米国連邦政府機関におけるパスワードセキュリティの現状を評価
この記事の主なポイント:
NISTの技術的卓越性:NISTは、Bitwardenのようなパスワードマネージャーを支持する強力な技術的ガイダンスを提供していますが、ユーザーにとってわかりやすい提示には課題があります。
CISAのコミュニケーションにおけるリーダーシップ:CISAは、パスワードマネージャーを明確に推奨し、利用しやすいセキュリティリソースを作成することで、「優秀」評価を獲得しています。
導入のばらつき:連邦政府機関のパスワードセキュリティガイダンスやパスワードマネージャーの推奨には、大きなばらつきがあります。
改善傾向:4年間の分析から、各機関がBitwardenが支持するプラクティスに沿うよう、パスワードセキュリティの推奨事項を改善していることがわかります。
高まりつつある合意:連邦政府機関は、Bitwardenのようなソリューションが不可欠なセキュリティインフラを提供することをますます認識するようになっています。
近年、米国連邦政府全体でサイバーセキュリティに強い関心が寄せられています。多くの機関が、政府組織や大小の企業、消費者への教育を主導しています。
しかし、パスワードセキュリティに関して、すべての機関が同じ方針を取っているわけではありません。主要機関の一つである米国国立標準技術研究所(NIST)は、「米国産業界、連邦政府機関、そして広く一般のニーズに応えるため、サイバーセキュリティの標準、ガイドライン、ベストプラクティス、その他のリソースを策定」しています。
NISTのサイバーセキュリティページではさらに、「NISTのサイバーセキュリティに関する任務の一部は、連邦法、行政命令、ポリシーによって定められている。たとえば、行政管理予算局(OMB)は、すべての連邦政府機関に対し、国家安全保障システム以外のシステムについてNISTのサイバーセキュリティ標準とガイダンスを実装するよう義務付けている」と述べています。
残念ながら、NISTの推奨事項は、まだすべての連邦政府機関で普遍的に受け入れられ、実装されているわけではありません。NISTは各機関が従うとする標準を定めていますが、NIST自身にも弱点があります。それは、整理されていないウェブサイトです。
2025年は、Bitwardenがこの分析を実施して4年目になります。今年、NSAはパスワードマネージャーの推奨を追加したことで、評価が「良い」から「非常に良い」に改善しました。CISAのスコアは、情報をよりアクセスしやすく理解しやすくしたことで、「非常に良い」から「優秀」に上昇しました。NISTのウェブサイトは整理されていないままですが、その内容は非常に堅実です。ここ数年、CISA、FBI、FTC、SBAを含む多くの機関が、パスワードセキュリティの推奨事項と全体的なサイバーセキュリティ体制の面で、より良い方向へ進んでいます。
テクノロジーは急速に進化しています。企業にとっても個人にとっても、楽しいエンターテインメントサイトから銀行口座のような重要な金融サービスまで、多種多様なアカウントを通じて、私たちの生活の多くがオンライン上にあります。
この評価は、連邦政府が示すベストプラクティスと改善の余地について、パスワードを使うすべての人に関心を持ってもらい、理解を深めてもらうことを目的としています。連邦政府内にはパスワードセキュリティに対して堅実な教育的アプローチを取る機関が多い一方で、近代化に向けて少し支援が必要な機関もあります。
幸いなことに、パスワードセキュリティのベストプラクティスについては合意が形成されつつあります。本レポートでは、その詳細を整理し評価しています。
パスワードセキュリティの現状:連邦政府機関はパスワードセキュリティにどう取り組んでいるか
パスワードセキュリティ評価システムのガイドライン
この評価システムでは、以下の基準への準拠状況に基づいて各機関をランク付けします。
パスワードマネージャーの使用を推奨している
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するために2FA/MFAが必要であることを示している
全体的なセキュリティアドバイスが最新で、NISTガイドラインに準拠している
パスワードセキュリティの推奨事項が明確で理解しやすく、見つけやすい形で提示されている
パスワードマネージャーの使用を推奨している
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するために2FA/MFAが必要であることを示している
全体的なセキュリティアドバイスは最新で、NISTガイドラインに準拠している
パスワードセキュリティの推奨事項が、明確で理解しやすく、見つけやすい形で提示されていない
パスワードマネージャーの使用を推奨していない
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するための2FA/MFAの必要性に言及している
全体的なセキュリティアドバイスは最新ではなく、NISTガイドラインに準拠していない
パスワードセキュリティの推奨事項が、明確で理解しやすく、見つけやすい形で提示されていない
パスワードマネージャーの使用を推奨していない
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するための2FA/MFAの必要性に一貫して言及していない
全体的なセキュリティアドバイスは最新ではなく、NISTガイドラインに準拠していない
パスワードセキュリティの推奨事項が、明確で理解しやすく、見つけやすい形で提示されていない
パスワードマネージャーの使用を推奨していない
強力なパスワードの重要性を明示していない
パスワードセキュリティをさらに強化するための2FA/MFAの必要性に言及していない
全体的なセキュリティアドバイスは最新ではなく、NISTガイドラインに準拠していない
パスワードセキュリティの推奨事項が、明確で理解しやすく、見つけやすい形で提示されていない
米国国立標準技術研究所(NIST)
NISTリスクマネジメントフレームワーク | IA-5(18)
機関向けアドバイス:
認証器管理 | パスワードマネージャー
[割り当て:組織が定義したパスワードマネージャー]を用いてパスワードを生成および管理すること、および
[割り当て:組織が定義した管理策]を使用してパスワードを保護すること。
静的パスワードを使用するシステムでは、パスワードが適切に複雑であり、同じパスワードが複数のシステムで使用されていないことを確保するのは、しばしば困難です。パスワードマネージャーは、強力かつさまざまなアカウントごとに異なるパスワードを自動的に生成・保存するため、この問題の解決策となります。パスワードマネージャーを使用する潜在的なリスクは、攻撃者がパスワードマネージャーによって生成されたパスワードのコレクションを標的にできることです。したがって、パスワードの暗号化や、コレクションをオフラインでトークンに保存することを含む保護が、パスワードのコレクションには必要です。
