パスワード管理最新事情


ベネッセの個人情報の流出問題は、各方面の情報管理体制のあり方についての議論を巻き起こしています。
確かに現在の情報化社会は、IT技術なくしては成り立ちません。
しかし今回のような事件が1度起こると、企業ブランドの失墜はもちろん、莫大な補償費等の経済的ダメージを受けるリスクがあります。
そういった情報管理の基本が、個人のパスワード管理です。
メールへのログイン、会社のネットワークへのログイン、銀行や証券会社へのログイン等、様々なログインが日常にはありますが、フィッシング詐欺に見られるようにそのパスワードを狙う犯罪も頻発しています。
OPCでは一般事務の派遣案件も多数扱っていますので、是非こういった記事を参考にして頂ければ幸いです。
日経パソコンの2014年3月24日号のレポートです。
パスワード管理の現実解
パスワードの管理は、常に悩みの種だ。
簡単な文字列の利用や使い回しは厳禁とされているが、実用性を考えるとこうしたルールを厳密に遵守するのは難しい。
しかし工夫やルール次第では、安全性と実用性を両立させたパスワード管理が必要になる。
「123456」「password」「12345678」「qwerty」―。 これらは、世界で最も多く使用されているとされるパスワードのベスト4だ。米スプラッシュデータが、2014年に情報漏洩事故によってインターネットに流出したパスワードを集計し、多い順から並べた。上位には、誰でも思い付きそうなパスワードが並ぶ(図1)。
 
ここまで単純でなくても、覚えやすさを優先して、他人から推測されやすいパスワードを使ってはいないだろうか。自分の誕生日、電話番号、名前などだ。分かりやすすぎるパスワードだと、漏洩しなくとも不正利用を招く恐れがある。
◆パスワードが多すぎる
 
とはいえ、ユーザーが管理すべきパスワードが多すぎるのも事実。ブログやSNS、各種ネットサービスはもちろんのこと、パソコンの起動時や無線LANへの接続などにも、パスワードは不可欠だ(図2)。
 
シマンテックが2013年9月に実施した調査では、パスワードが必要なWebサイトを10以上利用しているというユーザーは、3人に1人だった。利用するサービスや機器が増えるにつれ、管理すべきパスワードも増えていくことになる。
 
安全なパスワードに求められるルールは多い(図3)。なるべく複雑なパスワードにするのは基本。加えて、「定期的に変更する」「使い回しはしない」「安易にメモしない」なども励行したい。
  
しかしパスワードが必要なサービスや機器がこれだけ増えてくると、これらのルールを実践するのは難しくなっていく。簡単なパスワードを設定したり、パスワードを使い回したりしたくなるのも無理はない。
  
実際、安全なパスワードのためのルールを順守しているユーザーは少数派のようだ。情報処理推進機構(IPA)の調査によると、サービスごとに異なるパスワードを設定しているユーザーは、27.2%しかいなかった(図4)。多くは大なり小なり、パスワードを使い回していることになる。8文字以上の分かりにくい文字列にしているユーザーも、半数強にとどまっている。
◆使い回しが狙われる
こうした「甘い」パスワードは、悪意のある攻撃者にとって好都合。購買サイトやSNSなどを不正利用しやすくなるからだ。
簡単なパスワードは、第三者が容易に推測できてしまう。数字だけのパスワードや短いパスワードは、文字列を総当たりで変えて不正アクセスを試みれば難なく破れる。こうした手法は「ブルートフォース攻撃」と呼ばれている。「力ずく」の攻撃という意味だ。
一方、パスワードの使い回しを狙うのが「パスワードリスト攻撃」だ。セキュリティ対策の甘いWebサイトからIDやパスワードを盗み出し、同じ組み合わせでほかのWebサイトヘの不正アクセスを試みる(図5)。この場合、同じIDとパスワードを複数のWebサイトで使い回しているユーザーが、不正アクセスの被害に遭う。IDとパスワードが流出したのとは別のWebサイトなので、被害に気付きにくい。
 
そうならないためにも、適切にパスワードを管理することが重要だ。安全かつ確実に実践できるパスワード管理法はどういったものか、考えていこう。
◆実践しやすく安全な方法で管理する
 
誰でも無理なく実践でき、それでいて不正アクセスなどに利用されない安全なパスワード管理法とは、どのようなものだろう。
 
パスワードを安全に管理するという観点で、守るべき原則は次の3点。
「全て違うものにする」、「複雑で推測できないものにする」、そして「他人の目に触れないようにする」(図1)。この3原則を同時に満たす管理方法を実践しなければならない。
 
