クラウドで利用できるサービスや、特殊なインストール作業を必要とせず標準のブラウザ上で利用可能なアプリケーションが増えたことで、ログインが必要なサイトが増えてしまいました。皆さんも「IDとパスワード何だっけ?」ということが年々増えているのではないでしょうか?
このページではパスワード管理についてまとめました。
- セキュリティの厳密化によるもの
- 業務が細分化され業務毎に異なるシステムを利用する
- クラウドサービス、オンラインサービスなど外部サービスを利用する
本稿では、パスワードの基本的な考え方から、管理に便利なサービスの紹介、パスワードに変わる便利な認証についてご紹介します。
↓PCトラブルなど社内IT環境にお困りなら↓
パスワードの「基本」
パスワードは適切な利用者であることを証明する基本的な手段です。逆に、パスワードが第三者に知られてしまったり、簡単に推測できるものでは役割を果たすことができません。パスワードの取り扱いに関する基本を改めて整理します。
安全なパスワードと危険なパスワード
総務省では、安全なパスワードと危険なパスワードを以下の定義で示しています。
<安全なパスワード>
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用しないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並びやその安易な組み合わせにしない事
<危険なパスワード>
- 自分や家族の名前、ペットの名前
- 辞書に載っているような一般的な英単語
- 同じ文字の繰り返しや分かりやすい並びの文字列
- 短すぎる文字列
不正アクセスを狙う人たちは上記のような危険なパスワードを設定されていることを期待して、総当たりでパスワードの突破を試みることがあります。その際に使われるのが、安易に覚えられる危険なパスワード、あるいは、危険なパスワードには相当しないが物理的に簡易なパスワードです(例えば文字列的な意味はないが「QWERT」など、キーボード配列上平易なものなど)。このようなパスワードを使用しないように注意が必要です。
キーボード配列上、平易な文字列
管理するパスワード多ければリスクも増える
パスワードの数が増えれば増えるほど、リスクが増えることを認識しなければなりません。
- パスワードが増えると、覚えきれなくなる
- パスワードを間違えすぎることで、アカウントロックがかかり作業効率が下がる
- パスワードを忘れるたびに、リマインダーを実行するため作業効率が下がる
- 覚えきれなくなるので、同じようなパスワードを使いまわす
- 覚えきれなくなるので、どこか別のところにメモする
ここで特に注意すべきは「パスワードの使い回し」と「別のところにメモ」です。
パスワードの使い回しをした場合、万が一どこか1カ所でパスワードが漏えいすると、同じパスワードを使っている別のサイトやサービスも不正アクセスされる危険性が高まります。
メモを使ってパスワードを覚書する場合も多いと思いますが、メモが手帳などのアナログなものであれば手帳の紛失がパスワード漏えいと同様の影響となりますし、ファイルサーバなどのデジタルデータの場合はデータが何らかの事情で漏えいした場合に影響が出ます。
パスワードを使うサービスが増えれば増えるほど、こういった「人の手」によるリスクが増加していきます。
パスワードの複雑性・定期変更は対策にならない場合あり
パスワード自体を複雑にしたり、一定期間で変更することは、不正アクセス者からの総当たり攻撃には強くなります。しかし、これが形骸化すると「人の手」によってリスクが高まる場合があります。
あまりにも複雑で認識することが難しいパスワードは、当然、通常利用する人にとっても覚えにくいものとなります。法則性があるなら、その法則と突合することができるかもしれませんが、多くの場合はメモなど別の手段に頼ってしまいます。
セキュリティを高めるために、一定期間でパスワードをリセットし変更させるというルールを行っているケースもあるかもしれません。これも「人の手」で形骸化してしまう可能性があります。例えば、固定の文字列の前後に、連番や変更した年月日を示す数値をいれることでパスワードを変更する、といったパターンです。「固定の文字列」さえ分かってしまうと、連番や年月日の総当たり攻撃で突破されてしまいます。
↓PCトラブルなど社内IT環境にお困りなら↓
パスワードを「管理」することを考える
様々なサービスを使っていくうえで、パスワードは避けられない手段です。もっとも、現在ではパスワードに変わる認証手段が数多く出てきていますが、パスワードというシンプルな認証手段も変わらず使われることを考え、パスワードをどのように「管理」するかを考える必要があります。
アナログなメモでも一工夫する
言うまでもないことですが、パスワードそのものをメモし、机上やディスプレイなど簡単に目のつくところに貼り付けるというのは『論外』です。このような行為はしっかりと禁止し、発見した場合は是正するようにしましょう。
パスワードを目に見える場所に書かない!
