KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】外出自粛時にパスワード管理について考える

先端技術部
エバンジェリスト 佐藤 久    

●自己紹介

はじめまして佐藤久と申します。今回初コラムとなります。よろしくお願いいたします。
入社以来、システム・インテグレーション・サービス事業部(SIS)に所属し、 2020 2 月から先端技術部に配属となりました。
SIS事業本部では、お客様先常駐開発、本社一括開発、オフショア拠点への出向など、システム開発を中心に携わりました。
今後は先進技術を吸収して、社内外への情報発信を進めて参ります。

テーマ選定にいたる経緯

近年、各種クラウドサービスやサブスクリプションサービスなどの利用増に伴い、管理すべきアカウントおよびパスワードも増加しています。
それに加え、現在の新型コロナウィルス対策おける外出自粛でオンラインショッピングや出前注文など、その増加に拍車がかかっていると推測されます。
私も今年に入ってから急増し、覚えるべきパスワードが 50 を超えました。
ここまで増えると、記憶だけでは難しくなりますので、この機会に適切なパスワード管理方法について整理して活用したいと考えました。

整理手順について

人それぞれ管理アカウント数、利用サービス、習熟度などが違うため、すべての人に最適なパスワード管理方法は無いと考えます。
利用者や用途にあった管理方法を選定するべきと考えます。
私の私見だけでは偏ってしまうため、今回は公的機関が推奨する適切な管理方法を理解して、次に一般的な管理方法に注意すべきポイントを付けて整理していきます。

※社内運用については規程の管理ルールを順守ください。
※パスワード作成時の留意点や定期変更などについては、以前投稿された以下コラムをご参照ください
【エバンジェリスト・ボイス】改めて「パスワードの定期的な変更」を考える(前編)

【エバンジェリスト・ボイス】改めて「パスワードの定期的な変更」を考える(後編)

NISC推奨のパスワードの適切な管理方法

まず公的機関が推奨する管理方法を理解するため、内閣府サイバーセキュリティセンター(NISC)が作成した『インターネットの安全・安心ハンドブック』( *1 )を参照しました。
図1_478x574
このハンドブックは、パスワード管理だけではなく、セキュリティ全般ついて絵図をつけて初心者にもわかりやすく説明してくれていますので、セキュリティリテラシー向上のための教材としてもおススメです。
無料でダウンロードして配布できますし、随時更新されて情報が補完されています。
このハンドブックにはパスワードの適切な保管について以下の 3 つのポイントがあげられています。

≪適切な管理方法≫
(1)パスワードを使用する場所に置かない。パソコンの中も×
(2)パスワードはノートに書いて保管するか、パスワード管理アプリで守る
(3)ウェブブラウザの自動入力にパスワードを覚えさせない

(1)と(3)は禁止事項、推奨する管理方法としては(2)の「ノートに書いて保管」「パスワード管理アプリ」とわかりました。次は一般的なパスワード管理と紐づけて掘り下げてみます。

図2_486x293

出典:NISC『インターネットの安全・安心ハンドブック』(P 31 より抜粋)

IPA報告の一般的なパスワード管理

独立行政法人情報処理推進機構(IPA)が『2019年度情報セキュリティに対する意識調査』(*2)で調査集計して報告したID・パスワードの管理方法を抜粋し、考察いたします。
図2.5_896x608

出典:IPA『2019年度情報セキュリティに対する意識調査』(P60より抜粋)

≪調査で集計された一般的な管理方法≫

(1)自分で記憶している
一番多い管理方法は記憶の 53 %でした。忘れるリスクはありますが、覚えきれる個数であれば頭の中は堅牢性が一番高いと言えます。同意識調査では回答者の約 60 %が管理アカウント 5 個以下でしたので、少数であれば記憶で充分であると考えられます。

44_500x500 ポイント: IPAが推奨するコアパスワードを活用すると、使いまわしを防ぎつつ、覚えやすいパスワードを設定できます。
※外部サイト: コアパスワード参考サイト

(2)手帳などの紙にメモをしている
次点はNISCの推奨するノート(紙)に書く管理方法が、 50 %以上の方が利用しています。ひと昔は、紙にパスワードをメモするなんてナンセンスだと言われた時もありますが、サイバー攻撃を受けたときに漏洩することが無いのは紙の長所と言えます。別途、紙の管理に気を付ける必要はあります。