前述のように、安全性を考えるとパスワードはなるべく複雑にしておきたい。例えば数字だけでパスワードを作成すると、組み合わせは4桁なら1万通り、8桁にしても1億通りしかない。アルファベットと記号も使ったパスワードにすれば、兆の単位の組み合わせになり、破るのは非常に難しくなる(図2)。
 
とはいえ、このような複雑なパスワードをサービスごとに設定すると、たいていのユーザーは正確に覚えきれず苦労するだろう。入力時に間違えたり、思い出せなかったりする恐れがある。こうしたジレンマを解決するには、パスワードを管理するための台帳を作るほかない。
◆一元管理の台帳を作る
IDとパスワードを、ファイルやノートで一元管理しておく。こうすれば、パスワードが非常に複雑でも、数が多くても、困ることはない。記憶に頼らずに済むので、最も桁数が多く複雑なパスワードにして安全性を高めることができる。パスワードを使い回す必要もない。
 
もちろん、パスワードをファイルに保存しておいたり、メモに書いたりすることには、情報漏洩のリスクがある。どのように台帳を作るか、その台帳をどう保管するかが重要になる。
具体的な実践方法は、次の3通りだ。「パスワード管理ツールを使用する」「Excelなどのファイルに保存する」「メモや手帳に書いておく」である(図3)。この中から自分に合った管理法を選択しよう。
 
パスワード管理ツールは、パスワードを管理するための専用ソフトやアプリのことだ(図4)。利用するサービス名とユーザーID、パスワードを登録しておき、入力時にいつでも参照できるようにする。
 
ほとんどのツールは、パスワードを記録したファイルを暗号化して保持する。 Windows用ソフトのほかにスマートフォン用のアプリを用意し、オンラインストレージに保存してあるパスワード情報を同期できるツールもある。
専用のツールだけに、最も安全性と利便性が高い。ただし、パスワードは個人にとって最重要な情報。それを預けるのだから、ツールは販売元や開発者の信頼性も考慮して慎重に選ぶべきだ。主要ツールについて、52ページ以降で紹介する。
◆ファイルや紙で管理
専用ツールではなく、Excelやメモ帳などのソフトでパスワードを一元管理する方法もある。普段使っているソフトなので、すぐに始められるのが利点だ。ただし、ファイルを盗まれたら元も子もない。ファイルの情報漏洩対策に自信のあるユーザー向けと考えておこう。
 
パスワードを記入したファイルは必ず暗号化し、ファイルの盗難に備える必要がある。 Excelであれば、パスワードを使用して暗号化する機能が標準で搭載されているので、それを活用する(図5)。 Excel以外でも暗号化ソフトなどを使って、ファイルを盗まれてもパスワードを見られることがないよう、万全を期したい。パスワード付きでZIP形式などに圧縮しておくのもよい。
 
ファイルは、オンラインストレージを使ってスマートフォンと共有すれば、外出先でもパスワードを確認することが可能になる。例えば、DropboxのiPhone用アプリでは、Excel標準の機能で暗号化したファイルを復号して閲覧できる(図6)。ただし、暗号化の方法によっては、スマートフォンのアプリで復号できないこともある。利用環境であらかじめ確認しておこう。
 
紙でパスワードを管理するという選択肢もある。メモや手帳にパスワ-ドを書いておき、いつでも閲覧できるようにする。もちろん、メモや手帳の紛失または盗難、第三者の盗み見への対処が必要だ。自分なりの工夫を上手に加えておけば、実践しやすい最も手軽な方法だろう。
単純にユーザーIDとパスワードを書き連ねておくのではなく、例えばサービス名やユーザーIDと、パスワードを分けて管理する(図7)。一方の紙には、番号とサービス名、ユーザーだけを書いておく。もう一方には、番号とパスワードだけ1を書く。携帯するのはパスワードを書いたメモや手帳だけ。サービス名を書いた紙は自宅などに保管する。どの番号がどのサービスかだけは記憶しておこう。
こうすればメモや手帳を盗まれたとしても、何のパスワードなのか分からない。紛失に備えてパスワードの紙をコピーし、ユーザーIDの紙とは別の場所にも保管しておくとよい。
 