例えば手帳などにパスワードをメモするにしても、見た目通りの記載ではなく、アナグラム的に文字を入れ替えたり、パスワードの法則性だけをメモするとするだけでも、パスワード漏えいの心配を減らせます。
ただし、やはりアナログ的なパスワードの保存は、メモそのものの盗難や紛失というリスクからは逃げられないので、あまり推奨はできません。
デジタルで保管するなら暗号化、パスワード
Excelやメモ帳でパスワードを管理しているケースも少なくありませんが、もちろんそれらのファイルが流出したらパスワードが一気に漏洩してしまいます。
Excelの場合「パスワードを使用して暗号化」の「読み取りパスワード」機能を使うと、ファイルオープン時にパスワードを求められ、パスワードが誤っていればファイルを閲覧することはできません。なお「書き込みパスワード」はファイルを編集させないための機能で、中身の閲覧は可能なので注意しましょう。
Excelのメニュー「ファイル」→「情報」→「パスワードを使用して暗号化」
単純なメモ帳でパスワードを管理している場合、例えばパスワード付きzipファイルにすると、ファイルが漏えいしただけでは中身をすぐに知ることはできません。パスワード付き圧縮ファイルは「7-Zip」「Lhaplus」「WinRAR」などのソフトウェアで作成可能です。Windowsは、以前OS標準機能でパスワード付きzipファイルが作成可能でしたが、Windows8以降は作成できなくなりました。
もちろん、設定したパスワードを忘れてしまうと、完全にファイルを開くことができなくなります。また、これら暗号化しているパスワード自体が簡単に推測できては意味はないので、暗号化しているファイルを開くためのパスワードの管理もさらに考えないといけません。
ブラウザのパスワード保存機能、一長一短
ブラウザでは、各種サイト上のパスワードを記憶する機能が多く備わっています。
Chromeの場合、「設定」→「自動設定」でパスワードの保存設定が可能
これらは、そもそもの機能有効・無効以外にも、サイトごとで保存するかしないかも判断できます。多くのパスワードはブラウザ上で求められると思いますので、パスワード保存機能があれば、作業効率は高まります。
ブラウザのパスワード保存機能は、各種アカウントへの紐づけも可能です。EdgeならMicrosoftアカウント、ChromeならGoogleアカウントへログインし、同じログインアカウントを使えば、異なる端末でもパスワード保存機能が有効になり、ログアウトすればパスワードは端末上からは消去されます。
個人利用であればブラウザのパスワード保存機能は大変有用ですが、業務利用では注意が必要です。
担当者が退職した、または異動によって権限が変更になった場合、システム側からアカウントの権限やパスワードを変更できれば良いですが、個人用のMicrosoftアカウントやGoogleアカウント等の場合、利用者本人以外の第三者が停止や変更の手続きを行うことができない場合があります。
また、端末が盗難・紛失した場合、PCにログインできてしまうと保存されたパスワードも無防備な状態となります。
↓PCトラブルなど社内IT環境にお困りなら↓
パスワードを管理するツールやシステムの利用
ブラウザのパスワード保存機能は、端末本体または関連するアカウントに連動するものですが、一長一短があるため、業務においてはパスワードを管理するためのツールを使うことも検討に入れてみてはいかがでしょうか。
特に会社や組織でパスワード管理する場合の観点としては、以下の通りです
- ユーザーの一括管理することが可能
- 安全性
- 互換性や可用性の高さ
- 利用者数とコスト(費用)
これらを踏まえて、セキュリティを重視するのであればオンプレミス(自社サーバ)での運用、テレワークやモバイル端末など汎用性を高くするのであればクラウド型のサービスを利用します。
いくつか代表的なパスワード管理ツール・システムをご紹介します。
RoboForm for Business
RoboFormはアメリカのSiber Systems社により1999年にリリースされたパスワードマネージャーで、世界中で広く利用されています。安全性の高い暗号化技術で保護されたパスワードデータを、一括管理することが可能なシステムが構築されています。オンプレミス・クラウド両方に対応しており、安定性が高く、価格も低め(1ユーザ \3,895/年~)となっています。
1PASSWORD BUSINESS
1PASSWORDはカナダのAgileGits社によって2006年にリリースされたパスワードマネージャーです。高いセキュリティを必要とするグローバルの大企業からベンチャー企業に至るまで全世界10万社以上の導入実績があります。パスワード管理以外にも、クレジットカード情報や無線LAN SSID、銀行口座など各種認証に幅広く対応し、これらは高速かつ安全な次世代暗号化技術「WebCrypto」によって処理されます。