デジタルIDガイドライン
機関向けアドバイス:
パスワード(パスフレーズ、数値の場合はPINとも呼ばれることがあります)は、サブスクライバーが選択し、記憶または記録することを想定した秘密の値です。パスワードは、攻撃者が正しい秘密の値を推測したり、その他の方法で発見したりすることが現実的でない程度に、十分な複雑性と機密性を備えていなければなりません。パスワードは「知っているもの」です。
このセクションの要件は、独立した認証要素として使用され、認証済みの保護チャネルを介してCSPの検証者に送信される、一元的に検証されるパスワードに適用されます。多要素認証器の有効化要素としてローカルで使用されるパスワードは、アクティベーションシークレットと呼ばれ、3.2.10節で説明されています。
パスワードは、サブスクライバーが選択するか、CSPがランダムに割り当てるものとしなければならない。
CSPが、選択されたパスワードが一般的に使用される、予想される、または侵害済みの値のブロックリストに含まれているために許可しない場合(3.1.1.2節を参照)、サブスクライバーには別のパスワードを選択することを求めなければならない。パスワードに対してその他の複雑性要件を課してはならない。その根拠は付録A「パスワードの強度」に示されています。
パスワードには次の要件が適用されます:
検証者およびCSPは、しなければならない パスワードの長さを最低8文字にすることを要求し、すべきである パスワードの長さを最低15文字にすることを要求する。
検証者およびCSPは すべきである パスワードの最大長として少なくとも64文字を許可する。
検証者およびCSPは すべきである パスワードで、すべての印字可能ASCII [RFC20] 文字およびスペース文字を受け入れる。検証者およびCSPは すべきである パスワードでUnicode [ISO/ISC 10646] 文字を受け入れる。各Unicodeコードポイントは しなければならない パスワード長を評価する際に1文字として数える。
検証者およびCSPは してはならない パスワードに対してその他の構成ルール(例:異なる文字タイプの組み合わせを要求すること)を課す。
検証者およびCSPは してはならない ユーザーにパスワードの定期的な変更を要求する。ただし、検証者は しなければならない 認証器が侵害された証拠がある場合には、変更を強制する。
検証者およびCSPは してはならない 未認証の認証要求者がアクセスできるヒントを加入者に保存させる。
検証者およびCSPは してはならない パスワードを選択する際に、加入者に知識ベース認証(KBA)(例:「最初に飼ったペットの名前は何ですか?」)やセキュリティ質問の使用を促す。
検証者は しなければならない 送信されたパスワード全体を検証する(つまり、切り捨てない)。
パスワードの設定または変更要求を処理する際、検証者は しなければならない 候補となる秘密情報を、既知の一般的に使用される、推測されやすい、または侵害されたパスワードを含むブロックリストと照合する。パスワード全体を しなければならない 照合対象とし、その中に含まれる可能性のある部分文字列や単語を対象としてはならない。たとえば、リストには してもよい 以下を含めることができるが、これらに限定されない:
過去の漏えいコーパスから取得されたパスワード
辞書に載っている単語
サービス名、ユーザー名、およびそれらの派生語など、コンテキスト固有の単語
選択されたパスワードがブロックリストに見つかった場合、CSPまたは検証者は しなければならない 加入者に別の秘密情報を選択するよう要求し、しなければならない 拒否理由を提示する。ブロックリストは総当たり攻撃を防ぐために使用され、以下で説明するように失敗した試行にはレート制限がかけられるため、ブロックリストは すべきである 攻撃者が試行回数の上限に達する前に推測しそうなパスワードを加入者が選択できないよう、十分な規模にする。
検証者は しなければならない 加入者が強力なパスワードを選択できるよう、ガイダンスを提供する。これは、ブロックリストにあるパスワードが拒否された後に特に重要であり、リストに含まれる脆弱なパスワードを安易に変更して使うことを抑止するためである [ブロックリスト]。
検証者は 必ず第3.2.2節に記載されているように、加入者アカウントに対して行える認証失敗試行回数を効果的に制限するレート制限機構を実装しなければならない第3.2.2節。
検証者は、必ずパスワードマネージャーの使用を許可しなければならない。検証者は、可能な限り申請者がパスワードを入力する際に「貼り付け」機能を使用できるようにし、その利用を容易にするべきである。パスワードマネージャーは、特にパスワード生成機能を備えている場合、ユーザーがより強力なパスワードを選択する可能性を高めることが示されている[Managers]。
検証者は、必ずオフライン攻撃に耐性のある形式でパスワードを保存しなければならない。パスワードは、必ず適切なパスワードハッシュ化方式を使用して、ソルト付与およびハッシュ化されなければならない。パスワードハッシュ化方式は、パスワード、ソルト、コスト係数を入力として受け取り、パスワードハッシュを生成する。その目的は、ハッシュ化されたパスワードファイルを入手した攻撃者にとって、各パスワード推測のコストを高めることで、推測攻撃のコストを高額または実行困難にすることである。選択するコスト係数は、可能な限り検証者のパフォーマンスに悪影響を与えない範囲で、実用上できるだけ高くするべきである。また、可能な限り計算性能の向上を考慮して、時間の経過とともに引き上げるべきである。最新版の[SP800-132]またはパスワードハッシュ化方式に関する更新されたNISTガイドラインで公開されている、承認済みのパスワードハッシュ化方式を可能な限り使用するべきである。ソルトおよびバージョン情報を除いた、選択するパスワード検証子の出力長は、可能な限り基礎となるパスワードハッシュ化方式の出力長と同じにするべきである。
ソルトは、必ず少なくとも32ビット長とし、保存されたハッシュ間でソルト値の衝突を最小限に抑えるよう選択しなければならない。ソルト値と生成されたハッシュの両方は、必ず各パスワードごとに保存しなければならない。使用したパスワードハッシュ化方式への参照(ワークファクターを含む)は、可能な限り新しいアルゴリズムおよびワークファクターへの移行を可能にするため、各パスワードごとに保存するべきである。たとえば、Password-Based Key Derivation Function 2(PBKDF2)[SP800-132]では、コスト係数は反復回数であり、PBKDF2関数を反復する回数が多いほど、パスワードハッシュの計算にかかる時間は長くなる。
