パスワード管理における神（紙）ワザ：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

パスワードをどうする？

　パスワードが4、5種類しかなければ、何とか管理できるかもしれない（中高年にとってはそれでも難しいが）。しかし、パスワードを組み込んだ当初の時代と今では根本的な環境が変化してしまった。今やパスワードという存在が無い社会は考えられない。また、その数もアグレッシブに行動しているユーザーなら50種類や100種以上もある。

　こうした状況下で、筆者はパスワードがとっくに崩壊していると考える。でも、否定をしても仕方がない。現実的な対処として「パスワードクライシス」シリーズでもお伝えしている実践術をぜひ試みていただきたい。その本質は「パスワードは均一ではない。捨てていいパスワードと絶対に重要なパスワードは区別して管理すること」ということだ。

　これについて掲載時に批判も受けたが、ユーザーが利用しているパスワードの平均数の半分程度は管理する必要がなく、全て「ID＝hagiwara　PASS=12345678」で良いと推奨した。管理は基本的に紙（神？）に委ねるのがベストである。

　最後に、「パスワードクライシス」シリーズにも記載したメッセージを改めて記載したい。

　我々は好むと好まざるとに関わらず、現状では「パスワード」という極めて脆弱な「文字列」を本人認証の1つとして使い、生活している。情報セキュリティの基本である「自分の身は自分で守る」に立って考えるなら、少なくとも悪さを行う側の人間が「この人物は狙えない」と思わせることが最善の防御である。

　だからこそ、パスワードの文字列は4桁よりも8桁、そして12桁、15桁と多い方が狙われにくい。狙われたところで解読は困難であり、悪さを行う側の人間が諦めてしまう確率は高い。1段階の認証よりも多段階の認証の方が遥かに突破は難しい。文字列も辞書に掲載されているものよりはランダムな方が困難だ。こういう基本的な事実を一つひとつ積み重ね、防御すべきものと、そうしなくてもいいものを区別し、管理する。そして、万一漏えいした場合でも、被害を最小化し、全体が浸水することのないように工夫していかなければならない。

　これまで筆者が述べてきたことは、さまざまなシナリオの1つに過ぎない。筆者が勧めた方法を許容できないという人もいるだろうし、それは当然だと思う。ただ、そろそろ「パスワードの神話」から脱却し、真剣にその崩壊の現実を受け止めるべき時期に来ているのは間違いない。その状況の中で賢く工夫しなければならないのである。

　パスワードを取り巻く実情を理解し、ぜひとも可能な範囲で自分の身は自分で守る術を身につけていただきたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。