44_500x500 ポイント: IDとパスワードを同じ紙に記載しないことで、紛失盗難時の不正利用がしづらくなります。

(3)パソコンにインストールするアカウント管理ソフト使用(スタンドアロン型)
各サービスにログインした際、アカウント管理ソフトがパスワード等を記憶して、次回から自動ログインを行ってくれます。前述の記憶やメモと比べると利便性が高いと考えます。ローカルに保存されるパスワードデータは暗号化され高いセキュリティが確保されます。定番ソフトは「 1password 」でしたが、クラウド型のサブスクリプションサービスに移行しており、最新OSはサポート対象外になっています。後進ソフトの「 Enpass 」「 KeePass 」の導入 / 管理は、PCに不慣れな方には敷居が高いかもしれません。

44_500x500 ポイント: 端末自体が破損したときはパスワード復旧できない恐れがあるので、定期的にバックアップデータをとっておく必要があります。

(4)ネットワーク上のアカウント管理サービスを利用(クラウド型)
前述のスタンドアロン型の利便性に加え、クラウド型は複数のデバイスでアカウント共有でき、利便性に長所があります。しかし、クラウド型ゆえの漏洩リスクは考慮すべきで、サービスの選定は慎重にする必要があります。Androidスマホをお持ちであれば、Googleのパスワード管理「パスワードマネージャー」がアプリを追加する必要がありませんので導入しやすいと考えます。各サービスログイン時に以下の画像のように保存しますか「パスワードマネージャー」です。既にご使用の方も多いのではないでしょうか。
図3_1075x353

検索する限り大きなトラブルは発生していませんし、他デバイスでの接続があった場合はアラートメールを受け取って使用を防ぐこともできます。
iPhone では同様の管理サービス「 iCloud キーチェーン」があります。
Chromeで パスワードマネージャー を開くと、登録したパスワードの確認や変更、削除ができます。また、以下の通り漏洩の可能性や再利用パスワードのチェックなどを行うこともできます。
図4_604x728

クラウド型はメジャーなセキュリティソフト会社も参入していますので、 Google にすべて集中するのに懸念がある方は、マカフィーの「 TrueKey 」などを使えば、 Android/iOS Windows/MacOS を跨いだ共有もできるようになります。

44_500x500 ポイント: 利便性は高くなりますが、端末が紛失 / 盗難時には、複数のサービスが悪用されるリスクがあります。端末自体のロック解除は指紋や顔などの生体認証などで厳しくしておく必要があります。

(5)ウェブブラウザに保存させる
前述したNISCのハンドブックではウェブブラウザに保存させることは非推奨となっています。基本は利用しないほうが良いでしょう。

(6)電子ファイル(メモ帳や表計算ソフト)に記憶
前述した管理ソフトに比べ、自動入力や自動共有などができないため利便性は低いですが、導入 / 管理はしやすいと考えます。 Excel であれば様式を自由にレイアウトでき、最終更新日や定期変更スケジュールなども管理することができます。しかし、前述したNISCハンドブックでは「パスワードを使用する場所に置かない。パソコンの中も×」とありますので、記憶した電子ファイル自体は別のデバイスに保存しておくことをご検討ください。

44_500x500 ポイント: Excel などパスワードが設定できる場合は、必ず設定ください。また、「パスワード管理 .xlsx 」のように分かりやすいファイル名は避けてください。

 

●まとめ

前述したとおり、パスワード管理についてどれが正解かは無いと考えます。管理アカウント数、影響度、利用環境、利用頻度、規程などの条件をもとに、アカウントごとにリスクと利便性を考慮しながら選定する必要があります。私個人としては、会員アプリやオンラインショップなど影響が限定的であれば利便性を優先してクラウド型の管理サービスを利用し、テレワーク用サービスやオンラインバンキングなど影響が大きいアカウントについては、端末に保存させずに紙で管理することが良いと考えました。皆様もこの機会にパスワード管理について見直しいただければ幸いです。最後までお読みいただきありがとうございました。

【引用】
*1 内閣府サイバーセキュリティセンター『インターネットの安全・安心ハンドブック』


*2
IPA『 2019 年度情報セキュリティに対する意識調査』





当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

佐藤 久

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

DockerでJupyterLabの環境を作ろう

残された攻撃の痕跡を追え! ~Post-Exploitationで起きていること~