さらに、検証者は、可能な限り検証者だけが知っている秘密鍵を使用して、鍵付きハッシュ化または暗号化操作を追加で1回実行するべきである。使用する場合、この鍵値は、必ず第3.2.12節に記載されているように、承認済みの乱数ビット生成器によって生成しなければならない第3.2.12節。秘密鍵値は、必ずハッシュ化されたパスワードとは別に保存しなければならない。また、可能な限りハードウェアセキュリティモジュールや信頼された実行環境(TEE)など、ハードウェアで保護された領域内に保存し、使用するべきである。この追加の反復により、秘密鍵値が秘密に保たれている限り、ハッシュ化されたパスワードに対するブルートフォース攻撃は現実的ではなくなる。
政府機関からのアドバイス
パスワードは、関心のあるリソースにアクセスするための認証メカニズムとして、今なお最も広く使用されている。パスワードは、サイバー犯罪者やデータ侵害からデータの機密性と完全性を守る最前線の防御である。優れた強力なパスワードは、人々がオンラインで安全かつプライベートに過ごすのに役立つ。
米国国立標準技術研究所(NIST)
Bitwardenによる総合評価:非常に良い
パスワードマネージャーの使用を推奨している
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するために2FA/MFAが必要であることに言及している
全体的なセキュリティアドバイスは最新で、NISTガイドラインに準拠している(NISTは連邦政府のセキュリティアドバイスの基準を定めている)
パスワードセキュリティに関する推奨事項が、明確で理解しやすく、見つけやすい形で示されていない
この助言は包括的で、政府機関向けの基準を示していますが、ウェブサイトからパスワードのガイドラインにアクセスするのは直感的ではありません。助言は非常に長いPDFの中に埋もれており、ユーザーにわかりやすい書き方ではありません。
"Verifiers SHOULD permit claimants to use “paste” functionality when entering a memorized secret. This facilitates the use of password managers, which are widely used and in many cases increase the likelihood that users will choose stronger memorized secrets."
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)
私たちの世界を守る:強力なパスワードを必須にする
機関からの助言:
強力なパスワードを使用する
パスワードマネージャーで長く、ランダムで、一意のパスワードを作成し、アカウントをより安全に保ちましょう。
アカウントを保護する簡単な方法
12345のような単純なパスワードや、誕生日、ペットの名前といった一般的な個人情報は、個人情報を含む重要なアカウントを守るには安全ではありません。推測されやすいパスワードを使うのは、ドアに鍵をかけても鍵を差したままにしておくようなものです。弱いパスワードは、コンピューターを使うハッカーにすぐ破られてしまいます。とはいえ、すべてのアカウントに一意で強力なパスワードを覚えておくのは不可能です。
幸い、「パスワードマネージャー」を使って強力なパスワードを作成・保存することは、誰かが私たちのアカウントにログインし、機密情報、データ、お金、さらにはIDを盗むのを防ぐ最も簡単な方法の1つです。
強力なパスワードでオンライン犯罪を防ぐ - CISA制作のYouTube動画
3つの簡単なヒントでパスワードを強化する
強力なパスワードは、これら3つのヒントをすべて満たしています。
長くする
16文字以上—長いほど強力です!
ランダムにする
その方法は2つあります:
大文字・小文字の英字、数字、記号を組み合わせたランダムな文字列を使用します。例:
cXmnZK65rf*&DaaD
Yuc8$RikA34%ZoPPao98t
もう1つの方法は、関連性のない4~7語で覚えやすいフレーズを作ることです。これは「パスフレーズ」と呼ばれます。例:
良い例:HorsePurpleHatRun
優れた例:HorsePurpleHatRunBay
非常に優れた例:Horse Purple Hat Run Bay Lifting
メモ:必要に応じて、単語の前や単語の間にスペースを入れてもかまいません!
一意にする
アカウントごとに異なる強力なパスワードを使用します。
例:
銀行:k8dfh8c@Pfv0gB2
メールアカウント:legal tiny facility freehand probable enamel
ソーシャルメディアアカウント:e246gs%mFs#3tv6
プロのヒント:パスワードマネージャーを使う
これらすべての強力なパスワードを覚えておくのは大変ですし、コンピューター上のファイルに保存するのも避けるべきです。代わりに、パスワードマネージャーを使いましょう。下記をご覧ください!
パスワードマネージャーを使用する
ほとんどの人にとって、すべてのアカウントに長く、ランダムで、一意のパスワードを生成して覚えておくことは不可能です。書き留めるのではなく、パスワードマネージャーを使いましょう!パスワードマネージャーは、すべてのパスワードを生成、保存し、入力まで行ってくれる使いやすいプログラムです。パスワードマネージャーは、弱いパスワードや使い回しのパスワードがあると知らせてくれ、強力なパスワードを生成することもできます。また、サイトやアプリを移動するときにログイン情報を自動入力することもできます。
パスワードマネージャーを使用する場合、覚える必要がある強力なパスワードは1つだけです。それはパスワードマネージャー自体のパスワードです。(ヒント:上記のように、覚えやすく長い「パスフレーズ」を作成しましょう。)
選べるパスワードマネージャーは数多くあります。ウェブブラウザー内蔵のパスワードマネージャーのように無料のものもあれば、有料のものもあります。高評価のパスワードマネージャーを紹介しているConsumer Reportsなど、信頼できる情報源で「パスワードマネージャー」を検索しましょう。レビューを読んで選択肢を比較し、自分に合った信頼できるプログラムを見つけてください。
パスワードマネージャーを使用すると、各サイトで長く、ランダムで、一意のパスワードを使う可能性が大幅に高まります。その結果、貴重な情報を盗まれることがはるかに難しくなります。
プロのヒント:メールアカウント、銀行、医療機関、その他の重要なアカウントで、強力なパスワード要件が適用されているか確認しましょう。短いパスワードや辞書に載っている単語の使用が許可されている場合は、その理由を尋ねてください。危険にさらされているのはあなたの情報です!
