株式会社アイネットテクノロジーズ

実は多い単純なパスワード

皆さん、こんにちは、こんばんは。
アイネットテクノロジーズの相馬です。

早速ですが、 「123456」 皆様この数字を見た瞬間に何が思いつきますか?

・・・実はこれ世界で最も使われているパスワードなんです。
セキュリティ企業の Nord Security が、その年に世界で最も使われたパスワードをランキング形式で発表するというものがあります。
(URL:Top 200 Most Common Passwords List | NordPass】)

皆様には2023年のランキングを見て頂き、上位にランクインするパスワードがなぜ使うべきではないのか、
どのようなパスワードを使うべきなのかお話しいたします。

1.簡単すぎる

パスワードランキングの上位は多くのユーザーが使っており、推測しやすいためにハッキングのリスクが高く、データ流出の可能性があります。
以下の表を見ると、ランキング上位のパスワードは「1」から始まる連番で、過去5年間で「12345」「password」「123456」が1位になっています。
これらは安全性が低く、解読時間がかからない為、安易に侵入ができます。

2.単純すぎる

ある程度想定されたパスワードでは単純すぎるため、安全性も低く、その意味が失われてしまいます。
解読されやすいパスワードの危険性を理解しているが、複雑なパスワードを考え作ったとしても覚えておくのが面倒くさいという理由から、
単純なパスワードを設定していまい、攻撃者からハッキングされデータや資産等盗まれる可能性が高くなります。
Microsoftではパスワード ガイドラインとして推奨事項が提供されておりますので、管理者向けとユーザー向けをそれぞれご紹介いたします。
(URL:パスワード ポリシーの推奨事項 – Microsoft 365 admin | Microsoft Learn)

管理者向けのパスワード ガイドライン

  • 8 桁の最小長要件を維持する

  • 文字構成の要件を求めない。 たとえば、*&(^%$

  • 最も脆弱なパスワードがシステムで使用されないように、よく使われるパスワードを禁止する

  • 業務以外の目的で組織のパスワードを再利用しないようにユーザーを教育する

ユーザー向けパスワード ガイドライン

  • 他でも使用しているものと同じ、または似たようなパスワードは使用しない

  • 1 単語 (たとえば、password や、adminなどのよく使われるフレーズ) は使用しない

  • 友人や家族の名前、自分の誕生日、誰も使用しそうなフレーズなど、自分のことをよく知る人でもパスワードを簡単に推測できないようにする

他にも大文字や小文字、英数字以外の文字を組み合わせる際に、最初の位置が大文字、最後が記号、最後の 2 つが数字なども注意が必要です。

多要素認証の登録を適用する


Microsoftの推奨事項の中に、多要素認証(MFA)というものがあります。
これはパスワードと他の認証方法(指紋、顔認証、セキュリティトークン、SMSコードなど)を組み合わせることで、
アカウントのセキュリティを強化します。
パスワードが盗まれても、他の認証要素がなければアカウントにアクセスできないため、ハッキングでデータ等が盗まれるなどを防ぐことができます。
こちらについては次回詳しくご説明させていただきますね。

SOCサービスについて
以前ブログでも書かせていただきましたが、
当社では、主に Microsoft 365 E5に含まれる Defender 製品群を相関的に分析し対応を行う、Modern SOC(MSOC)サービスを提供しております。
SOCとは、Security Operation Center の略で、
ネットワーク機器やサーバー、セキュリティ機器のログを監視、検知したアラートを分析し、
対策を講じる専門の組織です。
また、MSSというものがあり、SOCの対象となっているネットワーク機器やサーバー、セキュリティ機器のセキュリティ運用を加えた、
セキュリティ運用管理を実施するサービスです。

大きな違いは、SOCから通知された対策や対応はお客様担当者が実施しますが、
MSSでは、被害を最小化するため攻撃手法に応じた一次対応から恒久対応まで、
MSSで実施するところにあります。
当社のModern SOC(MSOC)サービスは、MSSサービスをご提供させていただいており、サービスのご契約後に監視と並行して、
運用設計も実施させていただいておりますので、是非、お気軽にお問い合わせください。

