いま、見直すべき「セキュリティの新常識」3選
~パスワード定期変更・PPAP・閉域網~
2026年5月14日
「パスワードは3ヶ月ごとに変更する」
「ファイルはパスワード付きZIPで送る(PPAP)」
長年、日本のビジネスシーンにおいて「セキュリティの定石」として運用されてきたこれらのルールですが、近年のデジタル環境や脅威の変化に伴い、そのあり方が大きく見直されつつあることをご存知でしょうか?
デジタルトランスフォーメーション(DX)が進み、クラウド活用やテレワークが当たり前になる中で、かつての対策が現場の負担になったり、最新のサイバー攻撃に対しては十分な効果を発揮できなかったりするケースが出てきています。「昔からこう決まっているから」と運用を続けていると、気づかないうちに組織のリスクを高めてしまっているかもしれません。
セキュリティ対策は、一度決めたら終わりではなく、道路交通法が時代に合わせて改正されるように、環境に合わせて定期的な「チューニング」が必要です。本記事では、NIST(米国国立標準技術研究所)のガイドラインや近年のトレンドに基づき、今知っておきたい「セキュリティの新常識」について、その背景と具体的な対策を解説します。
1. セキュリティの「従来の対策」と「これからの対策」
まずは、主要なセキュリティ対策において、どのような変化が推奨されているのかを整理します。以下の表をご覧ください。技術の進化に伴い、スタンダードが移行していることがわかります。
| カテゴリ | 従来の対策 | これからの対策 | 変更の理由・背景 |
|---|---|---|---|
| 認証管理 | 英数字記号混在・定期的(90日毎)な変更 | 多要素認証(MFA) + 長く記憶しやすいパスフレーズ | 複雑なパスワードの定期変更はユーザーの負担が大きく、単純なパターン化(末尾の数字を変える等)を招きやすいため。 |
| ファイル転送 | パスワード付きZIP送付(PPAP) | クラウドストレージのリンク共有 | 暗号化ZIPはゲートウェイでのマルウェア検査が困難であり、メール盗聴時には無力であるため。 |
| ネットワーク | 社内(境界内部)は安全、VPNで守る | ネットワーク分割(セグメンテーション)と多層防御 | VPN機器の脆弱性や持ち込み端末からの侵入リスクが高まり、一度入られると全滅するリスクがあるため。 |
| OT環境 | インターネットに繋がない「閉域網」なら安全 | 閉域網でも侵入リスクを考慮する | USBメモリの持ち込みや保守端末の接続など、インターネット以外からの侵入経路(サプライチェーンリスク)も考慮が必要なため。 |
このように、対策の軸足は「形式的なルールの運用」から「実効性と利便性のバランス」へとシフトしています。それぞれの詳細を次章で見ていきましょう。
2. なぜ今、対策の「アップデート」が必要なのか?
ここでは、表で挙げた変化のうち、特に業務への影響が大きく、かつ誤解が生じやすい
- ① 認証管理
- ② ファイル転送
- ③ 閉域網・セグメンテーション
の3つの領域に絞って、変更の背景(Why)と、推奨されるアプローチ(How)を深掘りします。
① 認証管理の適正化:強度と使いやすさの両立
背景:運用の形骸化を防ぐ
かつては「定期的な変更」が推奨されていましたが、米国の政府機関であるNISTが発行したガイドライン「SP 800-63B」では、この運用の見直しが示唆されています。
人間が記憶できる複雑な文字列には限界があります。頻繁な変更を強制しすぎると、ユーザーはどうしても「Password01」を「Password02」にするような、推測されやすい変更を行ったり、付箋にメモをしてモニターに貼ったりするようになります。
NISTのガイドラインでも「漏洩が疑われる場合を除き、単に期間を区切った定期変更は求めない」という方針が明確に示されています。
推奨策:MFAの活用とパスフレーズ
現在は、人の記憶力に頼るのではなく、「本人確認の要素を増やす」アプローチが主流です。
- 多要素認証(MFA)の導入
スマートフォンのアプリや生体認証(指紋・顔)を組み合わせることで、万が一パスワードが漏洩しても、不正ログインを防ぐことができます。 - 長く記憶しやすい「パスフレーズ」
意味のない英数字の羅列ではなく、「Koujou_Anzen_Yosh!(工場安全ヨシ!)」のように、日本語をローマ字にした長いフレーズを採用することで、覚えやすく、かつ解析されにくい強度を確保できます。
② 「脱PPAP」とクラウドストレージの活用
背景:セキュリティとビジネス機会の損失
「パスワード付きZIPファイルを送り、後からパスワードを別送する」いわゆるPPAP方式。これは日本企業特有の慣習と言われてきましたが、現在は明確なリスク要因となっています。
最大の問題は、「ウイルス対策ソフトが暗号化されたZIPの中身を検査できない」点です。Emotetなどのマルウェアはこの盲点を突き、感染を拡大させました。
また、このリスクを重く見た企業や官公庁の中には、「ZIPファイル付きのメールは一切受信しない(自動削除する)」という運用を開始しているところも増えています。つまり、PPAPを続けていると、「取引先にメールが届かない」というビジネス上の機会損失に直結しかねないのです。
推奨策:リンク共有への移行
BoxやOneDriveなどのクラウドストレージにファイルをアップロードし、その「アクセス権限付きリンク」を共有する方法が、グローバルな標準となっています。
- 安全性
クラウド側で高度なウイルススキャンが行われるため、不正なファイルを早期に検知しやすくなり、マルウェア混入リスクを大きく低減できます。 - 制御性