また、忘れずにMFAを有効にするようにしましょう。特にメール、ソーシャルメディアアカウント、金融アカウントでは重要です。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)
Bitwardenによる総合評価:優秀
パスワードマネージャーの使用を推奨している
強力なパスワードの重要性を明示している
パスワードセキュリティをさらに強化するため、2FA/MFAの必要性を挙げている
全体的なセキュリティ助言は最新で、NISTガイドラインに準拠している
パスワードセキュリティの推奨事項を、明確で理解しやすく見つけやすい形で示している
米国家安全保障局(NSA)
ランサムウェア対策ガイド
機関からの助言:
15文字以上の一意のパスワードを必須とするパスワードポリシーを実施する
パスワードマネージャーは、安全なパスワードの作成と管理に役立ちます。使用中のパスワードマネージャーへのアクセスを保護・制限し、MFAなど、使用中の製品で利用可能なすべてのセキュリティ機能を有効にしてください。
Ciscoのパスワードタイプ:ベストプラクティス
機関からの助言:
近年、ネットワークインフラの侵害数が増加していることは、ネットワークデバイスへの認証が重要な検討事項であることを示しています。ネットワークデバイスは、次の理由で侵害される可能性があります。
不適切なパスワードの選択(総当たり型のパスワードスプレー攻撃に対して脆弱)
ハッシュ化されたパスワードを含むルーター設定ファイルが暗号化されていないメールで送信される、または
パスワードの使い回し(侵害されたデバイスから復元されたパスワードが、他のデバイスの侵害に使用される可能性がある)。
パスワードだけを使用すると、デバイスが悪用されるリスクが高まります。NSAは、重要なデバイスを管理する管理者には多要素認証を強く推奨していますが、場合によってはパスワードのみを使用せざるを得ないこともあります。適切なパスワード保存アルゴリズムを選択することで、悪用をはるかに困難にできます。
可能な限り保護を高めるため、強力なパスワードを使用して、解読され平文に変換されるのを防いでください。次の条件を満たすパスワードポリシーに従ってください。
小文字と大文字、記号、数値を組み合わせる。
15文字以上の英数字で構成する。さらに、
次のようなパターンではないこと。
キーボード配列に沿った文字列
ユーザー名と同じもの
デフォルトのパスワード
他の場所で使用しているパスワードと同じもの
ネットワーク、組織、所在地、その他の機能識別子に関連するもの
辞書にそのまま載っている単語、一般的な頭字語、または推測しやすいもの
ソーシャルメディアで安全を保つ
機関からの助言:
パスワードを保護し、強化する
オンラインアカウントごとに、一意で強力なパスワードを使用してください。複数のアカウントでパスワードを使い回すと、そのパスワードが発覚した場合に、すべてのアカウントのデータが漏えいする可能性があります。文字、数値、特殊文字を組み合わせて、パスワードが十分な長さと複雑さを備えていることを確認してください。可能な場合は、認証トークンやアプリを使った多要素認証を導入し、パスワードが侵害されても他者がアカウントにアクセスできないようにしてください。パスワードは絶対に共有せず、ソーシャルメディアのプロフィールや公開情報から推測される可能性のある情報の使用は避けてください。
安全な多要素認証ソリューションの選定
機関からの助言:
多要素認証ソリューションを選定する際に検討すべき基準:米国国立標準技術研究所(NIST)のコンピューターセキュリティリソースセンターは最近、「デジタルIDガイドライン4」(SP 800-63-3)を更新しました。この文書は、標準的な定義を示し、各種認証ソリューションに保証レベルを割り当てています。以下の基準は、ソリューションが一般的な複数の悪用手法に耐えられるよう検証されていることを保証するためのNIST要件を反映しています。完全な認証ソリューションは、標準化され検証済みの仕組みを用いて適切に実装されている必要があります。また、認証器、検証器、およびそれらを支えるライフサイクルプロセスも含める必要があります。一部の商用ソリューションは認証器に重点を置き、組織に検証器とライフサイクルプロセスの管理を求めます。他の商用ソリューションは、複数タイプの認証器を検証し、多段階の認証メカニズムを管理し、複数サービスを支援するために、さまざまなIDプロバイダーからの認証器への信頼を管理します。これらは多くの場合、顧客が1つ以上の認証器ソリューションを取得し、IDフェデレーションを実行する認証サーバーのアサーションを受け入れるようサーバーを設定する必要があります。SP 800-63-3には、IDフェデレーションの基準も含まれています。
米国家安全保障局(NSA)
Bitwardenによる総合評価:非常に良好
パスワードマネージャーの使用を推奨している
強力なパスワードの重要性を強調している
パスワードセキュリティをさらに強化するための2FA/MFAの必要性に言及している
全体的なセキュリティ助言は最新ではなく、NISTガイドラインに準拠していない
パスワードセキュリティの推奨事項が、明確で理解しやすく、見つけやすい形で示されていない
“Disable the feature that allows web browsers to remember your passwords. Secure your passwords in a password manager.”
