運用も含めて検討しよう

氾濫するパスワード

あなたはどのくらいの数のパスワードを覚えているだろうか。

キャッシュカードやクレジットカードの暗証番号もそうだし、扉や郵便受けがボタン式のキーレス錠だったりすればその番号も覚えておかないといけない。2009年には運転免許証がICカード化されて暗証番号を設定するようになったし、マイナンバーカードにもパスワードがある。皆さんは、免許証更新時に設定した暗証番号や、マイナンバーカード申請時に設定したパスワードは覚えているだろうか。

そして、その何倍ものパスワードを発生させているのがインターネットである。スマートフォンが当たり前になった昨今、SNSやメッセンジャーアプリ、オンラインバンク、ショッピングサイト、オンラインゲームなど、生活の中で頻繁にパスワードが求められる。以前は端末の中で完結していた、MicrosoftやAppleのサービスを利用するにもアカウントが必要だ。

もちろん、仕事で使うシステムにもアカウントがありパスワードがある。しかも、こちらは厳重な管理が求められる。会社によっては定期変更を強制するケースもあるだろう。

パスワードの氾濫した日常、これが現代社会だ。

リスクを知る

パスワードはそれほど強いセキュリティ機能ではないことはよく知られている。

セキュリティベンダや関連機関は「パスワードは使い回してはいけない」と幾度となく注意を促し、弱いパスワードを使っていたユーザーのアカウントが乗っ取られたというニュースも過去にたくさん報道されてきた。

にもかかわらず、パスワードの利用状況はほとんど変わっていない。

安易なパスワードを使ったり、パスワードを使い回している方にお知らせしたい記事がある。

先日、4iQから14億件に上る流出アカウントデータの発見が報告された。これは過去に発生した情報漏えい事件252件のアカウントデータをまとめたものと推測されている。

記事が興味深いのは、アカウントのデータを分析している点。例えば、よく使われるパスワードの上位を次のように紹介している。

1位の「123456」というパスワードは921万8720件もあったという。割合にして0.7%。ID情報しか入手できなかった攻撃者がいたとしても、123456というパスワードを入力することで一定数のカウントを乗っ取れることになる。公開情報であるメールアドレスをIDに使うサービスが多いことを考えると、安易なパスワードがいかに危険かがおわかりいただけるだろう。

また、上の表では、パスワードしか掲載されていないが、漏洩したデータはIDもセットで管理されているものが多い。リストに含まれるユーザーのうちパスワードを使い回している者は、他サイトでのログインを事もなく許すことになる。

パスワード窃取は遠いどこかの国のお話ではなく、隣で起こっていることだ。もしかするともう自分のアカウントデータも漏えいしているかもしれないという意識を持つことが重要だろう。

現実的な対処法 - アカウントのレベル分けと管理ソフトウェアの活用

パスワードは十分に長く、他人に推測されにくいものである必要がある。安全性を確保しようとすればパスワードはサービスごとに作成する必要があり、しかも法則性のないランダムな文字列にした方がよいことになる。

そこで本連載のテーマであるパスワード管理ソフトウェアやクラウドサービスが脚光を浴びる。パスワード管理ソフトウェアには、パスワード生成機能も付いていることが多いので万事解決となりそうだが、ちょっと待ってほしい。

パスワード管理ソフトウェアを利用するとなると、ログイン前に一手間必要になる。すべてのアカウント情報を放り込んでしまうと利便性を大きく損なうわけだ。

ここで必要になるのが「アカウントのレベル分け」だ。

アカウントのレベル分けとは、アカウントを重要度や使用頻度などによって分類するという考え方。頭の中だけで覚えておくべきものなのか、ソフトウェアを使って管理するべきものなのか、はたまた同じパスワードを再利用してもよいものなのかを分けるて整理するのである。

どんなに便利なツールも、使い方を間違えば便利ではなくなる。本連載のテーマであるパスワード管理ソフトウェアを紹介する前に、次回はまず運用面を整理することにしよう。