「パスワードによる保護は限界」 技術に頼らない次なる一手とは？：セキュリティニュースアラート

Fortinetは、従来セキュリティの要と考えられてきたパスワードがもはや単体では十分な防壁を形成し得ないと主張した。企業はパスワードに依存したセキュリティ対策から脱する必要があるが、具体的にはどのような対策を講じればいいのか。

[後藤大地，有限会社オングス]

　ニュースメディア「Independent Online」は2025年6月24日（現地時間）、Fortinetの地域ディレクターを務めるドロス・ハジゼノノス氏が、デジタル時代におけるパスワードの脆弱（ぜいじゃく）性について言及した内容を取り上げた。

　ハジゼノノス氏は従来セキュリティの要と考えられてきたパスワードがもはや単体では十分な防壁を形成し得ない現実を示し、認証そのものの再設計が急務だと論じている。

限界を迎えたパスワードによる対策　技術に頼らない次なる一手とは？

　長さや文字種の複雑さを基準としてきたこれまでのパスワードポリシーは、サイバー衛生の基本とされてきた。しかし、最近はこの手法を巧妙に回避する攻撃者の手口が拡大している。

　「FortiGuard Labs」の観測によれば、2023年には1000億件以上の認証情報がダークWebで流通し、その多くが過去の情報漏えいを使った「コンボリスト」に基づいている。これにより、自動クレデンシャル・スタッフィング攻撃が可能となり、たった1組の流出認証情報が複数の業務用アカウントへの不正アクセスを誘発している。

　この状況を悪化させているのが人間の行動様式だ。平均的なユーザーが保持するログイン情報は170件に上る。それぞれに複雑で一意なパスワードを設定して記憶するのは非現実的だ。その結果、パスワードの使い回しや簡易的な記録方法の常態化が発生し、攻撃者にとっては格好の標的となっている。加えて、認証情報の窃取手段として主流となっているフィッシングは、AIによる偽装技術の進化によって真偽の判別が困難であり、特にリソースの乏しい南アフリカの中小企業にとって深刻な脅威になっている。

　パスワードの複雑性に依存する従来の方針は情報が流出した場合に無力となる。もし12文字以上の英数字・記号を含むパスワードを設定しても、それが闇市場で売買されると防御の意味がない。記事では企業が採るべき対策として、まずは多要素認証（MFA）の全社的義務化を挙げる。MFAは自動化されている不正ログインの99％以上を防ぐとされているにもかかわらず、導入率は依然として低水準だ。

　次に推奨されるのは、パスワードに依存しない認証方式への移行だ。「FIDO2」準拠のハードウェアキーや生体認証などは、攻撃者に再利用されるリスクが少ない。成熟途上にあるとはいえ企業用パスワード管理ツールの活用も移行期の現実的な対策となる。これらのツールは、強固なパスワードの生成・管理・使用状況の監査を可能にし、規制にも対応する。漏えい情報と社内ネットワークの挙動を結び付けて即時対応を可能にする仕組みの導入も推奨されている。

　ハジゼノノス氏は、技術的対策だけでは根本的な解決には至らないと主張する。Fortinetの調査によれば、南アフリカの企業の約70％が基礎的なサイバー意識向上訓練を実施していない。従業員の教育や模擬訓練を定期的に実施し、脅威を「認識する力」を醸成することが、組織全体の防御力を支える重要な柱となる。経営層がその重要性を理解し、率先して啓発活動に取り組む姿勢が求められる。

　将来的にパスワードが完全に不要になるとは限らないが、その役割は確実に変容している。現代の攻撃者は、脆弱性を突くよりも認証情報を介した侵入を選ぶ傾向にあるため、防御側は1要素への依存を前提としない、多層的かつ動的な防御構造を構築することが急務だ。セキュリティの堅牢（けんろう）さとは、もはや単なる複雑な文字列ではなく、想定外の事態にも耐え得る「設計」にこそ求められているとしている。