パスワード管理の現状～セキュリティの基本を身につける～

パスワード管理とは

パスワードとはいわば「鍵」です。企業としては、顧客情報や売上などの重要な情報を格納したシステムの正当な利用者であるかどうかを認証するための文字列になります。パスワードが分からない限りその情報を閲覧することができません。
それらの情報にアクセスするための、それらの情報が保管されている場所（システム）に入るための鍵がパスワードになります。

パスワードには大きく分けての3つの種類があります。

1つ目はPINコードのように、何かをロックを解除するために使用されているパスワードです。スマートフォンのロック時やクレジットカードの決裁時に使用する、４～６桁くらいの数字で構成されていることが多いパスワードになります。
2つ目はWebサービスやシステムなどを利用する際に使うログインパスワードです。IDとセットで入力し、英大文字小文字、数字、記号を用いて複雑に、かつ一定量以上の文字数を推奨されているものになります。
3つ目は暗号キーです。ZIPファイルの解凍パスワードやWi-Fi機器の暗号化キーのように、一見するとロックを解除しているように見えますが、本当は暗号化したファイルや通信内容を復号するための暗号鍵として使われているものになります。

パスワードは1つ2つであれば管理することはさほど難しいことではありませんが、今は個人や会社が利用するWebサービスは増加傾向にあり、比例してパスワードも増え続けている事でしょう。
「数が増えるとわからなくなるから」とパスワードを同じモノにすることは絶対にしてはいけません。1つのサービスでパスワードが不正入手されてしまうと、芋づる式でその他サービス・システムに侵入される危険が増えてしまいます。そのため利用サービス毎に独自のパスワードを設定する方が望ましいのです。

そうなるとパスワードが増え続けるパスワードをどのように管理すればいいのか、その管理方法のいくつかを紹介していきます

パスワード管理方法と注意点

では、パスワードはいったいどのように管理するのがよいのでしょうか？

ブラウザに保管する

多くの人が簡単に利用できるのがブラウザへの保管ですが、こちらは不正アクセスのリスクが高いため、あまりお勧めしません。

内閣サイバーセキュリティセンター（通称：NISC）ではブラウザ保管について、ちょっと席外し時に勝手に利用されたり、パソコンにクラッキングされた際に根こそぎ情報を盗まれる可能性が高まることから非推奨としております。

紙にメモをする

実はおすすめなのが手元の紙への記録です。これはNISCでも推奨されている方法です。
パスワードが不正入手される方法としては「インターネットを介して」が多いため、紙などのオフライン上で管理することが一番簡単で意外と安全な方法になります。

確かに忘れ防止対策にはなりますが、たとえ簡単なメモ書きでも機密情報であることに変わりはないので、管理には十分な注意が必要です。例えば、単純にメモを落としてしまったり、ポストイットでPCに貼り付けたりすると、他人が簡単に情報を盗み取れてしまうというリスクがあります。

電子メモをする

ExcelやPCのメモ帳などのソフトに記録する方法もあります。これはメモと違って紛失リスクが低減されますし、暗号化することで不正閲覧を防ぐ手立てはございます。
しかし、上記にも記載したようにパスワードが不正入手される方法としては「インターネットを介して」が多いため、不正アクセスの対策が必要になります。
NISCでもパスワードを利用するデバイス（≒パソコン）で保管することを危険視しています。

スマートフォンに保管をする

メモを落としたり、不正アクセスされたりのリスクを考えた場合、スマートフォンの管理アプリを使って保管することもNISCでは推奨しております。

パスワード管理アプリとはその名の通り、数えきれないほどあるWebサービスやシステムのログインIDやパスワード、クレジットカードの情報、Wi-Fiのパスワードなどの情報を管理し、それらを利用する際に自動で情報を引き出すことができるものです。NISCではネットワーク上で保管するタイプではなく、スマートフォン内に保管するスタンドアロン型での管理を推奨しています。

スマートフォンは紙へのメモに比べてクラッキングのリスクはありますが、利用規約を守り、システムを最新に保っている限りは、スマホのセキュリティは十分に高い設計となっているとNISCも認識しています。また紙のメモのリスクにあった紛失リスクについても、スマホはデータを暗号化した状態で保存していますし、管理アプリも独自に暗号化しているものが多いため、安全性は高いとされています。
また万が一の際は遠隔操作でスマートフォンにロックをかけられるため、不正入手のリスク対策が2重3重でかけられているのも安心です。

