パスワードクライシス・後編 無理のないパスワード管理をどうするか：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

　1ページ目でIDとパスワードを重要度別に、A、B、C、D、Eの5つのランクに分類した。Bランクだけは別格であり、その企業の基準によって粛々と変更管理をすることに尽きる。ただ1つそこで重要なことは、そこでのパスワードは他のランクのパスワードから類推できてはいけないことだ。絶対に独立変数として扱う。Bはそれが全てだ。間違っても、他のランクのパスワードとの接点を持たせてはいけない。

　それではBを除く各ランクで、どのようにパスワードの作成と管理をしていくべきかみてみよう。

Eランク：パスワードは固定。変更は無し。ずっと同じでもよい

　パスワードに特殊文字が使えない場合も多いので、英数字だけとする。桁数も最大で8文字などの場合が多いので、その場合は自動的に後ろをカットする。

例.yamada1234 reiko1201（誕生日）、「reiko1201」で8桁なら「reiko120」となる。

　管理は不要だ。覚えやすいパスワードにして変更もしない。なお、パスワードの変更については企業が指示するランクB以外なら、不変でも構わない。心配なら半年に1回程度変更するのは良いだろう。もちろん、表も修正する。

Dランク：1つだけ規則を作っておく

　このランクは、漏えいされても情報自体をアンダーグラウンドで現金化するか、愉快犯でなりすましに悪用する程度である。ここでは1つだけ規則化しておく。

例：マスターワード「suzuki#7523%（自宅の電話番号下4桁）……」

　Aサイトのパスワードは「suzuk#i7523%」、Bサイトのパスワードは「suzu#ki7523%」という具合だ。そろばんと同じように、＃が1桁目、％が5桁目と考える。例えば「X」という企業サイトが登録の8番目（X＝8だけ覚えておく）とすると、「suz#uki752%3」となる。当然ながらマスターパスワードは、他の重要度ランクのパスワードから想定されてしまうものではいけない。

　これも面倒だと感じる方は、マスターパスワードは1つだけで、他のサイトは同じでもいい。ただし、その場合は意味のないランダムなパスワードにする。セキュリティ専門家がいれば「とんでもない」と思うかもしれないが、金銭トラブルだけは回避できるので、「リスクを敢えて取る」という選択肢もあるだろう。ここのランクは、結局は「個人の問題」である。

Cランク：Dと同じようにマスターパスワードを決めて、それぞれのWebサイトに応じて＃と％を変更させる（Dランクの例の場合）

　ただし、このランクではパスワードを個別に変更させることが必須となる。さすがに、ここを辞書攻撃されるのはまずい。

Aランク：全て独立したパスワードを決め、個別に管理する

　筆者の場合は、このAランクだけを手帳（携帯はしない）に記載している。見られてもなかなか分からないように工夫をしていて、例えば、手帳にこう書いてある。

1. おいしいおかし
2. たいやき
3. 私は7時40分に人間力アップを見ます

　このなぞなぞは次回に解説する。

　専門家なら、「紙の管理は脆弱すぎる」というべきかもしれない。だが、現状では現実世界の犯罪とネット上のリスクとの相関の中で「紙」にするしかない。紙だけの情報なら、現実世界の空き巣などに注意するだけで済むという安心感がある。しかも、金庫に現金を置いてさえおけば、この「紙」を1枚探すという犯罪行為は少なくなると考えられる。ここにはパスワードとは直接関係の無い「暗証番号」なども入るだろう。

　筆者は30年以上もコンピュータに携わる仕事に専念してきた。だから、論理よりも人が使いやすいこと、それでいて破られにくい、破られても被害を最小化できる仕組みこそが重要だと考えている（もちろん、桁数を多くする、特殊文字を使う、大文字小文字を混在させるなどの基本は実施することが前提だ）。上述したDランクの管理方法でも、専門家の一部の人たちは馬鹿にするかもしれないが、現実社会においては選択肢の1つとして考えるべき方法だ。「人はこう行動すべきである」「この行動をとることはおかしい」というのは簡単だが、現実にはそれが守れなければ意味がないと思う。

　ここまで「パスワードクライシス」と題して、今のパスワードが抱える問題と現実的対処を示してきた。次回はこのパスワードを取り巻く話題の締めくくりとして、読者の多くが素朴な疑問としているであろう、暗証番号やパスワード自体をどう決めればいいかについて、そして、パスワードの未来像について述べたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。