そのままで大丈夫？ 仕事の見落としリスク辞典（第1回） パスワード使い回し

業務で使うクラウドサービスやシステムへのログインに、個人で使っているものと同じパスワードを設定していないだろうか。一見、些細な習慣に見えるパスワードの使い回しは、企業の情報漏えいやシステム侵害につながる深刻なリスクをはらんでいる。本記事では、中小企業で特に起きやすいパスワード使い回しのリスクと、今すぐ着手できる対策を解説する。

パスワード使い回しのリスクとは？

　パスワード使い回しとは、複数のクラウドサービスやECサイトのログインに同じパスワードを設定する行為を指す。どれか1つのサービスでパスワードが漏えいしたり、盗まれたりすると、連鎖的に被害が拡大する危険性がある。個人が利用していたECサイトがサイバー攻撃を受けてIDとパスワードが流出したことで、企業のシステムに侵入される恐れもある。

　このように、1つのパスワード流出が組織全体のセキュリティ崩壊につながりかねない点が、パスワード使い回しリスクの本質だ。

なぜ中小企業で起きやすいのか？

　パスワード使い回しリスクは、中小企業で発生しやすい傾向がある。独立行政法人情報処理推進機構（IPA）の調査でも、中小企業におけるセキュリティ対策の遅れが繰り返し指摘されている。主な要因は以下の通りだ。

1．従業員のセキュリティ教育が不十分

　中小企業では従業員向けのセキュリティ教育が徹底されていないケースが多く、ITリテラシーが全体的に低い傾向がある。その結果、推測されやすいパスワードが設定されたり、個人利用のパスワードが企業システムにも流用されたりする状況が生まれやすい。

2．情報セキュリティポリシーが整備されていない

　組織としての情報セキュリティポリシーが曖昧で、パスワードに関する規定が存在しない企業も少なくない。規定がなければ、自分の名前や生年月日など推測しやすい文字列の使用、短すぎるパスワードの設定、全サービスで同一パスワードを使い続ける行為を、従業員が問題と認識しないまま続けてしまうリスクがある。

3．不正ログイン対策が不十分

　多くの中小企業では、システムへのログイン手段を従来型のIDとパスワードだけに頼っており、高度化するサイバー攻撃を防ぐ仕組みが導入されていない。パスワードが一度漏えいすれば、不正ログインを止める手段がない状態に陥ってしまう。

放置するとどうなる？

1．アカウントが乗っ取られて詐欺に悪用される

　ECサイトやSNSがサイバー攻撃の被害を受けた場合、大量のIDとパスワードが流出する。攻撃者はそのデータを悪用して従業員本人になりすまし、取引先や社内への詐欺行為に発展するケースがある。

2．不正アクセスにより重要な情報が盗み出される

　企業システムへのログインに使っていたパスワードが盗まれ、かつシステム側の防御体制も脆弱な場合、攻撃者は容易にシステムへ侵入できる。顧客情報や機密データが盗み出されたり、業務を妨害する不正操作が行われたりするリスクが高まる。

3．踏み台にされて取引先にまで被害が拡大する

　攻撃者はサプライチェーンの中でセキュリティが脆弱な中小企業のシステムに侵入し、そこを足がかりに取引先の大手企業へのアクセスを試みる場合がある。自社が踏み台になることで取引先に損害を与えてしまうと、取引停止や風評被害など、企業の存続に関わる深刻なダメージを受けかねない。

今すぐできる最初の一手

　パスワード使い回しリスクを軽減するにはいくつかの対策が考えられる。着手しやすい対策から順に実施していくことをお勧めしたい。

1．従業員へのセキュリティ教育を実施する

　サービスごとに異なるパスワードを設定する、推測されやすいパスワードにしない、といったセキュリティ対策の基本を従業員に周知するだけでも、リスクを大きく下げられる。IPAは教育用のマニュアルや映像教材を無料で提供しているので、積極的に活用してほしい。

2．パスワード管理を強化する

　従業員教育で企業システムへの個人パスワード流用を禁止すると共に、管理体制そのものの強化も欠かせない。ブラウザーに標準装備されているパスワード管理機能を使えば、サービスごとに強力なパスワードを自動生成・保存できる。さらに厳格な管理が必要な場合は、有料の専用パスワード管理アプリの導入も選択肢になる。

3．多要素認証を併用する

　パスワードだけに頼らないセキュリティ強化策として、多要素認証の導入が効果的だ。IDとパスワードによる認証に加えて、顔認証・指紋認証などの生体情報や、スマートフォンへのコード送信による本人確認を組み合わせることで、パスワードが万一漏えいしても不正ログインを防ぐ壁を設けられる。また、パスワード自体を不要とするパスキー（Passkey）認証の採用も、近年注目を集めている。

　明日からでもできるリスク軽減策は色々ある。自社にどのようなリスクが潜んでいるかを把握した上で、実効性のある対策を1つずつ積み上げていくことが、企業を守る第一歩になる。

※掲載している情報は、記事執筆時点のものです。