パスワードをメモや手帳に書く際に、一定のルールで余分な文字を付加するなども有効な対策だ。例えば、8文字のパスワードの前後に2文字ずつ、ダミーの文字を書き加えて12文字のパスワードのように見せる。もし誰かがメモや手帳を盗んだとしても、正しいパスワードを知るのは困難になる。
◆事前に強度をチェック
万が一流出した場合のリスクに応じて、パスワード管理の厳重さをレベル分けするという考え方も現実的だろう(図8)。オンラインバンキングや決済サービス、クレジットカード番号で支払いが可能な購買サービスなど、パスワードを見破られると大きな損害を被るものについては、できるだけ複雑なパスワードを設定。一方、漏洩しても実害のほとんどないサービスなら、自分の覚えやすさを優先したパスワードで済ませる。
 
なお、パスワードの「強度」は、Webサイトなどで客観的に測ることができる。作成したパスワードを入力するだけでよい(図9)。どのようなパスワードが強いのか、事前にチェックしておこう。主要なSNSやグラウトサービスで、「2段階認証」と呼ばれる仕組みの導入が始まっている。 IDとパスワードによる認証に、もうl段階、携帯電話やスマートフォンを使った認証を加える方法だ。
 
通常は、IDとパスワードが盗まれれば不正アクセスが可能になる。しかし2段階認証では、IDとパスワードだけではログインできない(図1)。あらかじめ登録しておいた携帯電話やスマートフォンに確認コードとして送られてくる、「ワンタイムパスワード」による認証が必要になる。つまり、登録済みの機器が手元になければログインできない。
 
パスワード管理を徹底するのに加えて、こうしたサービス側か提供する認証強化の仕組みを利用することで、安全性はいっそう高まる。ほとんどのサービスでオプションとなっており、設定にやや手間はかかるが、できるだけ有効活用したい。
 
設定済みの場合、まずIDとパスワードで認証。初めてログインするWebブラウザーのみ、2段階認証の画面が表示される(図2)。同時にスマートフォンなどにSMSやメールで数桁の数字が確認コードとして送られてくるので、それを入力する。
◆対応サービスは増加中
2段階認証に対応するサービスは徐々に増えている(図3)。 2014年2月には、アップルの「Apple ID」が2段階認証に対応した。
詳細な設定方法を、グーグルのサービスを例に見ていこう。 まずGoogle検索やGmailなどでログイン状態のときの、画面右上に表示されているアカウント写真をクリック。表示されるポップアップ画面で、「アカウント」を選択する(図4)。するとアカウント関連の設定画面が表示されるので、「セキュリティ」タブにある「2段階認証プロセス」の「設定」を選ぶ。
 
ここで指定するのは、確認コードを受信する携帯電話やスマートフォンのメールアドレスだ。携帯電話会社が提供するキャリアメールのアドレスを入力する。キャリアメールを保有していないなら、下にあるラジオボタンで「音声通話」を選び、携帯電話番号を入力しよう。
 
入力を終えると、確認のためのコ-ドがメールで送られてくる。音声通話を選んだ場合は、電話が着信し、自動音声で確認コードを告げる。それを画面に入力。これで設定は完了する。なお、[このパソコンを信頼できる……]にチェックを入れておけば、同じパソコンのWebブラウザーでの次回以降の確認コード入力を省ける。
さらに念のため、「バックアップコード」をダウンロードし保管しておこう。携帯電話やスマートフォンを紛失した場合に、確認コードの代わりに使えるコードだ。あらかじめ10個作成できる(図5)。
◆アップルやMSも対応
新たに始まったApple IDの2段階認証機能も基本的には同様だ。2段階認証を有効にするには、確認コードを表示するためのiPhoneやiPadが必要になる。
 
まず、iPhoneまたはiPadに、遠隔管理アプリ「iPhoneを探す」をインストール。Apple IDでは、SMSかこのアプリで確認コードを受け取る仕組みになっている(図6)。
 
「https://appleid.appIe.com/」にアクセスし、「パスワードとセキュリティ」画面を開く。まだ携帯電話番号を登録していない場合は、番号を入力。この電話番号にSMSのメッセージが送られてくるので、記載された確認コードを入力し登録する。電話番号を登録すると、Apple IDにひも付いているiPhoneやiPadを、確認コードの送り先として選択可能になる。設定後は、新しいパソコンやiPhoneなどで有料コンテンツを購入しようとすると、2段階認証が求められる。
 
