株式会社アイネットテクノロジーズ

実は多い単純なパスワード

皆さん、こんにちは、こんばんは。
アイネットテクノロジーズの相馬です。

早速ですが、 「123456」 皆様この数字を見た瞬間に何が思いつきますか?

・・・実はこれ世界で最も使われているパスワードなんです。
セキュリティ企業の Nord Security が、その年に世界で最も使われたパスワードをランキング形式で発表するというものがあります。
(URL:Top 200 Most Common Passwords List | NordPass】)

皆様には2023年のランキングを見て頂き、上位にランクインするパスワードがなぜ使うべきではないのか、
どのようなパスワードを使うべきなのかお話しいたします。

1.簡単すぎる

パスワードランキングの上位は多くのユーザーが使っており、推測しやすいためにハッキングのリスクが高く、データ流出の可能性があります。
以下の表を見ると、ランキング上位のパスワードは「1」から始まる連番で、過去5年間で「12345」「password」「123456」が1位になっています。
これらは安全性が低く、解読時間がかからない為、安易に侵入ができます。

2.単純すぎる

ある程度想定されたパスワードでは単純すぎるため、安全性も低く、その意味が失われてしまいます。
解読されやすいパスワードの危険性を理解しているが、複雑なパスワードを考え作ったとしても覚えておくのが面倒くさいという理由から、
単純なパスワードを設定していまい、攻撃者からハッキングされデータや資産等盗まれる可能性が高くなります。
Microsoftではパスワード ガイドラインとして推奨事項が提供されておりますので、管理者向けとユーザー向けをそれぞれご紹介いたします。
(URL:パスワード ポリシーの推奨事項 – Microsoft 365 admin | Microsoft Learn)

管理者向けのパスワード ガイドライン

  • 8 桁の最小長要件を維持する

  • 文字構成の要件を求めない。 たとえば、*&(^%$

  • 最も脆弱なパスワードがシステムで使用されないように、よく使われるパスワードを禁止する

  • 業務以外の目的で組織のパスワードを再利用しないようにユーザーを教育する

ユーザー向けパスワード ガイドライン

  • 他でも使用しているものと同じ、または似たようなパスワードは使用しない

  • 1 単語 (たとえば、password や、adminなどのよく使われるフレーズ) は使用しない

  • 友人や家族の名前、自分の誕生日、誰も使用しそうなフレーズなど、自分のことをよく知る人でもパスワードを簡単に推測できないようにする

他にも大文字や小文字、英数字以外の文字を組み合わせる際に、最初の位置が大文字、最後が記号、最後の 2 つが数字なども注意が必要です。

多要素認証の登録を適用する


Microsoftの推奨事項の中に、多要素認証(MFA)というものがあります。
これはパスワードと他の認証方法(指紋、顔認証、セキュリティトークン、SMSコードなど)を組み合わせることで、
アカウントのセキュリティを強化します。
パスワードが盗まれても、他の認証要素がなければアカウントにアクセスできないため、ハッキングでデータ等が盗まれるなどを防ぐことができます。
こちらについては次回詳しくご説明させていただきますね。

SOCサービスについて
以前ブログでも書かせていただきましたが、
当社では、主に Microsoft 365 E5に含まれる Defender 製品群を相関的に分析し対応を行う、Modern SOC(MSOC)サービスを提供しております。
SOCとは、Security Operation Center の略で、
ネットワーク機器やサーバー、セキュリティ機器のログを監視、検知したアラートを分析し、対策を講じる専門の組織です。
また、MSSというものがあり、SOCの対象となっているネットワーク機器やサーバー、セキュリティ機器のセキュリティ運用を加えた、
セキュリティ運用管理を実施するサービスです。

大きな違いは、SOCから通知された対策や対応はお客様担当者が実施しますが、
MSSでは、被害を最小化するため攻撃手法に応じた一次対応から恒久対応まで、MSSで実施するところにあります。
当社のModern SOC(MSOC)サービスは、MSSサービスをご提供させていただいており、サービスのご契約後に監視と並行して、
運用設計も実施させていただいておりますので、是非、お気軽にお問い合わせください。

