険なパスワードには、いくつかの特徴があります。ここで紹介する特徴が当てはまるパスワードを使っている場合は、安全性を高める対策を早急に講じるとよいでしょう。 

ここでは、危険なパスワードの特徴について具体例を交えながら紹介します。 
 

◇覚えやすいパスワード

パスワードを忘れないように、覚えやすい文字列で作成する人は少なくありません。しかし、単純で覚えやすいパスワードは、他人に見抜かれやすい文字列でもあります。攻撃者がパスワードを当てようとするときにまず試す可能性が高いため、単純な文字列は避けるのが賢明です。 

覚えやすいパスワードの具体例としては「12345678」「000000」「aaaaaaaa」などが挙げられます。「zxcvbn」「1qaz2wsx」のように、キーボードの配列をそのまま使うのも避けましょう。 

「password」「baseball」「strawberry」などの一般的な英単語も危険です。単純なパスワードを使っていると、偶然突破されてしまうリスクも高くなります。 

 

◇推測しやすいパスワード 

第三者に推測されやすい、名前や生年月日を使ったパスワードも避けたほうがよいでしょう。個人情報のなかには入手しやすいものもあり、パスワードに使うと簡単に当てられてしまう恐れがあります。 

入手しやすい個人情報としては、名前や生年月日、住所、電話番号、車のナンバーなどが挙げられます。「katoichiro」「08012345678」「19900101」など、個人情報をそのまま使ったパスワードは危険なので避けたほうが無難です。 

「kato0101」のように、名前と誕生日を組み合わせた文字列なども、安直で推測されやすい傾向です。基本的に、個人情報を入手した人が簡単に推測できるような文字列は使わないことを心がけましょう。 

 

◇短すぎるパスワード 

サイバー攻撃でパスワードを突破する際に常套手段として使われるのが、組み合わせられる文字列をすべて試す「総当たり攻撃（ブルートフォース攻撃）」です。総当たり攻撃を効果的に防ぐためには、パスワードの文字列を長くする必要があります。 

一方、パスワードが短いと総当たり攻撃を受けた際に短時間で突破されてしまいます。そのため、パスワードの安全性を高めるにはなるべく長くすることが大切です。 

「af」「dx」などの短いパスワードは避け、数字や英字、記号などを組み合わせた長いパスワードを設定しましょう。 

 

◇流出したことがあるパスワード 

すでに流出したことがあるパスワードは、攻撃者の保有するリストに載っている可能性があります。パスワードが流出したにもかかわらず、同じ文字列を使い続けると再び被害に遭ってしまう可能性が高いため、注意が必要です。 

パスワードが流出してしまった場合は、新しい文字列を考えるようにしましょう。 

 

◇使いまわしているパスワード

パスワードをいくつも覚えておくのが面倒だからと、複数のサービスで同じパスワードを使いまわすのも危険な行為です。なぜなら、あるサービスのパスワードが流出したときに、ほかのサービスでも悪用されてしまう恐れがあるためです。 

同じパスワードを使いまわすのはもちろん、単純な法則性でパスワードを設定するのも危険性が高いといえます。後述するように、サービスごとの安全なパスワードの設定方法を押さえ、リスクを未然に回避しましょう。 

 

■脆弱なパスワードによる情報漏洩・乗っ取りの事例 

脆弱なパスワードを設定したことで、これまでに多くの人が「リスト型アカウントハッキング（リスト型攻撃）」の被害に遭っています。リスト型アカウントハッキングとは、攻撃者が不正に入手したIDやパスワードの情報を使い、ほかのWebサービスへのログインを順番に試す攻撃手法のことです。 

リスト型アカウントハッキングの事例としては、2019年7月、決済サービスの「7pay」で数千万回の不正ログインが発生しました。この事件でユーザーの電子マネーが不正に利用された結果、7payはサービス終了に追い込まれています。 
 

また、2019年5月、「ユニクロ」および「GU」の公式通販サイトで46万件の個人情報が流出しました。運営元の株式会社ファーストリテイリングは、パスワード再設定をユーザーに依頼するなど迅速に対応し、実害にはつながりませんでした。 

 

根本的に、これらの被害は複数サービスでのパスワードの使いまわしが原因となっています。リスト型アカウントハッキングの被害を防ぐためには、サービスごとに異なるパスワードを設定し、セキュリティを強化することが大切です。 

 

■安全なパスワードの設定方法

いくつかのポイントに注意すれば、運用しやすい安全なパスワードを作成できます。ここからは、安全なパスワードを設定する際の4つの手順を紹介します。 

 

◇1. 10桁以上の文字列にする 

先述のとおり、パスワードは文字列が長く複雑になるほど安全性が高まります。パスワードのセキュリティを高めるためにも、数字と英字（大文字・小文字）、記号を含め、10文字以上にするとよいでしょう。 

Webサービスのなかには10文字未満のパスワードしか設定できないものもありますが、セキュリティ対策が十分でない可能性があるため、利用の際は慎重な姿勢が求められます。 

 

◇2. 基本ルールを決める

はじめに、コアとなるパスワードを作成するために、基本ルールを決めます。自分の好きな言葉や食べ物などを1つ取り上げ、ローマ字表記にしてみましょう。 

例えば、「ちらし寿司」なら「tirasizusi」に変換します。このとき、あえて通常のヘボン式は採用せず、「ち」を「chi」ではなく「ti」、「し」を「shi」ではなく「si」と表記します。常識から外れたルールを適用することで、パスワードの文字列をより予測しにくくするわけです。 

ここで決めた文字列を、これから設定するパスワードの基本とします。 

 

◇3.　マイルールで複雑にする

次に、マイルールを設定し、基本ルールで決めたフレーズをより複雑に改変していきます。マイルールの決め方としては、アルファベットを記号や数字に置き換える、変換後に特定の記号を付け加えるなどが考えられます。 

