会社の情報セキュリティポリシーで、パスワードを全部違うものにしなければならないんだけど。覚えられるか不安で……。
紙に書いて机に貼ったり、わかりやすいところに書いたりしてもいけないし、管理が難しいよね。
無料のパスワード管理アプリもあるみたいなんですけど、安全性ってどうなんでしょう?
確かに管理アプリを使えば覚える必要はないけど、自分で覚えられるならできれば使わない方がいいと思うよ。
えぇー、それじゃどうしたらいいんですかぁ。
Daisukeさんは全部覚えているんですか?
絶対に間違えないということはないけど、仕事でもプライベートでもパスワードはほぼ覚えているよ。
えぇー!覚えているんですか?
紙に書くわけでもなく?
Excelで全部一覧になっているとかも無しですよ!?
それでは私が実際に行っているおすすめパスワード管理方法をご紹介します。
群馬県在住40代サラリーマン
転職して東京の大企業で講師を務めつつISMS運用にも携わる。- インフラSEから講師へキャリアチェンジ
- 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
- ISO27001(ISMS)導入
- テレワークなどクラウドを利用してのサービス導入に携わる
- 資産管理ツールやクラウドセキュリティなど導入実績多数
- 情報セキュリティマネジメント保有
- 情報処理安全確保支援士取得
どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。
一度買えば期限なしで使えるpCloudにパスワード管理アプリがついてきます。
無料では1台しか使えませんが、有料契約すると複数端末でパスワード管理ができるように。
外国製でドルでの支払いになりますが、企業の信頼性はASCIIでも取り上げられていますので問題はありません
ASCII Japan:
https://ascii.jp/elem/000/004/129/4129213/4/
おすすめパスワード管理方法
みなさんパスワードの管理ってどうしてますか?
自分で覚えられるパスワードだけを使えるといいのですが、サービスによってパスワードポリシーが違うなど管理ツールが必要な場面もあるかと思います。
筆者おすすめのパスワード管理方法をご説明します。
今回のポイントは以下の2つです。
- 覚えやすい!かつ複雑さの要件を満たすパスワードを作成する。
- 肌身離さず持っているアイテムを活用する。
複雑にしたら覚えられなくなってしまうのでは?
ふっふっふ、そんなことはないんですよ。
覚えやすい!かつ複雑さの要件を満たすパスワードを作成する。
総務省での要件を満たすために以下の条件でパスワードを作成します。
- 文字数は10桁以上。
- アルファベット大文字・小文字、数字、記号のうち3種類を使用する。
- 名前や英単語などの類推しやすい文字列を使用しない。
- サービスごとに異なるパスワードを使用する。
基本は〇〇+サービス名
基本は〇〇+サービス名です。
上に記載した総務省推奨の要件を満たす8桁の文字列を作って下さい。
そしてこの8桁は全てのパスワードに利用します。
全部に使うと、サービスごとに異なるっていう要件を満たさなくなってしまうのでは?
それを回避するための+サービス名です。
例えば、〇〇を『macwiN95』と仮定します。
〇〇+サービス名なので
Yahoo!JAPAN IDの場合『macwiN95Ya』
Googleアカウントの場合『macwiN95Go』
など、後ろにサービス名を縮めた文字列を繋げてパスワードとします。
これで複雑さの要件を満たし、かつサービスごとに異なるパスワードを作成することができました。
ランダム文字列はアルファベット大文字小文字+数字で作成することがおすすめですが、最終的に複雑さを満たせば良いので、作り方は自由です。
確かにこれなら『macwiN95』を覚えるだけで大丈夫ですね。
サービス名は最初(YamacwiN95)に入れても中間(macYawiN95)でも後ろ(macwiN95Ya)でも好きなところにつけてね。
6桁+サービス名4桁で合計10桁にしてもいいですね。
そうだね、この辺は自分の覚えやすいルールを作ってもらえればいいんじゃないかな。
サービスによっては記号が使えない、逆に記号が必須になっている場合があります。
基本となっている〇〇に記号を入れるのか、完成したパスワードに記号を付加のかするか、あらかじめ決めておくと良いでしょう。
はい!これで安全なパスワードができました!