Modern SOC(MSOC)サービスのご紹介 | 株式会社アイネットテクノロジーズ (inet-technologys.com)

株式会社アイネットテクノロジーズ
info@inet-tech.jp

アイネットテクノロジーズ
INET-TECHNOLOGY'S

当社はゼロトラストネットワークを基本に、標的型攻撃訓練から内部不正検知をコンサルティングから導入、SOC、サポートまでワンストップでご提供します。

当社はゼロトラストネットワークを基本に、標的型攻撃訓練から内部不正検知をコンサルティングから導入、SOC、サポートまでワンストップでご提供します。

関連記事

Modern SOC(MSOC)サービスのご紹介

皆さん、こんにちは。 アイネットテクノロジーズ 丸田です。 企業の皆様は普段どのような監視・分析サービスを利用いただいておりますでしょうか。 当社では、主に Microsoft 365 E5に含まれる Defender 製品群を相関的に分析し対応を行う、Modern SOC(MSOC)サービスを提供しております。   SOCとMSSと言う用語をご存じでしょうか。 SOCとは、Security Operation Center の略で、ネットワーク機器やサーバー、セキュリティ機器のログを監視、検知したアラートを分析し、対策を講じる専門の組織です。一方でMSSとは、SOCの対象となっているネットワーク機器やサーバー、セキュリティ機器のセキュリティ運用を加えた、セキュリティ運用管理を実施するサービスです。 大きな違いは、SOCから通知された対策や対応はお客様担当者が実施しますが、MSSでは、被害を最小化するため攻撃手法に応じた一次対応から恒久対応までMSSで実施するところにあります。 SOC/MSSサービスの内容については、事業者によって様々なものとなりますが、当社のModern SOC(MSOC)サービスは、MSSサービスをご提供させていただいており、サービスのご契約後に監視と並行して、運用設計も実施させていただいております。 【主な流れ】 運用コンサルティング(オプション) ↓ ご契約 ↓ 監視準備 ※監視アカウントご準備、連絡方法/連絡先の確認etc ↓ 監視開始 ↓ 運用設計 ※インシデント発生時の体制、障害発生時の体制etc ↓ 運用開始(適宜チューニング) 運用設計を実施させていただくことで、お客様毎に異なる運用に合せた最適なセキュリティ運用を実施することが可能です。 例えば近年コミュニケーションツールとして、メールではなくチャットツールを利用している企業が多くなっているため、通報やシステム利用者様との連絡をチャットツールで行うといった対応が可能となっております。 さて、この業界に詳しい皆様には釈迦に説法かもしれませんが、Microsoft 365 のセキュリティ製品群であるMicrosoft Defender 製品は、多層防御を前提としています。Modern SOC(MSOC)サービスでは、複数製品の相関分析を実施しています。単一製品で検知したアラート内容から正しくインシデントと判断することはできないためです。 可能性の一つとして調査・分析のきっかけにはなりますが、誤検知・過検知であることがほとんどです。 この誤検知・過検知を早期に判断するために必要なのが相関分析です。 相関分析を行うことで、インシデントが発生している可能性が高いお客様へ迅速に連絡が行えるため、結果として人的リソースの最適化にもつながり生産性向上が見込めます。そのため、Modern SOC(MSOC)サービスでは、基本的には必ず、複数製品をスコープ(監視範囲)とさせていただき相関分析を実施しています。 以下、スコープと体制の一例また、クラウド製品とはいえシステム障害は必ず発生します。この場合、他社様ではサービス対象外として復旧まで待機していることが多いようですが、当社ではクラウド事業者への問い合わせも代行させていただくサービスメニューなどもございます。   是非、お気軽にお問い合わせください。 株式会社アイネットテクノロジーズ info@inet-tech.jp

