- 244
- 49
- 280
ID・パスワードの管理は結局どうすればいいの? セキュリティの専門家に聞く【2022年版】
ライター/ウェブ編集。2001年からウェブコンテンツ業に企画・ディレクションとして携わる。2012年よりフリーライターに。女性向けコンテンツのほか、アプリ、旅行、生活、クルマ、働き方など様々な分野で執筆中。趣味は狛犬巡り。日本参道狛犬研究会会員。
みなさんは、ログインIDやパスワードをどのように管理していますか?
日々いろんなサービスで利用するIDとパスワードは、サービスによって必要な文字数が異なっていたり、大文字や特殊文字を含めることを要求されたりするため、すべてを記憶しておくのは難しいものです。
かといって、情報漏えいのことを考えると同じパスワードを使いまわすのも不安。ID・パスワードを記憶できるGoogle Chromeなどのブラウザや、ログイン情報を一元管理するためのサービスもありますが、こういったものは積極的に使った方がいいのでしょうか。
結局、ID・パスワードのベストな管理方法とは? ソリトンシステムズの長谷部泰幸さんに伺いました。
ソリトンシステムズ 長谷部 泰幸(はせべ・やすゆき)さん |
ITセキュリティを専門とする東証プライム企業の前取締役執行役員で、一般財団法人日本サイバー犯罪対策センター(JC3)幹事。それ以前に、ネットセキュリティ専門サービスの上場企業や、不正調査専門サービスの上場企業で取締役を歴任。一般社団法人量子ICTフォーラムの前監事。NISC(現在の内閣サイバーセキュリティセンター)に設置された政府機関のログ管理検討会の構成員も務めた。 HP:https://www.soliton.co.jp/ |
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2021 」によると、「インターネット上のサービスへの不正ログイン」の脅威が、個人10位・組織8位にランクインしています。
ID・パスワードの漏えいによって起きる不正ログイン。どんな被害を受けるのでしょうか?
長谷部さん「不正ログインによる典型的な被害は、『乗っ取り被害』です。勝手に商品を購入されてしまったり、オンラインゲーム上のアイテムやお金がとられてしまったり。今、表に出ている問題のほとんどはお金が絡んでいます」
どうして、このような被害に遭ってしまうのでしょうか?
長谷部さん「同一のID・パスワードを使い回していると、不正ログインの被害に遭いやすくなります。乗っ取られてしまうと、何でもできてしまうので危険です。実際に、企業の社内ネットワークに侵入して機密情報を盗まれたり、アカウントを乗っ取られて詐欺メールなどに悪用されたりするケースもあります」
ソリトンシステムズの調査によると、被害に遭った端末の多くが、ID・パスワードの必要なサービスを150~200ほど使っていたそう。同じID・パスワードを使っていると、それだけのサービスを勝手に使われてしまう危険性があるのです。
避けるべきID・パスワードとは?
IDには電子メールアドレスの文字列がそのまま使用されることが多いですが、なにか注意点はあるのでしょうか?
長谷部さん「例えば政府の中央省庁では、ネット上のサービスを使う際に、職務アドレスの利用を禁じています。一般企業にお勤めの方も、プライベートで仕事用のアドレスは使わないのが鉄則です」
有名企業の社員が、会社のアドレスで出会い系サイトに登録してトラブルになることもあるのだとか! 「メアドのドメイン(@より後ろの部分)が有名企業の名前だからモテるかも」といった考えは封印して、プライベートのアドレスを使うのがおすすめとのこと。
では、パスワードの注意点は?
