イベントレポート
Security Days Spring 2026
ランサムウェア時代の今も「パスワード管理」の重要性に変わりはないが、ユーザーの負担軽減も重要だ
2026年3月31日 06:00
データを勝手に暗号化したり、あるいはシステムの管理権を掌握して、その回復の対価として金銭を要求するのがランサムウェアだ。2010年代中盤ごろから海外で報道が増え始め、今では日本企業にも被害が広まっている。脅威は年々増していると言ってよい。
ランサムウェアは確かに悪質だが、この10年ほどの間で対策も進んだ。にもかかわらず、なぜ被害が広がってしまうのか? そこには、パスワード管理などを巡る長年の課題があるようだ。
サイバーセキュリティをテーマとするイベント「Security Days Spring 2026」の東京会場で3月25日、「ランサムウェアから組織を守る~侵入を許さないパスワード習慣改革×特権ID統制~」と題した講演が行われた。登壇したのは、CTCエスピー株式会社の菊池早耶香氏(ソリューション推進開発本部 ビジネス企画推進部 部長)と、Keeper Security APAC株式会社の池原正樹氏(アジアパシフィック地域営業統括本部 Lead of Sales Engineering)。ランサムウェア攻撃がますます拡大する時代に、パスワード管理はどうあるべきか。専門家の見地から解説した。
ランサムウェア被害は止まず。2026年度中に経産省が新たな評価制度を立ち上げへ
講演ではまずCTCエスピーの菊池氏が、サイバーセキュリティを巡る国内の現状・情勢について解説した。同社は、大手SIerとして知られる伊藤忠テクノソリューションズ(CTC)の100%子会社で、ネットワークやセキュリティ関連製品の販売を手掛けている。
菊池氏はまず、独立行政法人情報処理推進機構(IPA)が毎年とりまとめている「情報セキュリティ10大脅威」2026年版を例示。「ランサム攻撃(ランサムウェア)による被害」が2016年以降、11年連続でランキング1位に選出されていることに触れ、その脅威の深刻さを改めて強調した。
近年のランサムウェア被害では、回復に向けてのコストが多大になる傾向もあるという。菊池氏によれば、被害状況の調査および復旧に1000万円以上かかったケースは59%に上る。
加えて、復旧に1週間以上かかるケースは53%とされ、結果として商品の出荷停止などが長期化し、社会に与えるインパクトがより大きくなってもいる。「今までのセキュリティ事故というと個人情報の漏えいなどがメインだったが、最近は生産・製造・物流の管理システムが狙われ、企業の売上が止まる。攻撃者が企業に対して非常に強い圧力をかけられるようになってきた」と、被害傾向の変質を指摘する。
ランサムウェア攻撃は、ある1社の企業活動を止めるだけでなく、サプライチェーンを組む取引先企業、そして最終的には生活者・消費者にも影響する。深刻な事態を少しでも減らそうという狙いから、経済産業省では「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度中に運用開始すべく、取り組みを加速している。ランサムウェアをはじめとするサイバー攻撃への防衛措置を講じているか、取引先や社会へ客観的に証明するための手段としての役割が期待されている。
パスワード管理の重要性も変わらず。ただ、実際はいろいろ難しい
世の中にランサムウェアが蔓延している。だからこそ、対策製品も増えており、CTCエスピーでも数多く取り扱っている。であれば、対処は現状でも十分可能なはずだ。それでも、なぜ、ランサムウェア被害が拡大しているのか。そこには未だ、“基本的なセキュリティ意識の欠如”という、基本中の基本にして根深い、解決しがたい課題があるのではないかと菊池氏は分析する。
「パスワード管理だったり、フィッシングメールの識別だったり、安全なクラウドの利用だったりといった基本行動が、まだ徹底されてない。これではいくら対策ツールを入れても、穴になってしまう。」
コロナ禍以降、人々の働き方は変わり、リモートワークやハイブリッド勤務が浸透した。PCやスマホの使われ方も変わった。これに合わせて企業の情報システム部門は体制強化や投資拡大を図っているが、ユーザーの意識が古いままでは、結果として全てが水泡に帰す可能性は高い。
数ある対策の中で、本講演でメインテーマとして取り扱ったのが「パスワード管理」だ。警察庁の調べによれば、不正アクセスの原因の97.5%が、今なおパスワードの詐取であった。さらに、発達著しいAIがパスワード解読を容易にしているとの指摘もある。文字数8桁のパスワードは、英数字や記号を織り交ぜたものであっても40分程度で解読されてしまうという。
