パスワードクライシス・後編 無理のないパスワード管理をどうするか：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

　こうして分類することに、「カードの暗証番号や自転車のチェーンロックなんかにパスワードという思考はないはず！　分類は無意味だろう」と疑念を抱く方がいるかもしれない。しかし、こうすることにはきちんとした目的がある。

　余談だが、筆者のように50代以上になると、すぐに忘れる。昨年もセミナー講演で訪れたベトナムのホテルでクレジットカードを使用しようとしたら、日本ではほとんど聞かれたことがない「暗証番号」を求められた。はじめはセキュリティコードと勘違いしたくらいである。結局思い出せず、その場で現金を現地通貨に交換して支払った。そう、私たちは「すぐ忘れる」。

　情報処理推進機構（IPA）は、8月1日に発表したパスワードに関する呼び掛けで、IDとパスワードを表にまとめる管理方法を勧めている。しかし、その前にやるべきことがある。それが前項の分類だ。どうせなら、私たちが認識しておかなければいけない、「正当な利用者としての認証として利用している文字列」を全て一度はまとめておくことからしないと、IPAの推す方法は生きてこない。

　少なくともそう考えることで、利用者の意識は「前向き」に変化するだろうし、筆者は前向きになれた。このIDとパスワードと分類記号をまとめた表は、「表計算シートでも手書きでも何でもいい」と述べた。表計算シートのファイルなら、紙に印刷した後にファイルを削除しよう。紙だけにしてしまえば、マルウェアだの、インターネットに漏えいなどというリスクはゼロになる。

　その紙（コピーも不要）はどう管理するか。筆者なら金庫ではなく自分の書斎の他人がまず探せないところにしまう。別にどこでもいい。ただし、他人が容易にアクセスできないこと、自分と家族はアクセスが簡単なところがいい。ただし、クレジットカードやECサイトなどについては、紛失・盗難時の緊急連絡先などをPCのディスプレイなどに貼り付けておいてもいい。

　それでも空き巣が心配で仕方ないのなら、それこそIPAが勧めているように、表をIDとパスワードに2分割して2カ所に別々にしまっておくのもいい（ズボラな筆者には無理だが）。これなら、他人や空き巣が金銭目的で自宅を探してもすぐに「入られた」と分かるので、金庫の中身（現金など）とこの2つ表の有無を真っ先にチェックすれば、それで済む（表だけを探す空き巣はまず考えられない）。そして盗まれていない、もしくは1つの表だけ盗まれたなら、取りあえずは安心ということになる。

　この表を作ってみると分かるのだが、この表の半分以上は「パスワード」自体がないか、もしくは変更不可である。ここで重要なことは、（1）自分自身も気が付かなかった「認証文字列」の多さを認識して整理すること、（2）情報を重要度別に分類すること――にあり、セキュリティ上では（2）がより重要だ。パスワードは全て一律に変更するのではなく、各人の重要度ランクにあわせて、現実的な対応をすることに尽きるのです。しかもIDも同様に大切なのだ。この表は自身が想定する以上に大きな力になるのは間違いない。

　筆者も以前に務めた金融機関での大きな仕事の1つに、膨大な文書を全て重要度ランクに分類することがあった。分別して「漏えいしてもリスクがない文書」と機密文書のように「企業にとって極めて重大なリスクとなるもの」までランクを設定し、それぞれのランクに従って文書の作成、配布、閲覧、コピー、変更、廃棄までのプロセスを考える。パスワードを一括りにするからダメなので、個人にとっての重要度ごとに分類することが重要となる（企業と同じ）。

　さて、次の段階である。