Modern SOC(MSOC)サービスのご紹介 | 株式会社アイネットテクノロジーズ (inet-technologys.com)

株式会社アイネットテクノロジーズ
info@inet-tech.jp

アイネットテクノロジーズ
INET-TECHNOLOGY'S

当社は、ゼロトラストネットワークを基本とし、Microsoft365やDefender for Endpoint(旧MDATP)、Microsoft Sentinelなどを使用したCyber Attack診断からシャドウIT PoCなど、コンサルティングから導入までをお手伝い致します。

当社は、ゼロトラストネットワークを基本とし、Microsoft365やDefender for Endpoint(旧MDATP)、Microsoft Sentinelなどを使用したCyber Attack診断からシャドウIT PoCなど、コンサルティングから導入までをお手伝い致します。

関連記事

Modern SOC(MSOC)サービスのご紹介

皆さん、こんにちは。 アイネットテクノロジーズ 丸田です。 企業の皆様は普段どのような監視・分析サービスを利用いただいておりますでしょうか。 当社では、主に Microsoft 365 E5に含まれる Defender 製品群を相関的に分析し対応を行う、Modern SOC(MSOC)サービスを提供しております。   SOCとMSSと言う用語をご存じでしょうか。 SOCとは、Security Operation Center の略で、ネットワーク機器やサーバー、セキュリティ機器のログを監視、検知したアラートを分析し、対策を講じる専門の組織です。一方でMSSとは、SOCの対象となっているネットワーク機器やサーバー、セキュリティ機器のセキュリティ運用を加えた、セキュリティ運用管理を実施するサービスです。 大きな違いは、SOCから通知された対策や対応はお客様担当者が実施しますが、MSSでは、被害を最小化するため攻撃手法に応じた一次対応から恒久対応までMSSで実施するところにあります。 SOC/MSSサービスの内容については、事業者によって様々なものとなりますが、当社のModern SOC(MSOC)サービスは、MSSサービスをご提供させていただいており、サービスのご契約後に監視と並行して、運用設計も実施させていただいております。 【主な流れ】 運用コンサルティング(オプション) ↓ ご契約 ↓ 監視準備 ※監視アカウントご準備、連絡方法/連絡先の確認etc ↓ 監視開始 ↓ 運用設計 ※インシデント発生時の体制、障害発生時の体制etc ↓ 運用開始(適宜チューニング) 運用設計を実施させていただくことで、お客様毎に異なる運用に合せた最適なセキュリティ運用を実施することが可能です。 例えば近年コミュニケーションツールとして、メールではなくチャットツールを利用している企業が多くなっているため、通報やシステム利用者様との連絡をチャットツールで行うといった対応が可能となっております。 さて、この業界に詳しい皆様には釈迦に説法かもしれませんが、Microsoft 365 のセキュリティ製品群であるMicrosoft Defender 製品は、多層防御を前提としています。Modern SOC(MSOC)サービスでは、複数製品の相関分析を実施しています。単一製品で検知したアラート内容から正しくインシデントと判断することはできないためです。 可能性の一つとして調査・分析のきっかけにはなりますが、誤検知・過検知であることがほとんどです。 この誤検知・過検知を早期に判断するために必要なのが相関分析です。 相関分析を行うことで、インシデントが発生している可能性が高いお客様へ迅速に連絡が行えるため、結果として人的リソースの最適化にもつながり生産性向上が見込めます。そのため、Modern SOC(MSOC)サービスでは、基本的には必ず、複数製品をスコープ(監視範囲)とさせていただき相関分析を実施しています。 以下、スコープと体制の一例また、クラウド製品とはいえシステム障害は必ず発生します。この場合、他社様ではサービス対象外として復旧まで待機していることが多いようですが、当社ではクラウド事業者への問い合わせも代行させていただくサービスメニューなどもございます。   是非、お気軽にお問い合わせください。 株式会社アイネットテクノロジーズ info@inet-tech.jp

Microsoft Digital Trust Alliance(DTA)で当社のサービスが公開されました!