長谷部さん「まず前提として、自分にとって覚えやすく他人にとって推測しにくいのが、良いパスワード。反対に、自分にとって覚えにくく他人にとって推測しやすいのが、悪いパスワードです」
また、「123456」のような誰にでも思いついてしまうようなパスワードは、長谷部さんいわく“最悪のパスワード”。パソコンのキーボードの配列を左から順番に打つ「qwerty」や上から順番に打つ「1qaz2wsx」、同じ文字を繰り返す「000000」なども同様です。ほかにも「password」「passw0rd」といった文字列も推測されやすく、使うべきではないとのこと。
長谷部さん「そのような単純な文字列以外では、サッカーや野球など人気のスポーツ選手の名前、アニメのキャラクター名、タレント名といった、ファンが多い名前の文字列もおすすめできません」
安全なパスワードを設定・保管するためには?
パスワードは、どのように設定・保管すれば安全なのでしょうか。
長谷部さん「一番安全な保存方法は、頭の中に置いておくことです」
頭の中……!? でも、数あるパスワードを頭の中に記憶しておくのは、かなり難度が高いように感じてしまいます。
そこで、具体的なパスワードの設定方法を2つ挙げてもらいました。
フレーズにする
長谷部さん「パスワードに6文字や8文字といった文字数の制約がなければ、20数文字の長いフレーズにするのがおすすめです」
アメリカの政府職員も、3年ほど前からパスワードをフレーズに切り替えているとのこと。また、ハッキングツールを使っても、長いパスワードなら解析が難しくなるのだそうです。
長谷部さん「フレーズの中身は、何でも構いません。仕事や生活の愚痴でも大丈夫。例えば、家事をしない夫に不満があるのなら『tamanihasarawoarattekure(たまには皿を洗ってくれ)』など、日本語をローマ字に変えて書くことで、長くて複雑なパスワードが作れます。海外から見たら、何の言葉の羅列か意味不明ですよね。ローマ字だけだと危険なので、最後に数字や感嘆符(!)などをつけるとより安全です」
独自のロジックを決める
長谷部さん「例えば、山田さんと言う人がYahoo!のパスワードを設定するなら『yahYamada』、Googleなら『gooYamada』のように、サービス名の先頭数文字+独自のキーワードを入れるといった、ロジックを作るのもひとつの方法です。もっと複雑にしたい場合は、Amazonなどモノを購入するサイトなら『AmaBuyYamada』のように組み合わせるなど。独自のロジックを一度作れば、サービスごとに異なるパスワードが悩まずに作れるようになり、他者からも推測しづらくなります」
他の人に推測されづらく、メモやアプリに頼らずに記憶できるルールが編み出せれば、利用するサービスが増えても頭の中で保管しやすくなります。
その他、パスワードにまつわる疑問として、「定期的にパスワードを変えたほうがいいのか?」というものがあります。長谷部さんによると、「昔は変えることを推奨されていたが、現在はパスワードを定期的に変えても安全性が担保できないことが明らかになっている」とのこと。
長谷部さん「何もしないよりは定期的に変えた方がいいですが、それよりも、サービスごとにID・パスワードを使い分けることが大切。ただし、単体で安全なパスワードというものは存在しません。いくら複雑にしても、知らないところで漏えいしていれば、それはバレているということですから、安全とはいえないのです。しかし、『ID・パスワードの組み合わせ』を安全にする方法はあります。それは、同じ組み合わせを使い回さないことです」
IDは、登録したメールアドレスに設定されることが多いもの。だからこそ、複数のメールアドレスを作っておくのもひとつの手。捨てアドレスを利用することで、ID・パスワードの組み合わせを変えることもできます。
最近の「ログイン情報関連ツール」事情
パスワードを生成したり、ログイン情報を一元管理したりできるサービス。とても便利なので利用者も多いでしょう。安全性について伺いました。
パスワード生成ツール
複雑なパスワードを一瞬で作り出してくれる「パスワード生成ツール」。便利なアイテムですが、リスクはあるのでしょうか。
長谷部さん「いくら複雑なパスワードを作っても、生成したものを使い回したら、リスクは同じになります。サービスごとに別のパスワードにすることが大切です」
一元管理アプリ
パスワード生成に加え、ID・パスワードを管理してくれるアプリはどうなのでしょうか。
長谷部さん「管理アプリ会社が暗号化して保管してくれていることを考えると、個人の手元で管理するよりは安全ではないでしょうか」
Google ChromeでのID・パスワード保管
多くの人が使っているWebブラウザのGoogle Chromeにも、ID・パスワード保管機能がついています。パソコンでもスマホでも、簡単にID・パスワードを呼び出せる便利な機能ですが、安全性はどうなのでしょうか。
長谷部さん「便利だから使われていると思いますし、一元管理アプリ同様、Googleが暗号化して保管しているはずです。ただし、他者がChromeにログインさえできれば、どんなID・パスワードもChrome上で見えてしまう危険性があります。そのリスクを認識して使うことが大切です」
ログイン通知
ログインしたことをメールやSMSなどで知らせる「ログイン通知」機能がついたサービスも多くあります。
長谷部さん「ID・パスワードは、知らないところで盗まれているもの。それに気づかせてくれる機能なので、いいですね。TwitterやDropboxなどはハッキングが多いので、こういう機能は活用してください」
顔や指紋による「生体認証」の安全性は?
