パスワードクライシス・後編 無理のないパスワード管理をどうするか：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

パスワードという存在は非常に複雑でやっかいかもしれない。現状でも無理のない形でうまく付き合っていく方法を解き明かしてみたい。

[萩原栄幸，ITmedia]

前編はこちらから。中編はこちらからお読みいただけます。

パスワードをどう管理すべきか？

　パスワードの管理方法について誤解を恐れずに言えば、手書きでも表計算シートでも何でもよいのだが、まずは自分の登録しているパスワードを全て列挙してみることから始める。全体像を掌握しないと、お話にならないからだ。

　前回に触れたが、そこでは以下の2点を理解しておくことが必要になる。

1.インターネットだけがパスワードではない

　例えば、ドア認証におけるパスワード、自転車のチェーンロックの数字（5桁が主流）、スマートフォンのロック番号、金庫（ダイヤルロック式）の数字、ファイル暗号のパスワード、クレジットカードの暗証番号とセキュリティコード、キャッシュカードの暗証番号、PCの各種パスワード（ローカル上で使うものからインターネットで使うものまで。PCが複数台のケースも）などたくさんある。

2.普段から意識していないパスワードが多数存在する

　筆者の場合は6割が認識していなかったものだった。アングラツールや過去のメールを遡って確認してみるだけでもかなりの数がある。

　こういう観点で自身のパスワードを全て表に列挙したら、次にジャンル分けをしよう。それぞれのIDとパスワードを重要度ランクのA〜Eに分類して、記入する。

Aランク：金銭に直接関係する最重要なもの

　銀行などの金融機関のキャッシュカード、クレジットカードの暗証番号とセキュリティコード、ネットバンキングを実行する際の認証一式、証券会社での株売買の認証などが該当する。筆者のケースでも使っていない、失念したものでここに分類されるものが少なからずあった。

Bランク：業務に関連するもの

　会社だけで使うものを中心に、毎日使うOA端末のパスワード、権限が必要なシステムでの認証、組合で使う場合のパスワードなどだ。他ジャンルとは一線を画してパスワードを決定、管理する必要がある。また、損害の程度でランク付けはしない。「個人」でなく「業務」で使うもの全てがここに分類される。

Cランク：影響度「中」、個人的には「大」と思ってしまうもの

　通販サイトなどのパスワードで、他人に侵入された場合、ある程度の金銭被害につながるが、口座の資金移動や有価証券自体の操作が可能ではないもの。しかし、なりすましによる「悪さ」が可能で、金銭被害が及ぶものだ。

Dランク：影響度「小」、なりすましは可能だが、直接的な金銭被害にはなかなかつながりにくいもの

　FacebookやTwitterのIDとパスワード、有料サイトのIDとパスワードなどが該当する。ここでの被害は、信用をなくすツイートをされてしまったとか、個人情報を改ざんされたり、友だちの情報が盗まれたりということであり、直接的な金銭被害はあまりないと考えられる。個人的に「1億円盗まれるより被害が甚大だ」と判断して、Aランクに置くのならそれでも構わない。

Eランク：無料サイトのIDとパスワード

　例えば、会員限定の記事を読むためだけに登録したIDとパスワード、一回だけ無料登録して利用したが、それっきり使っていないものなどが該当する。