米国国土安全保障省
CISAはDHSの傘下にあります
サイバーセキュリティページ
機関からの助言:
バイデン大統領は、国土安全保障省(DHS)の使命における重要な要素であるサイバーセキュリティを、政府のあらゆるレベルでバイデン=ハリス政権の最優先事項に位置付けています。
大統領の取り組みを推進し、国家のサイバーセキュリティレジリエンス強化がDHSの最優先事項であることを示すため、マヨルカス長官は就任最初の月にサイバーセキュリティに特化した行動要請を発出しました。この行動要請は、ランサムウェアという差し迫った脅威への対処と、より強固で多様な人材の育成に焦点を当てたものです。
2021年3月、マヨルカス長官は、ハンプトン大学および米国ガールスカウト連盟との協力によりRSA Conferenceが主催したオンライン講演で、同省のサイバーセキュリティへの取り組みに関するより広範なビジョンとロードマップを示しました。
プレゼンテーションの後、長官は、ガールスカウト暫定CEOのJudith Batty氏と炉辺談話を行い、米国が現在直面している前例のないサイバーセキュリティ上の課題について議論しました。ハンプトン大学コンピューターサイエンス学部のChutima Boonthum-Denecke博士が長官を紹介し、プログラムの締めくくりとして質疑応答の進行を務めました。
米国国土安全保障省
Bitwardenによる総合評価:改善の余地あり
パスワードマネージャーの使用を推奨していない
強力なパスワードの重要性に言及していない
不正確で的外れなパスワードセキュリティの助言を提供している、またはパスワードやパスワードセキュリティに言及していない
パスワードに関する助言を明確に示していない
パスワードセキュリティをさらに強化するために2FA/MFAが必要であることを一貫して述べていない
全体的なセキュリティ助言が最新ではなく、NISTガイドラインに準拠していない
パスワードセキュリティの推奨事項を、明確で理解しやすく、見つけやすい形で示していない
連邦捜査局(FBI)
サイバー脅威
機関の助言:
インターネットを利用した犯罪やサイバー侵入はますます巧妙化しており、それらを防ぐには、接続されたデバイスを使う一人ひとりが意識を高め、警戒する必要があります。
システムとソフトウェアを最新の状態に保ち、信頼できる強力なウイルス対策プログラムをインストールしてください。
公共Wi-Fiネットワークに接続する際は注意し、公共ネットワーク上では購入を含む機密性の高い取引を行わないでください。
オンラインアカウントごとに強力で一意のパスフレーズを作成し、それらのパスフレーズを定期的に変更してください。
対応しているすべてのアカウントで多要素認証を設定してください。
メッセージに返信したりサイトにアクセスしたりする前に、すべてのやり取りでメールアドレスを確認し、ウェブサイトのURLを注意深く確認してください
心当たりのないメールやテキストメッセージ内のものは何もクリックしないでください。
オンラインプロフィールやソーシャルメディアアカウントで共有する情報には注意してください。ペットの名前、学校、家族などを共有すると、詐欺師がパスワードやアカウントのセキュリティ質問の答えを推測する手がかりを与える可能性があります。
金銭的支援を求め、即時の行動を促す見知らぬ人や組織に送金しないでください。
インターネット上の詐欺と安全
機関の助言:
ファイアウォールをオンにしておく
ファイアウォールは、コンピューターをクラッシュさせたり、情報を削除したり、さらにはパスワードやその他の機密情報を盗んだりするためにアクセスを試みるハッカーから、コンピューターを保護するのに役立ちます。ソフトウェアファイアウォールは、単体のコンピューターに広く推奨されています。このソフトウェアは一部のオペレーティングシステムにあらかじめ含まれているか、個別のコンピューター向けに購入できます。ネットワーク接続された複数のコンピューターでは、通常、ハードウェアルーターがファイアウォール保護を提供します。
ウイルス対策ソフトウェアをインストールまたは更新する
ウイルス対策ソフトウェアは、悪意のあるソフトウェアプログラムがコンピューターに侵入するのを防ぐために設計されています。ウイルスやワームなどの悪意のあるコードを検出すると、それを無効化または削除します。ウイルスは、ユーザーが気づかないうちにコンピューターに感染する可能性があります。ほとんどの種類のウイルス対策ソフトウェアは、自動更新するように設定できます。
スパイウェア対策技術をインストールまたは更新する
スパイウェアとは、その名のとおり、他者があなたのコンピューター上での行動をのぞき見できるよう、密かにコンピューターにインストールされるソフトウェアです。一部のスパイウェアは、あなたの同意なしにあなたに関する情報を収集したり、ウェブブラウザーに不要なポップアップ広告を表示したりします。一部のオペレーティングシステムは無料のスパイウェア保護を提供しており、安価なソフトウェアもインターネットや地域のコンピューター販売店で簡単に入手できます。ダウンロード可能なスパイウェア対策を提供するインターネット広告には注意してください。場合によっては、これらの製品は偽物で、実際にはスパイウェアやその他の悪意のあるコードを含んでいる可能性があります。食料品を買うのと同じで、信頼できる店で買いましょう。
オペレーティングシステムを最新の状態に保つ
コンピューターのオペレーティングシステムは、技術要件に対応し、セキュリティホールを修正するために定期的に更新されます。コンピューターを最新の保護状態にするため、必ず更新をインストールしてください。
ダウンロードするものに注意する
メールの添付ファイルを不用意にダウンロードすると、どれほど警戒を怠らないウイルス対策ソフトウェアであっても回避される可能性があります。知らない人からのメール添付ファイルは決して開かず、知っている人から転送された添付ファイルにも注意してください。本人が気づかないうちに悪意のあるコードを転送している可能性があります。
コンピューターの電源を切る
高速インターネット接続の普及に伴い、多くの人がコンピューターの電源を入れたまま、すぐ使える状態にしています。その欠点は、「常時オン」の状態にするとコンピューターがより脆弱になることです。不要な攻撃を防ぐよう設計されたファイアウォール保護に加えて、コンピューターの電源を切ることで、攻撃者との接続を効果的に断ち切ることができます。それがスパイウェアであれ、あなたのコンピューターのリソースを使って他の無防備なユーザーに到達しようとするボットネットであれ同様です。
連邦捜査局(FBI)
ビットワルデンの総合評価良い
パスワードマネージャーの使用は推奨しない
強固なパスワードの重要性を訴える
パスワード・セキュリティをさらにサポートする2FA/MFAの必要性を指摘
全体的なセキュリティに関する助言が最新ではなく、NIST のガイドラインに準拠していない。
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明していない。
"Be careful with what information you share online or on social media. By openly sharing things like pet names, schools you attended, links to family members, and your birthday, you can give a scammer all the information they need to guess your password or answer your security questions."