最近は指紋認証や声紋認証、顔認証など、人間の体の一部を使用する「生体認証」によるログイン方法が増えてきました。銀行のATMでは、指や手のひらの静脈による認証も使われています。
生体認証の注意点はあるのでしょうか。
長谷部さん「文字列だけのパスワードよりは安全だと思います。ただし、生体認証も結局のところ『データ』であることには変わりないため、生体認証だけの利用だと漏えいのリスクが上がります。また、生体認証独自の問題もあります」
1. 精度の問題
長谷部さん「生体情報は変化するため、生体認証の精度を100%にはできません。例えば、指紋は年を経ると摩耗して変化する場合も。また、声紋は一卵性双生児ではほとんど差がないため、誤認証のリスクがあります」
2. 盗まれる可能性がある
長谷部さん「例えば、指紋を物理的に採取され、悪用される可能性があります。顔認証や声紋認証でも同様です」
3. 変更が必要になった場合の限界
長谷部さん「パスワードを第三者に知られた場合は、何度でも変更して対処できます。しかし、指紋情報を盗まれた場合、指の本数という限界があります」
4. プライバシーの問題
長谷部さん「顔や指紋、声紋といった生体情報は、機微な個人情報です。これをデータ化し、認証情報として登録することに抵抗を感じる人も少なくありません」
このような生体認証の問題点をクリアするには、どうしたらいいのでしょうか?
長谷部さん「昨今、『ユーザーパスワード+指紋認証』など、さまざまな要素を組み合わせた『多要素認証』が始まっています。生体認証単体ではなく、要素を組み合わせることで漏えいのリスクを下げる考え方です」
どのサービスもセキュリティにさまざまな機能を追加し、より安全性を高めようとしています。しかし、サービス任せにするのではなく、あくまでも個人の意識が大切だと長谷部さんは言います。
長谷部さん「日本では性善説が主流ですが、海外は性悪説が主流です。性悪説で動いている人は、ネットの向こうにいる人たちを信じていないので、パスワードを使い回すようなことはしません」
絶対に安全なパスワードというモノは存在しない以上、ネットの向こうに悪魔がいると思って行動するのが吉。そうすれば「大半の被害が防げる」とのこと。
最後に、これからセキュリティの世界はどう変わっていくのでしょうか?
