増え続けるパスワード 6つの管理方法
株式会社インフォメーション・ディベロプメント
エバンジェリスト 佐藤 久
近年、各種クラウドサービスやサブスクリプションサービスなどの利用増に伴い、管理すべきアカウントおよびパスワードも増加しています。
それに加え、現在の新型コロナウィルス対策おける外出自粛でオンラインショッピングや出前注文など、その増加に拍車がかかっていると推測されます。
私も今年に入ってから急増し、覚えるべきパスワードが50を超えました。
ここまで増えると、記憶だけでは難しくなりますので、この機会に適切なパスワード管理方法について整理して活用したいと考えました。
整理手順について
人それぞれ管理アカウント数、利用サービス、習熟度などが違うため、すべての人に最適なパスワード管理方法は無いと考えます。
利用者や用途にあった管理方法を選定するべきと考えます。
私の私見だけでは偏ってしまうため、今回は公的機関が推奨する適切な管理方法を理解して、次に一般的な管理方法に注意すべきポイントを付けて整理していきます。
※社内運用については規程の管理ルールを順守ください。
NISC推奨のパスワードの適切な管理方法
まず公的機関が推奨する管理方法を理解するため、内閣府サイバーセキュリティセンター(NISC)が作成した『インターネットの安全・安心ハンドブック』(*1)を参照しました
このハンドブックは、パスワード管理だけではなく、セキュリティ全般ついて絵図をつけて初心者にもわかりやすく説明してくれていますので、セキュリティリテラシー向上のための教材としてもおススメです。
無料でダウンロードして配布できますし、随時更新されて情報が補完されています。
このハンドブックにはパスワードの適切な保管について以下の3つのポイントがあげられています。
≪適切な管理方法≫
(1)パスワードを使用する場所に置かない。パソコンの中も×
(2)パスワードはノートに書いて保管するか、パスワード管理アプリで守る
(3)ウェブブラウザの自動入力にパスワードを覚えさせない
(1)と(3)は禁止事項、推奨する管理方法としては(2)の「ノートに書いて保管」「パスワード管理アプリ」とわかりました。次は一般的なパスワード管理と紐づけて掘り下げてみます。
出典:NISC『インターネットの安全・安心ハンドブック』(P31より抜粋)
IPA報告の一般的なパスワード管理
独立行政法人情報処理推進機構(IPA)が『2019年度情報セキュリティに対する意識調査』(*2)で調査集計して報告したID・パスワードの管理方法を抜粋し、考察いたします。
出典:IPA『2019年度情報セキュリティに対する意識調査』(P60より抜粋)
調査で集計された6つの管理方法
(1)自分で記憶している
一番多い管理方法は記憶の53%でした。忘れるリスクはありますが、覚えきれる個数であれば頭の中は堅牢性が一番高いと言えます。同意識調査では回答者の約60%が管理アカウント5個以下でしたので、少数であれば記憶で充分であると考えられます。
ポイント:IPAが推奨するコアパスワードを活用すると、使いまわしを防ぎつつ、覚えやすいパスワードを設定できます。
※外部サイト:コアパスワード参考サイト
(2)手帳などの紙にメモをしている
次点はNISCの推奨するノート(紙)に書く管理方法が、50%以上の方が利用しています。ひと昔は、紙にパスワードをメモするなんてナンセンスだと言われた時もありますが、サイバー攻撃を受けたときに漏洩することが無いのは紙の長所と言えます。別途、紙の管理に気を付ける必要はあります。
ポイント:IDとパスワードを同じ紙に記載しないことで、紛失盗難時の不正利用がしづらくなります。
(3)パソコンにインストールするアカウント管理ソフト使用(スタンドアロン型)
各サービスにログインした際、アカウント管理ソフトがパスワード等を記憶して、次回から自動ログインを行ってくれます。前述の記憶やメモと比べると利便性が高いと考えます。ローカルに保存されるパスワードデータは暗号化され高いセキュリティが確保されます。定番ソフトは「1password」でしたが、クラウド型のサブスクリプションサービスに移行しており、最新OSはサポート対象外になっています。後進ソフトの「Enpass」「KeePass」の導入/管理は、PCに不慣れな方には敷居が高いかもしれません。
ポイント:端末自体が破損したときはパスワード復旧できない恐れがあるので、定期的にバックアップデータをとっておく必要があります。
(4)ネットワーク上のアカウント管理サービスを利用(クラウド型)
前述のスタンドアロン型の利便性に加え、クラウド型は複数のデバイスでアカウント共有でき、利便性に長所があります。しかし、クラウド型ゆえの漏洩リスクは考慮すべきで、サービスの選定は慎重にする必要があります。Androidスマホをお持ちであれば、Googleのパスワード管理「パスワードマネージャー」がアプリを追加する必要がありませんので導入しやすいと考えます。各サービスログイン時に以下の画像のように保存しますか「パスワードマネージャー」です。既にご使用の方も多いのではないでしょうか。
検索する限り大きなトラブルは発生していませんし、他デバイスでの接続があった場合はアラートメールを受け取って使用を防ぐこともできます。
※iPhoneでは同様の管理サービス「iCloudキーチェーン」があります。
Chromeでパスワードマネージャーを開くと、登録したパスワードの確認や変更、削除ができます。また、以下の通り漏洩の可能性や再利用パスワードのチェックなどを行うこともできます。
クラウド型はメジャーなセキュリティソフト会社も参入していますので、Googleにすべて集中するのに懸念がある方は、マカフィーの「TrueKey」などを使えば、Android/iOSやWindows/MacOSを跨いだ共有もできるようになります。
ポイント:利便性は高くなりますが、端末が紛失/盗難時には、複数のサービスが悪用されるリスクがあります。端末自体のロック解除は指紋や顔などの生体認証などで厳しくしておく必要があります。
(5)ウェブブラウザに保存させる
前述したNISCのハンドブックではウェブブラウザに保存させることは非推奨となっています。基本は利用しないほうが良いでしょう。
(6)電子ファイル(メモ帳や表計算ソフト)に記憶
前述した管理ソフトに比べ、自動入力や自動共有などができないため利便性は低いですが、導入/管理はしやすいと考えます。Excelであれば様式を自由にレイアウトでき、最終更新日や定期変更スケジュールなども管理することができます。しかし、前述したNISCハンドブックでは「パスワードを使用する場所に置かない。パソコンの中も×」とありますので、記憶した電子ファイル自体は別のデバイスに保存しておくことをご検討ください。
ポイント:Excelなどパスワードが設定できる場合は、必ず設定ください。また、「パスワード管理.xlsx」のように分かりやすいファイル名は避けてください。
まとめ
前述したとおり、パスワード管理についてどれが正解かは無いと考えます。管理アカウント数、影響度、利用環境、利用頻度、規程などの条件をもとに、アカウントごとにリスクと利便性を考慮しながら選定する必要があります。私個人としては、会員アプリやオンラインショップなど影響が限定的であれば利便性を優先してクラウド型の管理サービスを利用し、テレワーク用サービスやオンラインバンキングなど影響が大きいアカウントについては、端末に保存させずに紙で管理することが良いと考えました。皆様もこの機会にパスワード管理について見直しいただければ幸いです。最後までお読みいただきありがとうございました。
【引用】
*1:内閣府サイバーセキュリティセンター『インターネットの安全・安心ハンドブック』
*2:IPA『2019年度情報セキュリティに対する意識調査』
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
セキュリティに関するお悩みも、問い合わせより受付中です!