連邦取引委員会(FTC)
強力なパスワードと二要素認証で個人情報を保護する
機関の助言:
オンラインアカウントには、多くの個人情報が含まれている可能性があります。推測されにくい強力なパスワードで保護し、二要素認証を有効にしてください。
パスワードについては、いくつかの選択肢があります。
自分でパスワードを作成する
自動生成されたパスワードを選ぶ
パスワードマネージャーを使用する
自分でパスワードを作成する。自分でパスワードを作成する場合は、長くしてください。少なくとも15文字を目安にします。大文字と小文字、数字、記号を組み合わせて使用してください。
長いパスワードは覚えにくいことがあるため、パスフレーズを使うと簡単に感じるかもしれません。パスフレーズとは、スペースで区切られた一連の単語です。パスフレーズを使用する場合は
ランダムな単語で構成されていることを確認する
ハッキングプログラムに推測されやすい一般的なフレーズ、歌詞、映画のセリフは避ける
自動生成されたパスワードを選ぶ。研究によると、人は強力なパスワードを作成して記憶するのが得意ではありません。ブラウザーやデバイスにパスワードを作成させることができます。仕組みの詳細はこちらです。
パスワードマネージャーを使用してください。サードパーティーのパスワードマネージャーでも、強力なパスワードを作成できます。信頼できるパスワードマネージャーを見つけるには、専門家のレビューを確認しましょう。パスワードマネージャーのパスワードは必ず強力なものにしてください。そして、ほかのパスワードと同じように大切に保護してください。
強力なパスワードは覚えにくいことがあります。しかし、ブラウザーやデバイスにパスワードを保存できます。パスワードマネージャーでも同じことができます。また、次回ウェブサイトやアプリにログインするときに、パスワードを自動入力できます。
二要素認証を使用してください。強力なパスワードを使うことは、ハッカーからアカウントを守るための重要なステップです。しかし、強力なパスワードであってもサイバー攻撃に対して脆弱です。二要素認証を使用すると、アカウントに追加のセキュリティ層を加えられます。パスワードを盗んだハッカーでも、2つ目の認証要素がなければアカウントにログインできません。
二要素認証で最も一般的なのは、テキストメッセージまたはメールで受け取る確認用パスコードです。このワンタイムパスコードは通常6桁以上で、自動的に有効期限が切れます。
より安全な二要素認証の方法は、認証アプリまたはセキュリティキーです。選択できる場合は、保護を強化するためにこれらの方法のいずれかを選んでください。
パスワードチェックリスト
当局のアドバイス:
パスワードは長く、強力なものにしてください。つまり、少なくとも12文字以上にするということです。一般に、パスワードを長くすることが強度を高める最も簡単な方法です。覚えやすくするために、ランダムな単語を並べたパスフレーズの使用を検討してください。ただし、一般的な単語やフレーズは避けましょう。利用しているサービスが長いパスワードを許可していない場合は、大文字と小文字、数字、記号を組み合わせることでパスワードを強化できます。
ほかのアカウントで使ったパスワードを再利用しないでください。アカウントごとに異なるパスワードを使用してください。そうすれば、ハッカーが1つのアカウントのパスワードを入手しても、それを使ってほかのアカウントに侵入することはできません。
選択肢がある場合は、多要素認証を使用してください。一部のアカウントでは、アカウントにログインする際にパスワードに加えて別の要素を求めることで、セキュリティを強化しています。これは多要素認証と呼ばれます。アカウントへのログインに必要な「追加の要素」は、次の2つのカテゴリに分類されます。
あなたが持っているもの — 認証アプリで受け取るパスコードやセキュリティキーなど。
あなた自身であること — 指紋、網膜、顔のスキャンなど。
パスワードマネージャーを検討してください。多くの人は、すべてのパスワードを管理するのに苦労しています。パスワードは長く複雑なほど強力になりますが、長いパスワードは覚えにくくなることもあります。信頼できるパスワードマネージャーに、パスワードやセキュリティ質問を保存することを検討してください。信頼できるパスワードマネージャーを見つけるには、独立系のレビューサイトを検索したり、友人や家族に使っているものを聞いたりしましょう。パスワードマネージャー内の情報を保護するために、必ず強力なパスワードを使用してください。
答えを知っているのが自分だけのセキュリティ質問を選んでください。サイトでセキュリティ質問への回答を求められた場合、郵便番号、出生地、母親の旧姓など、公的記録に載っていたりオンラインで簡単に見つかったりする回答は避けてください。また、最初の車の色など、攻撃者が簡単に推測できる、回答の種類が限られる質問も使わないでください。推測をより難しくするために、意味のない回答を使うこともできます。ただし、その場合は自分が使った回答を覚えておけるようにしてください。
侵害が発生した場合は、すぐにパスワードを変更してください。ハッカーがあなたのパスワードを入手した可能性のあるデータ侵害があったと企業から通知された場合は、その企業で使用しているパスワードを直ちに変更し、類似したパスワードを使用しているすべてのアカウントでも変更してください。
連邦取引委員会(FTC)
ビットワルデンの総合評価素晴らしい
パスワード・マネージャーの使用を推奨
強固なパスワードの重要性を訴える
パスワードの安全性をさらに高める2FA/MFAの必要性を指摘
全体的なセキュリティに関する助言が最新で、NIST のガイドラインに準拠している。
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明する。
"Use a password manager. A third-party password manager also can create a strong password. To find a reputable password manager, read expert reviews. Make sure the password for your password manager is strong. And protect it like you do your other passwords."
