パスワードの定期変更は“しない方がいい”？ 今求められる2つの対策：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

認証を強化したいならやるべき“2つのこと”

　総務省が公開した「安全なパスワードの設定・管理」で筆者がもう一つ注目しているポイントがあります。それは「パスワード管理ツールを使うことも推奨されます」という一文です。

　セキュリティ対策の基本原則として「パスワードを複数のサービスで使い回さない」というものがあります。情報処理推進機構（IPA）はこれに向けて複数のキャッチーな取り組みを実施しており、JRの原宿駅に掲載された恋愛漫画をパロディーした交通広告などは好例でしょう。

恋愛漫画をパロディーしてパスワードの使い回しを警告する交通広告「パスワード−もっと強くキミを守りたい−」。JR原宿駅前には今もボードが掲出されています（出典：2023年12月に筆者が撮影）

　しかしこの「使い回し禁止」というものこそ、「言うは易く行うは難し」のセキュリティ対策の最たるものです。そこで出てくるのがパスワードをまとめて管理してくれるパスワード管理ツールです。これがあれば、ツール自体のパスワードさえ覚えていれば、これ以外のパスワードは管理が不要になります。筆者はパスワード管理においてはこれが今一番有効な対策だと思っています。

　総務省は同Webサイトで「スマートフォンやWebブラウザ標準機能、あるいは専用のアプリケーションのパスワード保存機能を活用しましょう」と推奨しており、Webブラウザに内蔵されたパスワードマネジャーでも構わない、としています。筆者は専用のアプリケーションをサブスクリプションで購入し続けていて、家庭における必要経費として認識し、家族にも使わせています。

　ただしWebブラウザのパスワードマネジャーや専用のアプリケーションも、最近ではクラウドで同期する機能があります。これは大変便利ですが、マスターパスワードを奪われると、全てのパスワードが盗まれてしまいます。

　特に「Google Chrome」はGoogleアカウントで同期できますので、非常にリスクが高いといえるでしょう（さらに言えば、二要素認証の鍵となる「Google Authenticator」もクラウド同期できますので、Googleアカウントが盗まれたら文字通り全てが奪われます）。この点に関しては、リスクと利便性を考え、必要であれば同期機能をオフにするなどの選択も必要かもしれません。

企業であれば「ハードウェアキー」も選択肢に

　2つ目のポイントは、やや“国民のための”ということから外れるため、総務省のWebサイトに記載はないですが、そろそろ組織においてもパスワード漏えい対策として、FIDO2などのハードウェアキーの導入も検討する段階にある、という点です。

　FIDO2のハードウェアキーはさまざまな製品として販売されていますが、今では一度飲み会に行く費用程度で購入が可能です。クラウド時代は認証情報がさらに狙われます。多くのSaaS、そして「Windows」はハードウェアキーで認証を保護できますので、多要素認証への攻略が進む今、ハードウェアキーの導入も検討に値するかと思います。特に狙われる「VPN」ログインを守るためにも、これらの手法にも目を向けてみてください。

　パスワードに注目が集まるのは大変良いことだと思っています。全ての人にとって、最も身近なセキュリティが、非常に不安定な“記憶”の上に成り立っており、かつその秘密が秘密ではない状況である今、自分の資産ともいえる情報群を守るために、いまできることが何かを「ジブンゴト」として考えることが、対策の第一歩です。やらされるセキュリティほどつらいものはありません。自分で考えれば、その重要性を理解できるはずです。ぜひここで挙げたリンクをチェックし、その目で安全を手に入れましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。