LastPass
パスワードの統合管理として著名なツールに「LastPass」があります。一元管理に便利なダッシュボード機能を備えるほか、チーム内でパスワードを同期することが可能な機能があります。一つのアカウントを複数人で使いまわす運用は通常推奨されませんが、LastPassで運用すれば利用するユーザを制御・ロギングしながら必要なメンバーでパスワードを同期できるため、適切に安全管理することが可能となります。
Keeper
Keeperは特に中小企業やスマートフォンアプリなどの個人向け・家庭向けパスワード管理ツールとして高く評価されていますが、管理者向けダッシュボードを備えたビジネス向けサービスも展開しています。パスワード管理の他、データ保護やアカウント乗っ取りなどを検知するセキュリティサービスも付随しています。
↓PCトラブルなど社内IT環境にお困りなら↓
パスワードとは別の認証
パスワード自体はシンプルな認証手段ですが、推測・総当たりが可能という弱さがかねてより指摘されています。また、先に述べた通り、パスワード自体を複雑にしすぎると「人の手」によって脆弱性が生じる可能性もあります。
適切に利用者と紐づけ、不正なアクセスを発生させず、しかし利用者の利便性や効率を下げない認証も多く登場しています。特にセキュリティが重要な領域によっては、パスワードとは別の認証方法を利用したり、パスワードと併用することでより安全性を高めています。いくつかの主要なパスワードに変わる認証方法について簡単にご紹介します。
SMS認証
パスワードとの併用でよく利用されるのがSMS認証です。登録済みのスマートフォン番号と連携することで、パスワード利用場面でスマートフォンにワンタイムパスワードを送信しリアルタイムで認証します。現在多くのクラウドサービスではSMS認証を利用する二段階認証が利用されています。
企業においては、会社専用のスマートフォンを用意することで、万が一利用者が退職しても会社スマートフォンを返却もしくはスマートフォン(電話番号)自体を無効化してしまえば利用サービスを保護できるなど、パスワード1本だけの認証体制よりも安全性を確保する手段が広がります。
SSO(シングルサインオン)
多くのパスワードが必要となる時代に求められる仕組みとして、SSOが注目されています。
実際には複雑な仕組みですが、利用者側に立てば「1つのパスワードさえあれば、その後のパスワード認証を行わなくても良い」というのがSSOの特徴です。先に紹介したパスワード管理システムを導入しても、同じような効果が見込めます。
SSOを利用する場面としては、SSOに対応するクラウドサービスをSSOで共通化することでシームレスに各サイトが利用可能となります。Microsoft365(Microsoft Entra ID(旧Azure AD))やGoogle Workspaceを利用するにあたっては、SSOに似たような挙動となります。SSOであれば所有するパスワードの数自体が少なく、パスワードが漏えいしても1つのパスワードさえ変えれば一括で安全性が守れるなど、多くのメリットが受けられます。
シングルサインオンに関しましては以下の記事も合わせてご確認ください。
生体認証
偽装しにくい認証手段として古くから存在するのが生体認証です。利用者の指や手のひらを使う指紋認証・静脈認証などが一般的です。かつては高価な認証機器を用意しなければ実現できませんでしたが、近年はスマートフォンが生体認証読み取り装置として機能するようになったため、誰でも高度な生体認証が使えるようになってきました。
マイナンバーカード認証(公的個人認証サービス)
マイナンバーカードが普及したことで、マイナンバーカードによる認証も使われるようになってきています。マイナンバーカードの読み取りにはICカードリーダーが必要ですが、こちらも現在は多くのスマートフォンがマイナンバーカードに対応したICカードリーダーを搭載しているほか、ICカードの読み取り装置は比較的安価に購入が可能です。マイナンバーカードの認証は総務省および日本国が管轄しており、非常に安全です。
↓PCトラブルなど社内IT環境にお困りなら↓
どうしても上手くいかない時は
インターネットで検索して色々な方法を試してみたけどうまくいかない…
とげおネットまで
お気軽にご相談ください!!
電話・メールフォームから
お問い合わせください!
▼ ▼ ▼
とげおネットでは
出張サポートにて
お力になれます!
インターネットで検索して色々な方法を試してみたけど上手くいかない場合はとげおネットまでお気軽にご相談ください。出張サポートにてお力になることが可能です。
まとめ
パスワードに関する情報のまとめ、およびパスワード管理に便利なツールやサービスのご紹介となりました。
パスワード管理等にお悩みがございましたら、ぜひ、とげおネットまでご相談くださいませ。
