パスワードは“覚えるもの”という先入観はそろそろ捨てませんか?:半径300メートルのIT
今や多くのセキュリティソリューションが世の中に出回っていますが、有料でも入れるべきだと筆者が主張するのが「パスワード管理ソフトウェア」です。これを使うことでどのような世界が開けるのでしょうか。
先日、「ITmedia エンタープライズ」の特集企画で、アイティメディアのセミナーでもよく登壇いただいている川口 洋氏にお話をうかがいました(この様子はあらためて記事が公開されるのでお楽しみに)。その中で、本論とは少々外れた内容で「中小企業ができるセキュリティ対策の第一歩は何だろう」というお話になりました。
川口氏が推奨する、有料でも入れるべきソフトウェア
川口氏はこれについて、とあるソフトウェアを全員に買ってあげることが有効ではないかと主張しました。それは「パスワード管理ソフトウェア」です。
これには筆者も完全に同意で、全従業員の端末用に購入するソフトウェアといえば、かつてはウイルス対策ソフトウェアが主流でした。しかし今では「Windows」に標準搭載されている「Microsoft Defender」で既知のマルウェアはブロックできます。そこで代わりに「有料でも使ってもらいたい」ソフトウェアの代表格を挙げるとすれば、やはりパスワード管理ソフトウェアになると思います。
おそらく、多くの読者は今も「パスワードの使い回し」から脱却できていないでしょう。もちろん筆者も完全には使い回しを排除できていません。セキュリティ識者の講演を聴いていても、かつては脆弱(ぜいじゃく)性を攻撃されて侵入されるケースが非常に多かったものの、やはり今問題になるのは「弱いパスワード」ではないかという意見が多くみられます。
サイバー攻撃者は組織のシステムに侵入後、重要なサーバの管理者権限を奪おうと考えます。その際、弱いパスワードが使われていないかどうか、もしくはファイルサーバやメールボックスに「password.txt」といったパスワードそのものが書かれたテキストファイルがあるかどうかをチェックします。
どんなに高価で多機能なソリューションを導入していたとしても、その管理アカウントが弱いパスワードで運用されていれば、まずそこから攻撃し、主要なセキュリティ機能をオフにされてしまうでしょう。そう考えると「パスワードをどう守っていくか」「弱いパスワードをどう排除していくか」は大きな課題であるはずです。
これには企業の規模や業種、個人か法人かということも関係ありません。お金をはじめ、大事なものを守るパスワード自体を守っていかねばならないのです。
パスワードを“覚える”という運用からいい加減に卒業しよう
パスワード管理ソフトウェアをお勧めする最大の理由は、パスワード運用にパラダイムシフトを起こせるからです。パスワード管理ソフトがあればパスワードは覚えるものではなく、「ソフトに覚えさせるもの」になります。記憶するべきパスワードは劇的に少なくなり、1つあるいはゼロになるかもしれません。
筆者は、昔から「1Password」というソフトウェアを使っています。これは標準的な機能を一通りおさえており、WebサイトのURL(ドメイン)、ID、パスワードのセットを記憶するだけでなく、それに対するメモなども一緒に記録できます。パスワードの漏えい事件が発覚した際、それを元に「同じパスワードを使う他のWebサイト」を含めた注意喚起が実行されるので、どのWebサイトのパスワードを見直す必要があるのかも可視化できます。
新規にユーザー登録する場合、パスワードを作ってくれる機能が見逃せません。記号を含めて何文字かを設定すれば、強力なパスワードを作成し、記録してくれます。もはやパスワードは覚えるものではなく、作ってもらって忘れていいものになるわけです。
1Passwordの「Watchtower」機能を使うと、記録されているパスワード群のうち、使い回されているパスワードや弱いパスワード、二要素認証が使えるのに使っていないものなどが一覧で確認できる。「使い回しをやめよう」と言っている人がこの数値だと……説得力がないかもしれませんね(出典:筆者の1Passwordアカウントのキャプチャー)
Webブラウザのパスワード記憶機能を活用するでも十分
パスワード管理ソフトウェアと似た機能は、「Google Chrome」や「macOS」にも備わっており、Webブラウザが自動的にパスワードを覚えてくれます。実際にこれを活用しているという人も多いでしょう。筆者はこの機能を活用するだけでも、使わないよりは安全だと考えているので、まずはここからスタートしましょう。最近はパスワード提案機能も含まれるようになっているため、これに頼り切るというのもアリです。