Windows 8.1やマイクロソフトのグラウトサービスで使用する「Microsoftアカウント」も2段階認証への切り替えが可能だ(図7)。このほかのサービスも、おおむね同じ設定手順である。
いくつものサービスを2段階認証に切り替えると、確認コードを記したSMSやメールがそのつど送られてくるので、意外に煩わしい。それらの受信を省く方法として、認証アプリが利用されている。2段階認証の際には、認証アプリが表示するコードを入力するという使い方だ。
特に、グーグルが提供する認証アプリは、同社のサービスだけでなくMicrosoftアカウントや「Dropbox」「Evernote」などのサービスにも対応しているので便利だ(図8)。
◆パスワード管理ツールは慎重に選ぶ
最も安全に、しかも無理なくパスワードを管理できるのは、パスワード管理ツールを使う方法だ。ツールの多くは、Windows、Android、iPhoneと、複数の機器向けにそれぞれ専用アプリを用意。いつでもどこでも、パスワードを登録・参照できるタイプが増えてきた。多くのツールが、複雑なパスワードを作成する機能や、パスワードをWebページに自動入力する機能などを備えている(図1)。
ただし、機能や価格だけでツールを選んでしまうのは早計だ。例えば、や「Google Play」「App Store」などで入手可能なアプリは、一定の審査を経ているとはいえ、悪意のある機能が紛れ込んでいることがあり得る。開発元が何らかの事情でツールの提供を停止する、といったことも考えられないわけではない。重要なパスワードを扱うツールであれば、特に慎重になった方がよい。54~55ページで取り上げたパスワード管理ツ-ルは比較的実績があるものをピックアップした。
◆ブラウザーにも管理機能
専用の管理ツールのほかに、身近なソフトウェアにもパスワード管理機能がある。機能や使い勝手はいまひとつだが、利用するなら仕組みをきちんと理解しておこう。
 
まずはWebブラウザー。パソコン用の『Chrome』と「Firefox」の最新版には、簡易なパスワード管理機能が搭載されている。パスワード保存機能を拡充したものであり、保存したパスワードを一覧表示したり編集したりできる。
 
Chromeでパスワード管理機能を利用するには、「設定」で「詳細設定」を表示させ、「パスワードとフォーム」の項目にある「保存したパスワードの管理」を選ぶ(図2)。パスワードは伏せ字になっているものの、パスワードを選んでからWindowsのパスワードを入力すると表示され、編集が可能になる。
 
Firefoxのパスワード管理機能も同様であり、さらに「マスターパスワード」を設定することができる。
パスワード機能を利用する際に、このマスクターパスワードによる認証を求める設定にすることで、セキュリティを強化できる。マスターパスワードさえ入力すれば、登録済みのパスワードを自動入力してくれる。
 
「Internet Explorer」の場合は、Windows 8.1との組み合わせなら、コントロールパネルの「資格情報マネージャー」で、保存したパスワードを確認可能バSafari」では、iCIoudを介してパスワード情報を同期して自動入力する「iCloudキーチェーン」を利用できる。
◆セキュリテイソフトで管理
セキュリティ対策ソフトに付属するパスワード管理ツールもある。いずれもセキュリティ対策ソフトの購入が前提となるが、機能面では専用ツールに劣らない(図3)。
 
シマンテックの「IDセーフ」は、「ノートン セキュリティ」「ノートン アンチウイルス」などに付属するパスワード管理ソフト。ウイルス対策ソフトをインストールすると、WebブラウザーにIDセーフのプラグインが追加される。
 
Webブラウザーで通販サイトやSNSにアクセスし、IDとパスワードで認証すると、その情報をIDセーフのデータベースに登録する。登録済みのパスワード情報は、プラグインから一覧できる。ただし、こうした機能を利用するには、インストール時に指定したマスターパスワードで認証しておく必要がある。
 
IDセーフにはAndroid用の無料アプリがある。パソコンで登録したパスワード情報を。シマンテックのサーバーを介して、Android搭載機でも利用できる。現時点では英語版のみの提供になる。
マカフィーの「Safekey」も、IDセーフと同様の機能を搭載。Webブラウザーのプラグインとして動作する。販売サイトやSNSなどで認証すると、パスワード情報登録画面をポップアップ表示する。ユーザーはWebサイト名やカテゴリーなどを編集して登録する。パスワード情報は暗号化して保存する。
 
IDセーフとの最も大きな違いは、AndroidだけでなくiPhone/iPad用の日本語アプリが提供されている点だ。いずれも無料で利用できる。
ソースネクストの「スーパーセキュリティZERO」は、管理画面で機能をオンにすると、パスワード管理機能を利用できるようになる。こちらは、Windowsパソコン単体で利用するツールである。

 

モバイル通信業界の案件情報は下記をご覧下さい
こちらから!
まずはエントリーを!!という方は下記よりお願い致します
皆様からのご応募お待ちしております!!
→エントリーはこちらから!