サイバーセキュリティ 
『HIPAA Journal (医療保険の携行性と責
世界で初めて、初期設定のパスワードなどを禁止するイギリスのPSTI法(Product Security and Telecommunications Infrastructure Act)が2024年4月29日に施行されました。
この法律により、「password」や「123456」などといった推測しやすく簡単な初期設定によく利用されるパスワードが禁止になりました。
このような簡単なパスワードを今でも利用している人はいませんか?
これにより、企業だけでなく個人でもパスワードの管理方法を考え直させられます。
そこで、このブログでは、イギリスで施行されたPSTI法とは、強力なパスワードを作るポイント、そしてパスワードマネージャーがどのようにパスワードの悩みを解決してくれるのかご紹介します。
Keeperの無料トライアルで、パスワード管理をもっと簡単に。
安心・安全・便利を個人用30日間無料で体験しましょう
PSTI法とは?
2024年4月29日にイギリスでPSTI法(Product Security and Telecommunications Infrastructure Act)が施行されました。
このPSTI法は、IoT製品のサイバーセキュリティ対策や通信インフラを強化することを目的とした法案です。
主にこの法律で定められているポイントは以下のようにあります。
- 製品セキュリティの強化
- 製品セキュリティの透明性の向上
- 通信インフラの改善
- 罰則規定
この法律は、最低限のセキュリティ基準を全面的に施行し、脆弱なデバイスがMiraiのようなDDoSのボットネットに取り込まれるのを防ぐことを目的としています。
インターネットに接続できる以下のような製品に適用されます。
- スマートスピーカー、スマート照明、スマートテレビ
- スマートカメラ、スマートドアベル
- スマートフォン、スマートウォッチ、ゲーム機器
- スマート家電(冷蔵庫、洗濯機、掃除機、電球など)
- ルーターやモデム
あくまでこちらで上がっている例は、一例に過ぎませんが、あらゆるデバイス機器の初期セキュリティの設定の基準が求められるようになりました。
ワンポイント:マルウェアのMirai(ミライ)とは?
Miraiは、ルーターやWebカメラなどのIoT機器を標的とするマルウェアです。このマルウェアは、侵入したIoT機器を連携させ、ボットネットを形成します。このボットネットを通じて、攻撃者は外部のC&Cサーバーから指示を出し、DDoS(分散型サービス拒否)攻撃を実行します。
DDoS攻撃とは、乗っ取った機器を利用して攻撃対象に大量のデータを送りつけ、過負荷を引き起こすことでサービスを妨害する攻撃です。たとえば、大量のデータを標的のサーバに送りつけて、サーバをダウンさせることが典型的な手法です。
Miraiによって2016年、アメリカでは、Twitter、Spotify、Reddit、Netflix、Wall Street Jounralなど多くの大手サービスが約6時間以上ダウンするインシデントも過去には発生しています。
これらのことから、「password」「admin」など古典的なものを含む、推測しやすいデフォルトパスワードの使用することが、機器遠隔操作に繋がるため、パスワードの重要性が改めて世界中に知れ渡りました。
PSTI法から考える強力なパスワードのあり方とは
イギリスでは初期のパスワード設定に関する法律が施行され、アメリカでは過去に脆弱な初期パスワードが原因で大きなインシデントを招いていることを考えると、もう一度、自分や自分の組織のパスワードのあり方を考えてみることが大事になります。
そのため、強力なパスワードを設定することが、サイバー攻撃の被害に遭う確率を下げるための第一ステップと言えます。
簡単に推測されない、長くて複雑なパスワードを利用しましょう。大文字、小文字、数字、記号を組み合わせた最低16文字以上のパスワードを設定することを推奨します。
強力なパスワードを作成するための6つのポイントが以下の方法です。
- パスワードは16文字以上にする
- 大文字、小文字、数字、記号を組み合わせて使用する
- 辞書に載っている推測しやすい簡単な単語やフレーズを使用しない
- 連続した数字や文字を使用しない
- 個人情報(ペットの名前、自宅の住所など)を使用しない
- 他のサービスで利用している同じパスワードを使い回さない
これにより、パスワードの推測やクラッキングが困難になります。このようなパスワードを効率的に作成し管理するためには、パスワードマネージャーの利用を推奨します。
パスワードマネージャーでパスワードの管理の悩みを解決