みなさん、こんにちは。 アイネットテクノロジーズ 上口裕樹です。 Microsoft Digital Trust Alliance(DTA)で当社のサービスが公開されましたので、ご報告いたします。 Microsoft Digital Trust Security Alliance 主に、Microsoft Security に関連するサービスを提供 ライセンスとしては、Microsoft 365 E3 / E5 Security などhttps://www.microsoft.com/ja-jp/partner/biz/mwp_sec_solution.aspx ソリューションカテゴリ(脅威からの保護) ■Modern SOC ServiceOffice365 や Microsoft 365 などをご契約されているお客様へ、サインイン ログや監査ログなどのユーザー アクテイビティ レポートをご提供いたします。https://www.inet-technologys.com/modern-soc-service ■標的型メール訓練Defender for Office 365 (旧O365ATP) をご契約のお客様へ、標的型メール訓練をご提供いたします。https://www.inet-technologys.com/emailtrading ソリューションカテゴリ(ゼロトラスト) ■脅威可視化アセスメントMicrosoft 365 をご契約のお客様へ日々進化するサイバーセキュリティの脅威可視化アセスメントをご提供いたします。https://www.inet-technologys.com/security ■Azure AD 条件付きアクセス導入ユーザーがアクセスした際に、デバイス、場所、アプリ等の情報を基に、状態に応じたアクセス制御を実現します。https://www.inet-technologys.com/azure-ad ■スタートアップ for Microsoft 365 SecurityMicrosoft 365 は導入したけど、今持っているライセンスで何ができる?どこまで守れる?と、お悩みのお客様向けに特化したソリューションです。https://www.inet-technologys.com/servicematerials ソリューションカテゴリ(エンドポイント管理) ■MDM 導入支援モバイル デバイス・モバイル アプリ管理に関するはじめの一歩をご支援します。https://www.inet-technologys.com/mdm-introduction-support Microsoft Digital RegTech Alliance 主に、Microsoft Compliance に関連するサービスを提供ライセンスとしては、Microsoft 365 E3 / E5 Compliance などhttps://www.microsoft.com/ja-jp/partner/biz/mwp_regtech_solution.aspx ソリューションカテゴリ(内部不正対策) ■コンプライアンスアセスメントMicrosoft

Microsoft cloud security benchmark(MCSB) とは

皆さん、こんにちは。 アイネットテクノロジーズ 上口裕樹です。   突然ですが、Microsoft cloud security benchmark(以下、MCSB) をご存じでしょうか。MCSB は Azure security benchmark(以下、ASB)の後継に相当するもので、ASB v3 以降は MCSB v1 以降が後継となるようです。   MCSBの概要はこちら https://learn.microsoft.com/ja-jp/security/benchmark/azure/introduction   ASBの概要はこちら https://learn.microsoft.com/ja-jp/security/benchmark/azure/overview-v3   これまでもASBを活用して CIS、NIST、PCI など業界標準への対応を続けていましたが、MCSBはASBから更にカバー範囲を広げたものと言えると思います。   ASBカバー範囲   MCSBカバー範囲   比較するとかなり拡大していることがよくわかると思います。   直近でも、AWSに対するベンチマークを数多くリリースしているようです。   近々、GCP向けのベンチマークも追加されるようなのでアップデートが楽しみですね。MCSBはまだプレビュー段階ではありますが、Microsoft Defender for Cloud で実装されている機能なので今後も注視したいと思います。   今回はMCSBのご紹介を少しさせていただいていますが、別途、Microsoft Defender for Cloud についても少しお話しできればと思います。   【お問い合わせはこちら】 info@inet-tech.jp   【カジュアル面談も行っております】 ▼採用情報 https://www.inet-technologys.com/recruit   ▼ミイダス (事前登録が必要です) https://miidas.jp/partner_apply/408160

CONTACT

TELEPHONE