商務省
全米サイバーセキュリティ月間:オンラインで自分を守る
当局のアドバイス:
以前の常識では、特殊文字、大文字、数字、文字を使い、年に何度もパスワード変更を強制するなど、さまざまな任意のルールに従ってパスワードを作成することが求められていました。研究によると、その結果として私たちは皆、同じことをしました。つまり、サイト、ログイン、アプリケーションごとに何十もの固有のパスワードを記憶するよう求められたため、パスワードを使い回したり、同じパスワードのバリエーションを作成したりしたのです。
私たちの自然な行動がオンラインセキュリティの弱点を生み、サイバー犯罪者はそれを悪用しました。パスワードの使用に関する研究では、任意に複雑なパスワードをユーザーに記憶させることに内在する弱点と、個人情報を保護するために多要素認証(MFA)を使用することの重要性が示されています。重要なのは、このテーマに関する私たちの考え方が進化しており、自分自身をより適切に守るために次のような実践方法を特定したことです。
パスワードを使用しなければならない場合は、より長いパスワード(15文字以上)やパスフレーズを使用してください。これらは、短く任意に複雑なパスワードよりも高い保護を提供します。パスフレーズには、覚えやすいという利点もあります。
MFA(メールで送られるワンタイムコードや、スマートフォンの認証アプリなど)を利用すると、侵害されたパスワードから保護するための重要な第2の層が追加されます。MFAは利用可能な場合は必ず設定すべきです。設定にはほんの数分しかかからず、安心感を得られます。
非常に強力で長い1つのパスワードで保護され、MFAが有効になっているパスワードマネージャーを使えば、すべてを記憶する必要なく、各サイトに固有のパスワードを作成できます。
NISTは商務省の傘下にあります
当局のアドバイス:
相互接続されたグローバルネットワークと、それらのネットワークにつながるデバイスおよびデータのセキュリティを確保することは、現代を特徴づける課題の一つです。
商務省は、サイバーセキュリティに関する意識と保護の強化、プライバシーの保護、公共の安全の維持、経済および国家安全保障の支援、そして米国民がオンラインでの安全をより適切に管理できるようにすることを任務としています。
商務省
ビットワルデンの総合評価非常に良い
パスワード・マネージャーの使用を推奨
強固なパスワードの重要性を訴える
パスワードの安全性をさらに高める2FA/MFAの必要性を指摘
全体的なセキュリティに関する助言が最新で、NIST のガイドラインに準拠している。
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明していない。
米国連邦通信委員会(FCC)
小規模企業向けサイバーセキュリティのヒント集
従業員にセキュリティ原則を教育しましょう。強力なパスワードを義務付ける、適切なインターネット利用ガイドラインを定めるなど、従業員向けの基本的なセキュリティ対策とポリシーを確立し、会社のサイバーセキュリティポリシーに違反した場合の罰則を明記します。顧客情報やその他の重要データの取り扱いと保護方法を示す行動規範を定めましょう。
従業員に一意のパスワードを使用させ、3か月ごとにパスワードを変更することを義務付けましょう。アクセスする際にパスワード以外の追加情報を求める多要素認証の導入を検討してください。機密データを扱うベンダー、特に金融機関に、アカウント向けの多要素認証を提供しているか確認しましょう。
連邦通信委員会(FCC)
ビットワルデンの総合評価まあまあ
パスワードマネージャーの使用は推奨しない
強固なパスワードの重要性を訴える
パスワード・セキュリティに焦点を当てたコンテンツへのリンク
しかし、内容は明らかに古く、もっと整理する必要がある。
パスワードのセキュリティをさらにサポートする2FA/MFAの必要性を一貫して挙げていない。
全体的なセキュリティに関する助言が最新ではなく、NIST のガイドラインに準拠していない。
NISTのガイドラインに反し、パスワードは3カ月ごとに変更することを推奨
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明していない。
米国中小企業庁(SBA)
サイバー攻撃を防ぐためのベストプラクティス
政府機関からのアドバイス:
小規模企業のデータ侵害の主な原因は何でしょうか。従業員と業務関連のコミュニケーションです。これらはシステムへの直接的な侵入口になります。インターネット利用のベストプラクティスについて従業員を教育しましょう。これはサイバー攻撃の防止に役立ちます。その他の有用な研修テーマには、次のようなものがあります:
フィッシングメールを見分ける
適切なインターネット閲覧習慣を実践する
不審なダウンロードを避ける
認証ツール(強力なパスワード、多要素認証など)を有効にする
ベンダーや顧客の機密情報を保護する
多要素認証を有効にする
政府機関からのアドバイス:
中小企業庁(SBA)
ビットワルデンの総合評価良い
パスワードマネージャーの使用は推奨しない
強固なパスワードの重要性を訴える
パスワードの安全性をさらに高める2FA/MFAの必要性を指摘
全体的なセキュリティに関する助言が最新ではなく、NIST のガイドラインに準拠していない。
パスワード・セキュリティに関する推奨事項を、明確で、消化しやすく、見つけやすい方法で説明していない。
米国証券取引委員会(SEC)
2023年7月、SECは「最終規則を採択しました。この規則により、公開企業は、経験した重大なサイバーセキュリティインシデントと、サイバーセキュリティリスク管理、戦略、ガバナンスに関する重要情報を年次ベースで開示することが義務付けられます。」サイバーセキュリティコンプライアンスの執行におけるSECの役割を考えると、SEC自身のパスワードセキュリティに関する助言を評価するのは賢明と思われます。
