1. 情報セキュリティブログ ホーム
  2. セキュリティめがね
  3. セキュリティめがね 第9回 「覚えきれないほど、たくさんのパスワード、スッキリ安全管理術」

セキュリティめがね 第9回 「覚えきれないほど、たくさんのパスワード、スッキリ安全管理術」

基本から実践まで、見えてくるコラム セキュリティめがね

「しまった! パスワードが思い出せない」

 パソコンやインターネットを使っていると、ユーザIDとパスワードの入力を促されることが一日に何度もあります。しかし、その都度パスワードを思い出すのは苦労するもの。気が付いたら、付箋紙に書いて、パソコンのモニターに貼っていた、なんてことはありませんか?

 既にセキュリティめがね第5回「安全なパスワードはこうして作れ」で紹介したように、パスワードは他人に容易に推測されるような「弱いパスワード」ではなく、強く安全なパスワードを設定しなければなりません。しかし、どれだけ強いパスワードを設定しても、それを覚えておくことができなければ意味がありません。付箋紙に書くような甘い管理をするくらいなら、たとえ弱いパスワードでも、誰の目にも触れないように適切に管理した方がはるかに安全です。

 パスワードは、攻撃に耐え得る「強さ」と同時に、その「管理」も同じくらい大切なのです。これはセキュリティ全般にあてはまります。今回は、パスワードの記憶法など、すぐに使えるパスワード運用管理ノウハウをご紹介しましょう。

■パスワード運用管理の基本

 パスワードを運用管理する上での基本は (1)パスワードの作成、(2)保存、(3)変更、(4)管理、の4つです。(1)の作成については、既にセキュリティめがね第5回で解説済みですので、本稿では残りの3つのポイントを説明します。

■パスワードの保存 〜すべてを暗記するなんて無理

「パスワードは決して書き留めてはいけない」

 パスワード管理の原理原則にあたるこのルールを、聞いたことのある方も多いのではないでしょうか。確かに書き留めたメモなどは、誰かに見られる可能性がありますので、メモしないに越したことはありません。理想は、全てのパスワードを頭の中だけに記憶することです。

 しかし、セキュリティめがねの第5回でも紹介したように、1人が覚えていなければならないパスワードは平均15個にも及ぶといわれており、現実問題として、これだけの数のパスワードを記憶するのは至難の業です。

※ (参考)
「覚えなければならない暗証コードは1人平均15個」(JAPAN JOURNALS)

 では、どのようにして「記憶」すれば良いのでしょうか? パスワードを記憶する際の注意事項を以下に紹介します。

1.「重要なパスワード」は頭の中だけに
 他人に知られた場合、被害が甚大になる可能性のある「重要なパスワード」は、大変かもしれませんが、完璧に頭の中だけに記憶するべきです。何が重要なパスワードかについては、後述します。

2.丸ごとメモしない
 それほど重要ではないパスワードを記憶するには、何らかの「メモ」を利用します。「メモ」としてすぐに思い付くのは紙のメモ帳や手帳ですが、今の時代であれば携帯電話のメモ機能を使うと便利でしょう。もちろん、携帯電話にロックをかけることを忘れないでください。携帯電話のメモ機能にパスワードを記録する場合は、丸ごと書いてはいけません。安全のためには、パスワードの一部(註1)、もしくはパスワードを思い出すことができる、本人だけが分かる文字列(註2)を記録しておくことです。

 註1:例えば最初の3文字だけなど、一部をメモする

 註2:セキュリティめがねの第5回の例にあるように、清少納言の枕草子を素にパスワードを決めたのなら、単に「納言」などと書き留める

3.パスワードロックをかけたファイルに保存する
 携帯電話以外では、ワードやエクセルなど、パスワードロックがかけられる形式のファイルに保存しておく方法もあります。もちろん、そのファイルのパスワードは、できれば頭の中だけに記憶しておくのが良いでしょう。この場合も、前項にあるように、丸ごと記録しないように気を付けます。

4.パスワードと分かるファイル名は付けない
 エクセルファイルなどで保存する場合は、パスワードが保存されていることが容易に想像できるようなファイル名、「pass.xls」や「password.doc」などは避けてください。

5.一箇所にまとめない
 単一のファイルに全てのパスワードを保存するのも避けるべきです。万が一、セキュリティが突破された場合、すべてのパスワードが攻撃者の手に渡ってしまうからです。パスワードごとに、別のファイルに分散して保存しておくと良いでしょう。

6.パスワード管理ソフトを活用する
 どうしてもパスワードをそのまま記録・保存する必要がある場合は、「パスワード管理ソフト」を使うと良いでしょう。ソフトは、無償のものから有償のものまで、数多く存在します。ただし、使い方を間違っては意味がありません。パスワード管理ソフトを起動しただけで、誰もがパスワードを読めるような設定にしないようにしましょう。保存したパスワードを表示する際に、本人だけが知っているパスワードを入力するように設定することを忘れないでください。

7.勤務先のセキュリティポリシーと矛盾しない管理を
 ここで紹介したパスワードを保存する方法を、企業内で使用する場合には注意が必要です。それは、多くの企業がパスワードの管理方法をセキュリティポリシーで定めているからです。
 もし、セキュリティポリシーに「パスワードは、一切の記録・保存を禁じる」と定められているなら、残念ながら今回紹介した方法は、会社の中では使えないことになります。
 まずは、組織内のセキュリティポリシーの内容を確認するとともに、今回紹介したパスワードの保存方法が、セキュリティポリシーに違反しないかどうかを関係部署などに確認しましょう。