アカウント毎に強力なパスワードを考えるのが難しかったり、パスワードを管理するのが面倒などと思っている方には、パスワードマネージャーがパスワードにまつわる悩みを解決してくれます。
ここでは、パスワードを適切に管理するためにどのようにパスワードマネージャーが役立つのかご紹介します。
脆弱なパスワードを排除し、パスワードの可視化ができる
Keeperのようなパスワードマネージャーは、複雑で強力なパスワードを自動的に生成し、暗号化されたボルトにあなたのパスワードを保存します。
これにより、「password」や「123456」といった推測しやすいパスワードを排除し、各アカウントに対してそれぞれ強力なパスワードを設定できるので、パスワードの使い回しがなくなります。
さらに、パスワードの強度を評価し、脆弱なパスワードや使い回されているパスワードを警告してくれます。これにより、警告が現れたら速やかにパスワードを変更することで、アカウント乗っ取りなどの被害に遭う前に対策を取ることができます。
このように、Keeperパスワードマネージャーのようなツールでパスワードの強度を可視化することで、パスワードを管理しやすくなります。
パスワードの記憶が不要になる
平均的なユーザーは、金融、SNS、職場、学校のアカウントなどを含めると、約100件ものオンラインアカウントを持っています。
つまり、ユーザーは100種類以上の異なるパスワードを覚えることが必要となるのです。
このため、ユーザーは複数のアカウントで同じパスワードを使用したり、同じパスワードに少しの変化を加えたものを使用したりすることがよくあり、結局アカウントがハッキングされるリスクを高めることになるのです。
パスワードマネージャーを使用すれば、マスターパスワードのみがユーザーが覚えないといけない唯一のパスワードとなります。マスターパスワードはパスワードマネージャーにアクセスする鍵となり、他のすべてのパスワードは自動的に入力されるため、個々のパスワードを記憶する必要がありません。また、マスターパスワード以外にも顔認証や指紋認証などの生体認証、パスキーなどを使ってパスワードマネージャーにログインすることも可能なので、よりパスワードレスに管理することができます。パスワード疲れが軽減するので、安全性のみならず利便性が同時に向上します。
フィッシングやなりすましに対する保護が強化される
パスワードマネージャーは、フィッシング詐欺に対する効果的な対策になります。
Keeperのようなパスワードマネージャーは、ボルトに保管されている登録済みの本物のウェブサイトのURLと照合してログイン情報を自動入力するので偽物のウェブサイトには自動入力を行いません。そのため、ユーザーが誤って情報を入力するリスクを減らします。
パスワードマネージャーが認証情報を自動入力しない場合、これはユーザーがアクセスしているサイトが正規のものではなく、悪意のあるサイトである可能性が高いという即座の危険信号です。
安全なパスワード共有機能
企業内のチームや家族間でパスワードを共有する必要がある場合、パスワードマネージャーは安全な共有機能を提供します。
特にKeeperのパスワードマネージャーは安全性を兼ね備えたパスワード共有機能を提供します。
パスワードを共有する際に、時間制限をかけたワンタイム共有や、企業内でログイン情報が漏洩しないように社内のメンバーのログイン情報に詳細な共有制限を強制的に設定することも可能です。
これにより、パスワードを暗号化されていないテキストメッセージやEメールなどで送るリスクを避けることができます。
また送り主がKeeperを利用している場合は、受信者がKeeperアカウントを利用していなくても、リンクを受信してファイルにアクセスできます。 これにより共有プロセスを簡素化するだけでなく、Keeper以外のユーザーと共有する場合でも、最高レベルのセキュリティが確実に維持されます。
まとめ:Keeperでパスワードの管理方法を見直そう
PSTI法の施行により、IoTデバイスのセキュリティが強化されることが期待されていますが、個人としても自分のパスワード管理に対する意識を高めることが重要です。
Keeperのパスワードマネージャーは、脆弱なパスワードを排除し、強力なパスワードを生成し管理するために、パスワードマネージャーの使用は非常に有効です。
パスワードの記憶や管理の負担を軽減し、セキュリティを高めるために、ぜひKeeperを活用してください。
まずは、この機会に、Keeper パスワードマネージャーの30日間の個人プランフリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。