SEC.govのウェブサイトで「パスワードセキュリティ」を検索すると10件の文書が見つかりますが、いずれも何年も前のもののようです。サイバーセキュリティに特化したページはありますが、CISAの内容を転用したかなり一般的な推奨事項が示されています。2020年の「サイバーセキュリティ:認証情報の侵害から顧客アカウントを保護する」と題されたサイバーセキュリティリスクアラートからは、クレデンシャルスタッフィングについて論じたPDFにたどり着きます。文中では「パスワード」という言葉が全体を通じて使われていますが、「パスワードセキュリティ」は明示的には言及されていません。「強力なパスワード」は以下の文脈で言及されています:
サイバーセキュリティ:認証情報の侵害から顧客アカウントを保護する
機関の助言:
企業がクレデンシャルスタッフィング攻撃に備えるにあたり、OCIEスタッフは、企業が現在の慣行(MFAや上記のその他の慣行など)とそれらの慣行の潜在的な限界を検討し、顧客およびスタッフがアカウントをより適切に保護する方法について十分に情報提供されているかどうかを検討するよう促しています。情報提供を受けた顧客 ほとんどの企業では、顧客とスタッフに強力なパスワードの作成と使用を求めています。しかし、顧客やスタッフが他のサイトで使用しているパスワードを使い回している場合、パスワードの使用効果は低下します。より効果を高めるため、一部の企業では、顧客やスタッフに対し、強力で一意のパスワードを作成すること、またパスワードが侵害された兆候がある場合にはパスワードを変更することを周知し、推奨しています。
証券取引委員会(SEC)
ビットワルデンの総合評価まあまあ
パスワードマネージャーの使用は推奨しない
強固なパスワードの重要性を訴える
強力なパスワードの存在を認めつつも、もっと明確な表現が可能な日付のコンテンツへのリンク
パスワードのセキュリティをさらにサポートする2FA/MFAの必要性を一貫して挙げていない。
2FA/MFAは上記のリンク先のPDFで言及されているが、多くのアドバイスがあるわけではないので、見つけるには検索が必要である。
全体的なセキュリティに関する助言が最新ではなく、NIST のガイドラインに準拠していない。
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明していない。
ホワイトハウス
このセクションは2025年1月に更新されており、新政権のポリシーが公開され次第、それを反映するよう更新されます。
2023年サイバーセキュリティ意識向上月間に関する宣言
機関の助言:
「私は、米国の国民、企業、機関に対し、サイバーセキュリティの重要性を認識して行動し、国家の安全保障とレジリエンスを支えるためにサイバーセキュリティ意識向上月間に参加するよう呼びかけます。また、企業や機関に対し、サイバー脅威から米国民をより適切に保護し、米国の労働者が高賃金のサイバー関連職に就く新たな機会を創出するための行動を取るよう呼びかけます。米国民も、多要素認証を有効にする、コンピューターやデバイスのソフトウェアを更新する、強力なパスワードを使用する、不審に見えるリンクのクリックに注意するなど、自分自身をより適切に保護するためにすぐに行動できます。」
デジタルファーストの公共体験の提供
機関の助言:
各機関は、一般市民に認証を求めるウェブサイトが、一般的に使用されているパスワードマネージャーと互換性を持つようにし、パスワードの「貼り付け」やその他の自動化されたクライアント側の支援メカニズムを妨げてはならない。
ホワイトハウス多要素認証近代化シンポジウムの概要報告
機関の助言:
「オンラインで安全を保つには、パスワードだけでは不十分です。そこで多要素認証が、悪意あるサイバー攻撃者からデータをより適切に保護するために役立ちます」と、CISA事務局長のブランドン・ウェールズ氏は述べました。「CISAは、重要なデータへのアクセスをより困難にするため、すべてのユーザーにMFAを導入するよう組織に一貫して促してきました。本日のシンポジウムは、私たち全員が実現を目指しているビジョンを描くために集まる場です。」
バイデン=ハリス政権、米国消費者保護に向けスマートデバイス向けサイバーセキュリティラベリングプログラムを発表
機関の助言
無線通信デバイスを規制する権限に基づき、FCCは、提案されている任意のサイバーセキュリティラベリングプログラムの展開についてパブリックコメントを求める見込みで、このプログラムは2024年に運用開始される予定です。提案内容では、米国国立標準技術研究所(NIST)が公表した特定のサイバーセキュリティ基準に基づき、ステークホルダー主導の取り組みを活用して製品を認証しラベル付けします。この基準では、たとえば、一意で強力なデフォルトパスワード、データ保護、ソフトウェア更新、インシデント検知機能が求められます。
ホワイトハウス
ビットワルデンの総合評価良い
パスワードマネージャーの使用は推奨しない
ホワイトハウスは、2022年のサイバーセキュリティ啓発月間で、パスワード・マネージャーの使用を推奨した。ホワイトハウスは、2023年サイバーセキュリティ啓発ブログで同じことをする機会を得た。彼らはそうしなかった。ブログでは「強力なパスワードの使用」を推奨しているが、パスワード・マネージャーについての言及はない。
強固なパスワードの重要性を訴える
パスワードの安全性をさらに高める2FA/MFAの必要性を指摘
全体的なセキュリティに関する助言が最新ではなく、NIST のガイドラインに準拠していない。
ホワイトハウスは、これまでのコミュニケーションで、NISTのアドバイスに反してパスワードの変更を推奨してきた。パスワードは、脆弱であったり、再利用されていたり、漏洩していたりする場合にのみ変更すべきである。強固でユニークなパスワードは、漏洩の疑いがない限り、変更する必要はないかもしれない。
パスワード・セキュリティに関する推奨事項を、わかりやすく、消化しやすく、見つけやすく説明していない。
サイバーセキュリティの専門ページがない
まとめ
オンラインで安全を保つためにできることはたくさんありますが、セキュリティに最も大きく即時の効果をもたらす最も簡単な行動は、パスワードマネージャーを使用することです。クロスプラットフォーム対応で、ゼロ知識エンドツーエンド暗号化を備え、無制限に一意で強力なパスワードを生成・保存できるパスワードマネージャーを選びましょう。Bitwardenは、無料アカウントで始めることも、年額10ドル未満のプレミアムを選んで高度な機能を利用することもできます。