■パスワードの変更 〜3ヶ月毎の変更が目安

「パスワードは定期的に変更しなければならない」

 これも良くいわれる原理原則です。確かにパスワードが破られる可能性を考えると、長期間に渡って同じパスワードを使い続けるよりも、定期的に変更した方が安全です。

 特に、システム上の制限で短いパスワード (例: 8文字以下) しか設定できないような場合は、パスワードがブルートフォースアタック(総当たり攻撃)によって破られる可能性が高まるため、こまめに変更することが有効な防御策となります。

 では、どれくらいの頻度で変更すれば良いのでしょうか?

 現時点で一般的な基準はありませんが、クレジットカード業界のセキュリティ基準であるPCI DSS (Payment Card Industry Data Security Standard) では、「パスワードは少なくとも90日ごとに変更する」を守るべき指針としているので、参考にしてみてください。

 その他、パスワードの変更に関して注意すべき事項を以下にまとめます。

1.再発行時には必ず変更する
 パスワードを忘れた場合、管理者によってパスワードが再発行されますが、再発行されたパスワードをそのまま継続して使ってはいけません。速やかに新しいパスワードに変更しましょう。

2.過去に使ったパスワードを再利用しない
 パスワードの変更は、パスワードを破られないために行なうものである以上、以前に使ったことのあるパスワードを使っては意味がありません。今まで使ったことのない新しいパスワードを設定しましょう。

■パスワードの管理 ?重要でないものは、いっそ覚えないという方法も

 最後に、パスワードの運用管理全般のポイントを紹介しましょう。

1.パスワードを重要度別に管理する 「パスワードの保存」でも触れたように全てのパスワードが同じ重要度ではありません。重要度ごとにパスワードを分類し、それに応じた管理をするのが効率的です。

 例えば、重要度の分類には以下のようなものがあります。

【重要度高】オンラインバンキングなど、直接金銭に結び付くもの

【重要度中】ブログや SNS、メールなどプライバシーに関わるもの

【重要度低】 その他 (ダウンロードや掲示板の書き込みなどに必要なパスワード)

 「重要度高」のパスワードについては、他とは異なる充分に強いパスワードを設定し、一切記録をせずに頭の中だけで記憶するべきです。「重要度中」については、「パスワードの保存」で紹介した記録・保存方法を用いると良いでしょう。

 最後の「重要度低」は、「重要度中」と同じような管理方法を用いても良いのですが、1年に1度程度しか利用しないものであれば、簡単に破られない程度のパスワードを設定し、1度使ったら忘れてしまっても構いません。どこかに記録しておいて第三者に悪用されるよりは、次に使用する際に、再発行の手続きを取る方がむしろ安全です。

 なお、上記の重要度の区分はあくまでも例です。銀行口座の預金の額や、年齢・性別・社会的地位などによって、重要度は異なります。最初に、それぞれの重要度をじっくり考える時間を取ってください。

2.同じパスワードを使い回さない
 異なるサービス間で、パスワードの使い回しは避けてください。特に、重要度の違うサービス間での使い回しは厳禁です。例えば、オンラインバンキングのパスワードと、掲示板の書き込みに用いるパスワードのように、重要度が全く異なるものに同じパスワードを設定するのは、たいへん危険です。もし、そうなっていたら、今すぐに、重要度が高いサービスの方のパスワードを変更してください。

3.パスワードを電子メールに書かない
 機密情報が含まれるワードやエクセルなどの文書を、取引先に電子メールで送信する場合、当然のことながらそれらの文書にパスワードロックをかけます。その際、ロックをかけた文書を添付した電子メールに、そのままパスワードを書くなどもってのほかです。可能であれば、電話や郵便など、電子メールとは異なる方法で伝えましょう。どうしても電子メール以外に伝達方法がない場合は、別メールに書いて送信しましょう。

■「強さ」と「適切な管理」は車の両輪

 最後に、千夜一夜物語の「アリババと40人の盗賊」のお話はご存知ですか?

 このお話で有名な「開けゴマ」という呪文は一種のパスワードです。もしこのパスワードが、これほど覚えやすい単純なものではなく、長く複雑であったら(強いパスワードであったら)、アリババという第三者に財宝を横取りされることはなかったかもしれません。

 しかし、もし長く複雑な呪文であったとしても、盗み聞きされるような使い方をしたり、長い間同じ呪文を使い続けていれば、いずれは誰かに破られてしまったことでしょう。

 いずれにせよ、このお話の盗賊たちは、弱いパスワードをいい加減に管理していたために、アリババに財宝を横取りされてしまったわけです。

 このように、「強いパスワード」と「適切な管理」が車の両輪のように両方揃うことによって、初めて安全なセキュリティが確保されます。今回紹介した内容を参考に、安全かつ「自分に合った、無理なく、適切な」方法でパスワードを管理しましょう。

セキュリティめがねTOP
第8回 長期休暇中にやっておきたい実家・自宅のパソコン安全点検
第10回 ネット利用の幻想、匿名だから安心という勘違い

関連キーワード:

セキュリティポリシー

パスワード管理