筆者が1Passwordを利用しているのは、特定のブラウザやOSに縛られない管理ができるからで、独立したパスワード管理ソフトウェアとして、PCでもスマートフォンでも使える点が気に入っています。もちろんPCのリプレースやスマホの機種変更、不意のブラウザ初期化などにも強くなるのがポイントです。
サードパーティーのパスワード管理ツールではクラウド同期も可能ですが、問題はパスワードという非常に機微な情報を扱うため、クラウドにアップロードされること自体がリスクともいえます。1Passwordはクラウド同期機能を利用することも可能ですし、クラウドの同期を切って、ケーブルで接続しての同期も可能です。そのあたりが柔軟な点もありがたいポイントです。
メジャーなパスワード管理ソフトウェアとしては、1Passwordの他に「LastPass」が販売されており、オープンソースソフトウェア(OSS)としては「BitWarden」や「KeePass」などがあります。まずはどれでもよいので試用し、パスワードを記憶ではなく外部に記録させる、という仕組みを体感してみてください。
自ら使ってみたい!と思うことが重要
個人的には、パスワード管理ソフトウェアこそ「信頼」が重要だと思っています。とはいえ細かな部分を個人個人が見ていくことも難しいですし、「OSSであれば公開されたソースを見れば安全かどうか分かる」などということも言いにくいです。
ただ、このようなセキュリティ関連ツールに限っては、それなりに著名であること、多くの方が使っていること、代表的なものをのぞき「有償でメンテナンスされ続けていること」が選択の条件に入ると思います。皆さんもおそらく、これまでウイルス対策ソフトウェアを“無料だから”で選ぶことはしていなかったでしょう。特に扱うものがパスワードなので、その信頼性をいかにして見定めるかは非常に難しいのが実情です。
パスワード管理ソフトウェアは多くが英語のままであり、国内のベンダーが独自に開発している事例がほとんどないことも、導入のハードルになっているかと思います。そのため、なかなかこのジャンルそのものが認知されていないのが難しいところです。
個人的な最終目標は、規模や業種を問わず「会社でパスワード管理ソフトウェアを買ってくれる」ということです。これまでウイルス対策ソフトウェアを当たり前のように入れていた時代同様、パスワード管理ソフトウェアこそが個人、そして組織の中にいる従業員のセキュリティ意識を高める重要なパーツだと思っています。
できれば、このコラムでパスワード管理ソフトウェアに興味を持っていただき、個人としてまず活用したら、ぜひ社内でこの便利さを知ってもらうよう、アンバサダーとなってみてください。小さな企業なら社長に直接プレゼンするのも良いでしょう。パスワードに困っている方ならば、便利なことがすぐに理解できるはずです。
パスワード管理ソフトウェアは、インターネットネットやサービスとのつながり方の行動を少し変化させなければならないため、最初はハードルが高いと思います。しかし、一度使えばその重要さも理解できるはず。ぜひ、皆さんも一度、パスワード管理ソフトウェアを意識して使ってみてください。お勧めします。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 使い回しのパスワードでログインされたらどうする? サービス運営側が取るべき対策
パスワードの使い回しはユーザーにとってはもちろん、サービス運営側にとってもリスクです。ではサービス運営側はこれに向けてどのような対策を講じればいいのでしょうか。その鍵はパスワード使い回しを前提としたサービス設計にあります。 - 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - まずは体験! “パスキー”がパスワードのない世界を(今度こそ)実現する
サイバー攻撃が高度化し、パスワードを使ったセキュリティ対策が万全とは呼ばれなくなった今、新たな手段として注目されているのが「パスキー」です。これによってどのようなメリットが得られるのでしょうか。Googleのパスキーを試してみました。 - Twitterが二要素認証の仕様を変更 これって「アリ」か「ナシ」か?
Twitterは二要素認証の仕様を変更し、SMSを利用した二要素認証を有料ユーザーの「Twitter Blue」だけが利用可能にする旨をアナウンスしました。この変更の「アリ」な部分と「ナシ」な部分を考えてみましょう。