以下のようなルールを自分なりに設定し、適用してみるとよいでしょう。 

 

•  

　●「a」を「@」に、「i」を「1」に、「z」を「2」に置き換える

　●置き換えた後に「!」を付ける 

 

上記のルールを適用すると、「tirasizusi」は「t1!r@!s1!2!us1!」となります。アルファベット、数字、記号が組み合わさり、より複雑な文字列になったことがわかるでしょう。 

この「t1!r@!s1!2!us1!」をコアパスワードとして、次のステップに進みます。 

 

◇4.各サービスで追加ルールを適用する

最後に、利用するサービスごとに、コアパスワードに付け加える文字列のルールを決めます。 

例えば、サービス名の1文字目（大文字）と3文字目を取り、パスワードの最後に加えることにしましょう。すると、各サービスのパスワードは以下のようになります。 

 

　●X→t1!r@!s1!2!us1!_X 

　●YouTube→t1!r@!s1!2!us1!_Yu 

 

このような手順で、サービスごとに異なる複雑なパスワードを作成できます。 

なお、ここで紹介したパスワードの作成方法を「コアパスワード方式」と呼びます。コアパスワード方式では、複雑なコアパスワードにサービスごとの文字列を追加することで、簡単かつ安全にパスワードを管理可能です。 

 

 

■パスワードを設定する際の注意点

ここからは、パスワードを設定するときに注意すべき2つのポイントを紹介します。 

 

◇定期的な変更は必要ない

利用するサービスによっては、パスワードの定期変更を求められる場合があります。従来の認識では、長期間にわたって同じパスワードを使うのは危険と考えられていたためです。 

しかし、2018年3月に「流出しない限りパスワードを変更する必要はない」という見解を総務省が公式に表明しています。従来と方針が変わった理由は、定期的な変更によってパスワードがパターン化して予測しやすくなるなど、かえってリスクが高まるためです。 

設定したパスワードは容易に変更せず、流出時に速やかに対応することが重要です。パスワードの定期的な変更が不要である件について、詳しくは以下の記事をご参照ください。 

参考：総務省から「パスワードの定期変更は不要」と発表|安全なパスワード管理・設定方法を紹介 

 

◇適切に保管する

複雑で推測されにくいパスワードを作成しても、適切に保管しなければ意味がありません。人の目に触れる場所にメモを貼ったり、知人にパスワードを教えたりするのは避け、流出リスクを軽減しましょう。 

 

パスワードをどうしても覚えられず、紙に書いて保管する場合は、鍵付きの金庫などに入れておくのが賢明です。後述しますが、パスワード管理ツールを使う方法もおすすめです。パスワードの適切な保管で、サイバー攻撃から個人情報を保護するとよいでしょう。 

 

 

■パスワードのセキュリティレベルを高める方法

パスワードを複雑にする方法に加え、ほかの認証方式やツールを活用することで、セキュリティレベルをさらに高められます。ここでは、パスワードのセキュリティレベルを高める2つの方法を紹介します。 

 

◇多要素認証を活用する

多要素認証とは、「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて利用者を認証する方式のことです。パスワードは知識情報に該当し、所持情報としてはスマートフォンやICカード、生体情報としては指紋などが挙げられます。 

パスワードだけでなくデバイス認証や生体認証を組み合わせてWebサービスにログインすることで、セキュリティレベルをより高められるでしょう。 

 

◇パスワード管理ツールを活用する

パスワード管理ツールを使うと、マスターパスワードだけで複数のパスワードを一元管理できます。複雑なパスワードをすべて覚えておく必要がなくなるうえ、マスターパスワードは多要素認証などで厳格に管理されるので安心です。 

パスワードを自動生成してくれるツールもあり、セキュリティレベルを維持しながら、煩雑な手間を省けます。パスワード管理ツールを選ぶ際は、多要素認証にも対応している、信頼性の高いサービスを利用するとよいでしょう。 

 

 

■パスワードを安全・効率的に管理できる「GMOトラスト・ログイン」がおすすめ

これまでご紹介したセキュアなパスワード設定は、不正ログイン等のリスク対策になりますが、複雑なパスワード文字列が膨大になることで、日々の運用が現実的ではなく感じる方もいるのではないでしょうか。

そこで、「GMOトラスト・ログイン」がおすすめです。GMOトラスト・ログインはクラウド型のID管理サービスで、ログイン後は１クリックでパスワードの入力作業なくそれぞれのサービスにログインできる「シングルサインオン」に対応しています。一度ログインすれば、それぞれのサービスのパスワードを複雑に設定しても、日々のログイン作業に負荷をかけることなく、安全なパスワード運用と効率的な管理を両立することができます。 

多要素認証の導入で、スピーディーにセキュリティを強化できる点もGMOトラスト・ログインの魅力です。また、国産アプリとの連携を重視しており、国内最多である8,000以上のクラウドサービスやwebシステムに対応しています。 

20年以上の実績を持つ認証局であるGMOグローバルサインが提供しているため、パスワード情報の保管も高いノウハウにより構築された体制で管理されセキュリティ体制も万全です。安全にパスワードを設定・管理したい方は、GMOトラスト・ログインの利用をご検討ください。 

 

 

■まとめ

パスワードを適切に管理しないと、個人情報の流出やフィッシング詐欺などの被害に遭う恐れがあります。コアパスワード方式を取り入れ、長く複雑なパスワードをサービスごとに設定するのがおすすめです。 

安全性の高いパスワードに加えて、多要素認証やパスワード管理ツールを組み合わせることで、セキュリティレベルはさらに高められます。GMOトラスト・ログインのサービスを利用し、安全にITサービスを利用してみてはいかがでしょうか。