総務省が公開した「安全なパスワードの設定・管理」で筆者がもう一つ注目しているポイントがあります。それは「パスワード管理ツールを使うことも推奨されます」という一文です。
セキュリティ対策の基本原則として「パスワードを複数のサービスで使い回さない」というものがあります。情報処理推進機構(IPA)はこれに向けて複数のキャッチーな取り組みを実施しており、JRの原宿駅に掲載された恋愛漫画をパロディーした交通広告などは好例でしょう。
しかしこの「使い回し禁止」というものこそ、「言うは易く行うは難し」のセキュリティ対策の最たるものです。そこで出てくるのがパスワードをまとめて管理してくれるパスワード管理ツールです。これがあれば、ツール自体のパスワードさえ覚えていれば、これ以外のパスワードは管理が不要になります。筆者はパスワード管理においてはこれが今一番有効な対策だと思っています。
総務省は同Webサイトで「スマートフォンやWebブラウザ標準機能、あるいは専用のアプリケーションのパスワード保存機能を活用しましょう」と推奨しており、Webブラウザに内蔵されたパスワードマネジャーでも構わない、としています。筆者は専用のアプリケーションをサブスクリプションで購入し続けていて、家庭における必要経費として認識し、家族にも使わせています。
ただしWebブラウザのパスワードマネジャーや専用のアプリケーションも、最近ではクラウドで同期する機能があります。これは大変便利ですが、マスターパスワードを奪われると、全てのパスワードが盗まれてしまいます。
特に「Google Chrome」はGoogleアカウントで同期できますので、非常にリスクが高いといえるでしょう(さらに言えば、二要素認証の鍵となる「Google Authenticator」もクラウド同期できますので、Googleアカウントが盗まれたら文字通り全てが奪われます)。この点に関しては、リスクと利便性を考え、必要であれば同期機能をオフにするなどの選択も必要かもしれません。
2つ目のポイントは、やや“国民のための”ということから外れるため、総務省のWebサイトに記載はないですが、そろそろ組織においてもパスワード漏えい対策として、FIDO2などのハードウェアキーの導入も検討する段階にある、という点です。
FIDO2のハードウェアキーはさまざまな製品として販売されていますが、今では一度飲み会に行く費用程度で購入が可能です。クラウド時代は認証情報がさらに狙われます。多くのSaaS、そして「Windows」はハードウェアキーで認証を保護できますので、多要素認証への攻略が進む今、ハードウェアキーの導入も検討に値するかと思います。特に狙われる「VPN」ログインを守るためにも、これらの手法にも目を向けてみてください。
パスワードに注目が集まるのは大変良いことだと思っています。全ての人にとって、最も身近なセキュリティが、非常に不安定な“記憶”の上に成り立っており、かつその秘密が秘密ではない状況である今、自分の資産ともいえる情報群を守るために、いまできることが何かを「ジブンゴト」として考えることが、対策の第一歩です。やらされるセキュリティほどつらいものはありません。自分で考えれば、その重要性を理解できるはずです。ぜひここで挙げたリンクをチェックし、その目で安全を手に入れましょう。
Copyright © ITmedia, Inc. All Rights Reserved.