「パスワードだけでは守れない」その理由、知っていますか?
“知っているだけ”の認証が危ない時代
「うちの会社、全員“1234”でログインしてるんです」
ある中小企業の総務担当・Sさん(仮名)は、社内の業務端末のアカウント設定について、ちょっとした相談のつもりで話してくれました。
「部署にある共有PCだから…別にいいかなと思って」
しかし、そこで私たちが最初に伝えたのはシンプルな事実でした。
「パスワードだけでは、情報は守れません」
パスワードは「知っていれば通れる」だけの仕組み
「認証」と聞くと、多くの人は「パスワード」を思い浮かべます。ですが、パスワードだけの認証は、実は非常にもろいのです。
理由は簡単。
それは、パスワードは“知っている人”なら誰でも使えるという点にあります。
- 同僚にパスワードを教えたら、誰でもその人になりすませる
- メモに書いていたパスワードが盗まれたら、簡単に侵入される
- パスワードを使い回していたら、別のサービスから漏れて攻撃されることも
実際に、2024年にも日本国内の複数の企業で、「社内共有パスワード」がネット上に流出し、機密資料が第三者に閲覧される事件がありました。
なぜ「二要素認証」が必要なのか?
パスワードの弱さを補うために、現在多くの企業・団体で導入が進んでいるのが「二要素認証」という仕組みです。
二要素認証は、「知っている」だけでは足りないように設計されています。具体的には、次のような2つの認証要素を組み合わせます。
よく使われるのは、パスワード+スマートフォンに届くワンタイムコードです。
たとえパスワードが誰かにバレても、本人のスマートフォンがなければログインできません。
実際にあった「二要素認証未導入」による被害
Sさんの会社では、ある日、営業部門のアカウントで深夜に大量の送信履歴があることが判明しました。調べてみると、社内資料が添付されたメールが外部に送信されていたのです。
原因は、「以前に辞めた社員のアカウントとパスワードがそのまま残っていた」こと。
しかも、パスワードは社内で共有されており、一部が外部に漏れていた可能性が高いということでした。
この事件をきっかけに、Sさんの会社では全社的に次のような対策が始まりました。
- 各社員に個別アカウントを発行
- 全アカウントに二要素認証を導入
- 定期的なパスワード変更ルールの策定
- 退職者のアカウント削除の徹底
「うちはそんな大きな会社じゃないし、狙われないと思ってました」と話していたSさんも、今では「セキュリティ対策は規模に関係なく必要」と、社内で積極的に啓発しています。
まとめ
もしこれがあなたの職場だったら…?
・「共通パスワードだから、管理がラク」
・「スマホにコードを送るなんて、正直めんどう」
・「誰が使ったかなんて、あとでわかればいいでしょ」
・「共通パスワードだから、管理がラク」
・「スマホにコードを送るなんて、正直めんどう」
・「誰が使ったかなんて、あとでわかればいいでしょ」
…それらが、ある日突然「情報漏洩」「業務停止」の原因になるかもしれません。
特別なスキルや高価な設備がなくても、二要素認証はすぐに始められる対策です。まずは、自分のパスワードが「知っているだけの情報」になっていないか、見直してみませんか?
おすすめチェックポイント(簡易リスト)
- 同僚とパスワードを共有していないか?
- パスワードを他のサービスでも使い回していないか?
- 退職者のアカウントがそのまま残っていないか?
- 自分のアカウントに二要素認証を設定しているか?
二要素認証ログインのYubi Plus
Yubi Plusは、Windowsパソコンで、安心・安全な二要素認証ログインを可能にします。