外付けHDDでの管理

スマートフォンでの保管でクラッキングのリスクが不安という方には、普段利用しない外付けHDDで保管・管理をするという方法もあります。
スマートフォンの管理アプリや紙のメモに比べると持ち運びが不便です。しかし簡単に持ち運びができないからこそ盗難や紛失のリスクはこれらに比べると低くなりますし、スマートフォンやメモに比べると現実世界での盗難対策は非常に楽になると考えられます。

この外付けHDDの注意点はあくまで普段は接続しない、スタンドアロン状態を維持することです。普段から利用しているHDDを利用してしまうとクラッキングのリスクが高まります。

パスワードだけでは注意が必要

今はパスワードだけでなく、パスワード認証に加えてさらにチェック機能を追加する、多要素認証を活用することが注目されています。どんなにパスワードをしっかり管理していても、文字列を総当たりで試してきたり、よく使われているパスワードを試されたりとしてパスワードを破る手段はいくつかあるのです。そのため二段階認証以上の多要素認証を活用することで不正アクセスのリスクをより低減することが可能です。

多要素認証に推奨されているのがトークン、USB セキュリティキー、 生体認証になります。
指紋や静脈などの「生体データ」を使った生体認証は現在多くのWebサービスのログイン時に導入されているため、多くの人が知っているでしょう。

パスワードレスへの期待

どんなに多要素認証を行っていてもパスワードの流出を絶対に防ぐことはできません。海外では多要素認証をも破られた事件がございます。
そこで考えられるのが「そもそもパスワードを無くす」という考え方です。盗むべきパスワードが無ければ良いという考え方ですね。

従来のパスワード管理と違い、FIDO 認証ではサーバーに情報が送られることがないというのが大きな特徴で、端末内に厳正に内蔵されたシステムとユーザーの間で認証が完結します。その後は、公開鍵暗号使ってサービスにログインするためサーバー内で情報漏えいする可能性は極めて低くなります。鍵穴がすでにユーザーの手元にあるという仕組みは、シンプルかつ大胆な発想ではありますが、これまでの管理対策の中では最も外部からの攻撃を避けることができる方法でしょう。今後国内でどのように普及していくのかが注目です。

いざという時のバックアップ体制

様々な管理や対策を行っても、万が一にも不正アクセスが発生する可能性をやはり考えて普段から運用する必要があります。やはり100％攻撃を防ぐ手段がないのがサイバー攻撃です。
そのためいざと言う時にバックアップ体制を取ることが必要になります。

不正アクセスによってWebサービスやシステムに格納していた情報資産が盗まれて閲覧できなくなってしまった場合、企業としていち早く企業活動が再開できるようにすることが必要です。
それに必要なのはクラッキングに遭わない環境でバックアップデータを保管すること、外付けのHDDなどのメディアにデータを保管しておき、いざと言う時のバックアップを用意することが大切なのです。

しかし、ただメディアに保管すれば完了ではありません。バックアップ用のメディアは現実世界で自然災害や人的エラーなどで紛失しないように保管しなければなりませんし、経年劣化しない環境も用意しなければ、いざと言う時に使えなくなってしまう可能性もあります。

いざと言う時のバックアップデータも大切な情報資産として、大切に保管する必要があります。

まとめ

時代のニーズに合わせてセキュリティの構築は変化が求められています。かつては鍵を使って金庫を守っていた時代から、次第にパスワード運用へ移っていき、今後は生体データが暗号化される時代になりました。自分の会社のセキュリティがユーザーの期待する基準に達しているか、常に考えておくことが大切になるでしょう。

ワンビシアーカイブズでは、電子契約サービス「WAN-Sign」など、デジタル化、ペーパーレス化を実現するソリューションや、セキュリティを強化するさまざまなデータマネジメントサービスを提供しています。データ管理にお困りの際には、ぜひご相談ください。

＜参考＞

・2022年2月1日　内閣サイバーセキュリティセンター（NISC）
「インターネットの安全・安心ハンドブック」第3章　パスワード・Wi-Fi・ウェブ・メールのセキュリティを理解して、インターネットを安全に使おう
https://internet.watch.impress.co.jp/docs/news/1157328.html

・2018年12月7日・INTERNET Watch
「「FIDO」で"パスワードレス時代"到来か？ヤフーと三菱UFJに続きLINEも導入」　
https://internet.watch.impress.co.jp/docs/news/1157328.html

・2017年3月2日・日経x-tech
「パスワードを使わない認証技術「FIDO」の実像と可能性」
https://tech.nikkeibp.co.jp/it/atcl/column/17/022200042/030100002/