セキュリティの最前線を体験!インターン初開催レポート

こんにちは。 アイネットテクノロジーズ 広報担当です! “ITって難しそう…”そんな不安をなくすために、2025年夏、インターンを初開催しました! この記事では、インターンシップ制度を立ち上げた背景や、実際に行われたカリキュラム内容、参加者のリアルな声をご紹介します。 ↓ 以前紹介した記事は下記から ↓ 【就活生必見!】新卒インターンカリキュラムを導入しました! | 株式会社アイネットテクノロジーズ   ◆ インターンシップ導入の背景 IT業界は日々進化を続けており、クラウドやセキュリティといった分野はますます重要性を増しています。 そんな中で、学生の皆さんが「IT業界に興味はあるけれど、実際の現場を体験する機会が少ない」と感じていることに着目しました。 そこで当社では、 IT未経験でも安心して参加できる 現場のリアルに触れられる セキュリティの最前線を体験できる そんなインターンシップ制度を構築し、”「一緒に制度を作り上げていく」”という想いのもと、初開催に至りました。   ◆ カリキュラム内容(抜粋) インターンでは、以下のような内容を実施しました IT未経験でも安心!基礎から学べる座学 IT業界の概要や基本用語の解説 クラウド/ネットワークの基礎知識 実際のアクセス環境を用いた体験学習 Office操作/ブラウザ設定/Entra IDの理解 業務に必要なツールの使い方を実践的に学習 IntuneやMicrosoft Defenderによるセキュリティ体験 デバイス管理や脅威検知の仕組みを体験 MSOC(Managed Security Operation Center)での業務フロー紹介 実際のアラート対応やセキュリティエンジニアの業務を見学 初日には「実際のエンジニアの1日の流れ」を紹介してもらいました!               ◆ 参加者のリアルな感想 「ITって難しそう…と思っていたけど、映画視聴からのセミナーでより理解が深まった 。サイバー攻撃の傾向など理解することができた 。」 — 専門学生 「エンジニアの1日の流れを見せてもらったことで、働くイメージがぐっと具体的になりました。早く具体的な業務をしたい。」 — 専門学生   ◆ インターン概要 開催場所:日本橋浜町オフィス(原則出社) 期間:夏休み(8月中)に実施 交通費:全額支給   ◆ 今後に向けて 今回のインターンシップは、当社にとっても大きな学びの機会となりました。 今後は冬休みにも開催を予定しています。 「ITって面白そう」「ちょっと気になる」そんな気持ちを持つ学生の皆さんに、 もっと気軽に参加してもらえるよう、制度のブラッシュアップを進めてまいります。   ◆ お問い合わせ インターンに関するお問い合わせは、以下よりお願いいたします。 📩 pmo-g@inet-tech.jp 皆様からのご連絡お待ちしております。   ▼YouTubeチャネル https://www.youtube.com/@cueguchi ▼採用情報 https://www.inet-technologys.com/recruit

Microsoft cloud security benchmark(MCSB) とは

皆さん、こんにちは。 アイネットテクノロジーズ 上口裕樹です。   突然ですが、Microsoft cloud security benchmark(以下、MCSB) をご存じでしょうか。MCSB は Azure security benchmark(以下、ASB)の後継に相当するもので、ASB v3 以降は MCSB v1 以降が後継となるようです。   MCSBの概要はこちら https://learn.microsoft.com/ja-jp/security/benchmark/azure/introduction   ASBの概要はこちら https://learn.microsoft.com/ja-jp/security/benchmark/azure/overview-v3   これまでもASBを活用して CIS、NIST、PCI など業界標準への対応を続けていましたが、MCSBはASBから更にカバー範囲を広げたものと言えると思います。   ASBカバー範囲   MCSBカバー範囲   比較するとかなり拡大していることがよくわかると思います。   直近でも、AWSに対するベンチマークを数多くリリースしているようです。   近々、GCP向けのベンチマークも追加されるようなのでアップデートが楽しみですね。MCSBはまだプレビュー段階ではありますが、Microsoft Defender for Cloud で実装されている機能なので今後も注視したいと思います。   今回はMCSBのご紹介を少しさせていただいていますが、別途、Microsoft Defender for Cloud についても少しお話しできればと思います。   【お問い合わせはこちら】 info@inet-tech.jp   【カジュアル面談も行っております】 ▼採用情報 https://www.inet-technologys.com/recruit   ▼ミイダス (事前登録が必要です) https://miidas.jp/partner_apply/408160

CONTACT

TELEPHONE