パスワードを代替・補助する対策法として、シングルサインオン(SSO)や多要素認証(MFA)などもある。これらの利用は広がっているが、とはいえ、あらゆるインターネットサービスで導入されている普遍的手法とまでは言い切れない。
こうした実態がある中で、さらに“セキュリティ意識”の問題が存在する。ユーザーひとりひとりに対し、パスワードは〇〇桁以上にせよ、使い回しをするなと呼び掛けるだけで、果たしてルールが遵守されるのか。「どうせバレないだろう」と考えてしまう人は、少なくないだろう。
さらに重要な「特権ID」のパスワード管理
では、どうすべきか。パスワード管理の実情を認めたうえで、利便性と安全性が両立しうる環境を、情報システム部門担当者としては構築しなければならない。ユーザーの負担を軽減させ、全ユーザーが対策を徹底しているか確認でき、さらには作業工数やコスト的な意味で維持し続けられるだけの体制だ。
また、ランサムウェア対策を考えるうえでは、特権IDにも目を向ける必要がある。例えば管理者アカウントは、通常ユーザーと比べ、システムに関する根本的な変更権限などを持つ。こうした特権IDが乗っ取られると、攻撃者はもう好き放題、何もかもやれてしまう。
ただ、そんな特権IDであっても、正しいパスワード管理ができているとは限らない。初期値のまま変更していない、Excelで管理する、チームで使い回す、退職者・異動者を考慮しない……こうした現状が往々にしてあると菊池氏は釘を刺す。
「今、特権IDは攻撃者が一番狙うところだ。特権IDを奪えれば、(データを人質にとる意味での)暗号化できる範囲が一気に広がる。横展開しやすくなり、ログを消去して攻撃者がログインしたことを隠蔽し、復旧策をも破壊できる。外部から何かが盗まれることだけがリスクではなく、内部で不正が起きても気付けない(ことも大きな問題)。」
このように、パスワード管理は難しい。しかし対策製品を利用すれば、間違いなくラクになる───菊池氏はそう強調する。ユーザーはパスワードを覚える苦労から解放され、管理者も権限付与などの業務量を削減できたりと、双方にメリットがあるとした。
企業向けパスワード管理ツール「Keeper Security」で、どこまでできる?
講演の後半は、Keeper Securityの池原氏が具体的な製品紹介を行った。同社の米国法人は2011年に設立され、シカゴに本社を構える。日本法人は2023年5月に活動を開始した。
そのKeeper Securityの主力製品が、パスワード管理および特権アクセス管理(Privileged Access Management:PAM)のための企業向けSaaSプラットフォームである。情報保護のための暗号化・復号をユーザーデバイス上で完結させる方式をとっており、Keeper Securityではこれを「ゼロ知識暗号化」と呼んでいる。
Keeper Securityのパスワード管理機能では、パスワード用文字列の自動生成、フォームへの自動入力、複数のパスワードの一元管理といった機能が提供される。これによって、ユーザーはパスワードをいちいち覚える必要がなくなる。利用状況は数値などのかたちで可視化され、桁数が少なかったり記号が混じっていない、いわゆる“弱い”パスワードが利用されていた場合には変更を促したりできる。
パスワード管理機能は、あらかじめ認証された端末からのみ、利用できる。加えて、各種データは「Web Vault」に保管され、専用のウェブサイトもしくはアプリを通じて共有できるようになる。特権ID管理についても、同じくWeb Vaultを通じて行える。
万一、不正アクセスを許してしまった場合の対処策も備えている。一例として、操作内容はテキストないし動画でログ保存することができ、さらにAI(LLM)連携による自然言語処理での可視化が可能という。
池原氏がKeeper Securityの強みとして、パスワード管理と特権アクセス管理を1つのインターフェースで統合的に実現し、セキュリティと利便性の両立を図った点を挙げる。
また、今後は、人間以外のAIなどが自動でシステムにアクセスする際に用いるID(Non-Human Identities)の増加が予想される。こうしたトレンドの変化に対応するためにも、プラットフォームとしてのKeeper Securityの開発を強化していく計画だという。
