シンガポールは国家主導でサイバーセキュリティに取り組んでおり、セイバーセキュリティの先進的な国とされています。今回はシンガポールのパスワードルールについてまとめてみようと思います。
まず、シンガポールにおけるセイバースペースの保護はシンガポールサイバーセキュリティ庁(CSA:The Cyber Security Agency of Singapore)が担っています。CSAは2015年に設立され、シンガポール首相府の一部で、デジタル開発情報省(MDDI)によって管理されています。今回取り上げるシンガポールのパスワード事象はCSA公式サイトの内容を元にしています。
CSAのWebサイト:https://www.csa.gov.sg/
強力なパスワードを使用し、2FA を有効にする
(Use Strong Passwords And Enable 2FA)
https://www.csa.gov.sg/our-programmes/cybersecurity-outreach/cybersecurity-campaigns/bettercybersafethansorry/Use-Strong-Passwords
シンガポールのCSAのサイトにパスワードの重要性の解説と共に、強力なパスワードの作り方のヒントが掲載されています。以下はリンク先を筆者が意訳したものです。
強力なパスワードを作成する2つのステップ
パスワードの桁数は最低でも12桁以上で以下2つのステップで作成する。
ステップ1 自分だけの思い出に関連する5つの異なる単語を使用する
例)Learntorideabikeatfive
Learn to ride a bike at five (5歳の時に自転車の乗り方を学んだ)
例では英語の単語になっていますが、日本語でも同じようなことはできると思います。この際に名前や生年月日など他人に推測できる情報は含めないのがポイントのようです。
ステップ2 大文字と小文字、数字、記号を使用してさらに解読を困難にする。
例)LearnttoRIDEabikeat5
ここで大文字、小文字、数字にする場所は規則性を持たせずランダムにすることで推測困難なパスワードにすることができます。例えば最初の文字は大文字やaを@に変えるといった他人が推測できそうなパターンはNGです。
この2つのステップを守ることで強力なパスワードを作ることができます。
利用可能な場合は2要素認証(2FA)を有効にする
2FA はオンラインアカウントへのアクセスの際にIDとパスワードに加え、物理的な OTP トークンのワンタイム パスワード (OTP) などのユーザーが所有しているものを使った認証や指紋や顔認識などの生体認証があります。このIDとパスワード以外の認証により、仮にパスワードをハッカー窃取されたとしても、 2つ目の認証要素を入手できない場合はアカウントが保護されます。
パスワードを適切に保つ
強力なパスワードを作成し、2FA を有効にすること以外にも、パスワードを保護するための手順を踏むことが重要です。
- オンラインアカウントには異なるパスワードを使用する
- パスワードを他人と共有したり、書き留めたりしないでください
- 安全でないWi-Fiネットワーク経由でオンラインサービスにログインしない
- フィッシング詐欺の可能性があるため、電話、電子メール、または疑わしい Web サイトに応じてパスワードや OTP を提供しない
いかがだったでしょうか?個人的には国が具体的なパスワードの生成方法を示しているのは分かりやすいと思いました。また動画や絵で説明をしているのは、広い層が理解できるようになると思いますのでよい仕掛けだと感じています。
参考までに日本の総務省が作成している「国民のためのサイバーセキュリティサイト」のリンクを掲載しておきます。
国民のためのサイバーセキュリティサイト 安全なパスワードの設定・管理
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/
★おまけ
CSAのサイトではパスワード強度をチェックできるパスワードチェッカーも用意されてました。至れり尽くせり。
CSA Password-Checker
https://www.csa.gov.sg/Tips-Resource/Interactive-Tools/Password-Checker
Sec With Thomas.com 
Leave a comment