長谷部さん「これから世界は、パスワードを使わない『パスワード・ゼロ』の流れになっていきます。想定外のことが起きない限り、あと数年でそういった時代が来る可能性が高いので、それまでがんばって乗り切ってください!」
ID・パスワードの組み合わせに悩まされる世界も、あとわずか!? 実現を期待しつつ、今は安全性の高いパスワード管理を徹底して、被害に遭わないように気をつけてサービスを利用したいですね。
編集:ノオト
イラスト:サンノ
- 145
- 41
- 75
- ITガジェット
- インタビュー
- 272
- 25
- 690
+生体認証を含めた他要素認証
により、パスワードなんて考える必要もないし、憶える必要もないかと思います。
テクノロジーで些末な悩みは解決しましょう。
参考にします。
管理方法ありがとうございます。
つい簡単にしてしまいます。
考えてみます。
とても参考になりました。
ありがとうございます^_^
ありがとうございました。
長谷部様の仰る通り
パスフレーズです
記事にあるように、日本語の文章を自分で工夫するだけでも違うと思います(英数字・大文字小文字・記号)
かなり昔、ある会社のシステム管理者をしていました
名前やアカウントを伏せて、全社員のパスワードのみを確認したところ、1234…、abcd…、admin…、車やバイクのモデル名…、名前の一部…、英単語(appleとか)…
パスワードだけで誰のパスワードかわかってしまうものや社内ルールで禁止されているものを使っている人が多くて、愕然としました…
長谷部様のように教えたいのですが…
教えてしまって広まると、
何処かの悪い人が、決まったロジックに気がついて、悪用してしまいます…
覚えられない妻だけには工夫の仕方を教えてましたが、
ID、パスフレーズは自分で工夫するしかないです…
今は、Appleさんに託すかGoogleさんに託すかかな…
プライベートなものは紙に手書きでバックアップしています
スマホのカメラでスキャンされても、そのままではパスフレーズとして使えないようにしてあります
私は幹パス数種×サービスごとの枝パス方式にしていますが、結局メモを参照することもしばしば。家族それぞれ一覧を印刷して封をしてあります。万一の時の後始末用です。
でも、忘れそうな不安は…
今はマスターパスワードを使う方法と、ドングルが使えるサービスは極力使っています。
文章をPWにするのは、いいですね。
期待したいと思いますが、、
有難うございました🙏
1Passwordといったパスワード管理アプリも使っています。
パスフレーズは良いですね♪
ロジック型パスワードは、個人的にはセキュリティーは中の下くらいかな?と思います。推測できなくはないですから。
パスワードは「言葉遊び」と捉えて気軽に決めて、しっかりメモするなりして記憶もしくはパスワード管理アプリに書き留めるのが一番です。
結局 答えは▪▪▪
使いまわしは無し
なるべく長く
順番どおりの羅列はダメ
メモしないで頭に記憶
私はと言うと
パスワードは一つづつ変えてはいる!
しっかりと パスワード帳に記録!
順番どおりの羅列はしていない!
毎日使うもの かろうじて覚えているが、滅多に使わないものは メモを見ながらでも 時々間違う。
年寄りには なかなか 難しい問題です。
過去の経験談ですが、私はヤフオクIDに不正ログインされたことがあります。
当時は多要素ではなくIDとパスワードのみでログイン可能でした。
パソコンのメーラーを起動した状態でネットサーフィンしていましたが、
届いたメールを確認したらヤフーからログインがありましたという内容。
おかしいと思い確認すると、中国からのログインでした。
ヤバいと思い、ソッコーでIDとパスワードを変更、
とりあえず不正利用は無かったようで、それ以降は不正ログインはありません。
あの時はヒヤッとしましたね(^_^;)
余り複雑にすると訳が分からなくなり大変なので…💳
頭の記憶容量に保存してますが、最近は色んなデータが圧迫してきてるので、覚えるのも一苦労です😔😆
パスワードはクラウド保存よりデジタルなら管理アプリを使ってる方のほうが多い印象です。
まずは使い捨てが当たり前になっていくと嬉しいな♪
試して見ます。
ワンタイムパスワードについては触れられてなかったように思いますが、これも有効だと思います(^o^)
フレーズPWいいですね~
特にロジックを作る方法はサイトごとにパスワードを使い分ける際に活用しやすいので良いと思います。(^^)
どうあがいても36の8乗通り、コンピュータで総当たりされれば瞬殺です。
実際そういうサービスはもう使わない方が良いってことなのかもしれませんがねぇ。