万が一宛先を間違えても、後からリンクを無効化すれば情報漏洩を防げます。また、「誰がいつダウンロードしたか」のログも残ります。
③ 閉域網の「安全神話」からの脱却とセグメンテーション
背景:フラットなネットワークのリスク
製造業の現場(OT環境)などでは、「インターネットに繋がっていない(閉域網である)から安全だ」という考え方が長らく主流でした。そのため、工場内のネットワークは「一度入ればどこへでも行ける」構成になっていることが一般的でした。
しかし、昨今のインシデント事例を見ると、その神話は崩れています。外部ベンダーによる制御盤の保守用ノートPCがマルウェアに感染していたり、従業員が工程データを持ち出すために接続したUSBメモリからウイルスが侵入したりするケースが後を絶ちません。
推奨策:侵入前提の「区画化(ゾーニング)」
ここで求められる新常識は、「閉域網であっても侵入は起こり得る」という前提に立つことです。被害を最小限に抑えるためのネットワーク・セグメンテーション(分割)は、現代のOTセキュリティにおける中核的な要件であり、IEC 62443等でも「ゾーン」や「コンジット(通信路)」の設計が強く推奨されています。
- ゾーンごとの分割
「製造ラインA」「製造ラインB」「監視系」のように、重要度や役割ごとにネットワークを産業用ファイアウォール等で区切ります。 - 通信の最小化
区画間の通信は、必要なプロトコルやポートのみを許可し、不要な通信は遮断します。
これにより、万が一ある端末が感染しても、その区画(セグメント)内で脅威を封じ込め、工場全体の稼働停止という最悪の事態を防ぐことが可能になります。
3. 無理のないステップで進めるために何をすべきなのか?
これらの新しいスタンダードを取り入れることは、単にセキュリティレベルを上げるだけでなく、従業員の利便性向上や、取引先からの信頼獲得にもつながります。すべてを一度に変える必要はありません。まずは以下のステップで、現状の確認から始めてみてはいかがでしょうか。
Step 1. 現状の可視化(アセスメント)
まずは自社のセキュリティガイドラインや就業規則を確認しましょう。「パスワード定期変更の強制」や「PPAPの推奨」といった記述が残っていないかチェックします。また、OT環境においては、ネットワーク構成図が最新の状態になっているか、管理外の接続ポイントがないかを確認することが第一歩です。
あわせて、PPAP(パスワード付きZIP)の運用が残っている場合は、どの部門・どの業務で使われているかを棚卸ししておきましょう。
Step 2. ID管理の強化(MFAの導入)
コスト対効果が最も高く、即効性があるのがID管理の強化です。まずは管理者権限を持つアカウントや、外部からアクセス可能なシステム(VPN、クラウドサービス)から優先的に、多要素認証(MFA)を適用しましょう。
Step 3. ネットワーク境界の見直し
OT環境においては、現状のフラットなネットワークに対し、産業用ファイアウォールなどを導入して適切なセグメンテーション(区画化)ができないか検討を開始します。まずは「重要設備」と「それ以外」を分けるといったスモールスタートでも、リスク低減効果は絶大です。
規格やガイドラインは、組織を縛るものではなく、変化の激しいデジタル社会において、皆様のビジネスを安全な航路へ導くための「羅針盤」です。これらを上手く活用することで、セキュリティは「コスト」ではなく、ビジネスを支える「強固な基盤」となります。
4. まとめ
技術や攻撃手法が進化する中で、セキュリティの「常識」もまた、日々アップデートされています。定期的に情報を取り入れ、自社の対策を見直していくことが、結果として組織のリスクを減らす近道です。
- 認証管理の適正化
パスワード定期変更を廃止し、MFAで守る。 - 脱PPAP
暗号化ZIPをやめ、クラウドストレージで安全・便利に共有する。 - セグメンテーション
「閉域網なら内部は安全」という思い込みを捨て、ネットワークを適切に分割して被害を封じ込める。
これらは、もはや「最先端」ではなく、グローバルスタンダードとして多くの企業で採用が進んでいます。
まずはできるところから、貴社の環境や文化に合わせた「無理のない最適なロードマップ」を描いていくことが重要です。ぜひ本記事を参考に、社内のセキュリティルールを一度見直してみてはいかがでしょうか。
Sanko IBでは、今後も引き続きサイバーセキュリティに関する情報に注力し、キャッチアップしていく予定です。
また、サイバーセキュリティに関するご相談事項がございましたら、お気軽にSanko IBまでご連絡いただけたらと思います。
5. 参考文献・関連リンク
● NIST SP 800-63B (Digital Identity Guidelines)
米国国立標準技術研究所による電子的認証に関するガイドライン
https://pages.nist.gov/800-63-3/sp800-63b.html
https://www.ipa.go.jp/security/publications/nist/index.html
● 「PPAP」廃止に関する大臣会見(内閣府)
内閣府におけるパスワード付きZIPファイル利用廃止の方針表明(令和2年11月24日)
https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html
● 制御システムセキュリティ(IEC 62443等)について
IPA(独立行政法人情報処理推進機構)による制御システムセキュリティ関連の資料
https://www.ipa.go.jp/security/controlsystem/index.html