と言いたいところなのですが、これだけでは終わらないのがパスワードの難しいところです。
全てのサービスでこのルールで作成したパスワードの設定ができれば覚えていられるのですが、どうしてもこのルールが通用しない事態が発生することがあります。
また、パスワードは覚えていてもアカウントまでは覚えられないことも多いでしょう。
というわけで次のポイントに行ってみましょう。
共通パスワードは「覚えやすい」かつ推測しづらいものにしましょう。「terebisuki(テレビ好き)」などのように口語を組み合わせても面白いですね。
肌身離さずもっているアイテムを活用する。
肌身離さず持っているアイテムというと・・・・・・
大体予想はついたかもしれないけど、スマホを使います。
パスワードを書いた紙をスマホで撮影する
パスワードが書いてある紙を撮影して原紙はシュレッダーにかけて処分してください。
もし忘れてしまった場合はスマホの写真フォルダを見てパスワードを確認すればOKです。
スマホを盗まれたり失くしてしまうことはほとんどないですし、データもバックアップを取っているので、データが消えてしまうこともほとんどありません。
最悪失くしたり、盗まれたりした場合はリモートワイプ(遠隔でスマホを初期化する)することも可能です。
スマホにはパスコードを設定する等の基本のセキュリティ対策は必要ですが、めちゃくちゃ簡単に安全に管理ができます。
マイナンバーカードを作られた方はご存じかと思いますが、マイナンバーカードを作る際に、紙に希望パスワードの記入を求められます。
その紙をもとに職員さんが入力するのかと思っていたのですが、パスワードの入力も自分で行うため、紙に書いたパスワードはあくまでも自分が管理するためのものでした。
私は市役所で用紙を撮影して、紙は会社でシュレッダーにかけて処分しました。
紙で持っていると無くしたり盗み見されてしまう可能性があります、スマホならその点安心ですね。
どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。
安全なパスワード管理について
おすすめパスワード管理方法をご紹介しましたが、みなさんに知ってほしい安全なパスワードの指針をご紹介します。
それでは、安全なパスワードの管理についてご説明します。
総務省からパスワード管理について4つのポイントが出されています。
パスワード管理ポイント
- 安全なパスワードの作成
- パスワードの保管方法
- パスワードを複数のサービスで使い回さない(定期的な変更は不要)
- パスワードの活用
一つずつ順番にご説明します。
安全なパスワードの作成
(1) 名前などの個人情報からは推測できないこと
(2) 英単語などをそのまま使用していないこと
(3) アルファベットと数字が混在していること
(4) 適切な長さの文字列であること
(5) 類推しやすい並び方やその安易な組合せにしないこと
安全なパスワード管理|総務省
Daisuke123(名前が入っている)apple(英単語そのまま)、1234567(アルファベットが入っていない)、pen(短すぎる)、abcd1234(安易な組み合わせ)等はNGということです。
ここが一番大事ですね。
そうだね、ここで安全なパスワードが作れないと、この先に進めないね。
パスワードの保管方法
安全なパスワードの作成だけでなく、他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう。自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう。
安全なパスワード管理|総務省
メモを取ってもいいけど、他人に見られないように肌身離さずそのメモを持ち歩く必要があります。
手帳などに記載した場合は鍵がかけられるものにする。書いたメモは机の鍵のかかる引き出しに保管する。などが推奨です。
いくら安全で難しいパスワードを作っても、紙に書いて置いたらすぐに悪用されてしまいますね。
「家の鍵を玄関にぶら下げてはいけない!」って言ってるのと同じイメージかな?
普通しませんよね…・・・
パスワードはサーバーの前にでかでかと書いてあったりするけどね……
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。
安全なパスワード管理|総務省
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
利用するサイトやサービスごとに異なるパスワードを作成する必要があります。
同じパスワードにしている場合パスワードが漏れた際に他のサービスも芋づる式に不正利用されてしまうのでやめましょうってことですね。
一昔前まではパスワードは定期的に変更するものでしたが定期的に変更しなければならないため、パスワードの複雑さが満たされず問題になったということですね。
この条件は日本だけではなく世界的な動きのようで、ここ数年でパスワードの定期変更を促すサービスは減っています。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html
安全なパスワード管理|総務省
簡単に言うと?
簡単に言うと同じパスワードを使っていると、それが漏れたら全部入られちゃうからやめてね。ってことだね。
最近はアカウント名がメールアドレスになっていることが多いですしね。
そうだね、相手としてはマスターキーを手に入れたようなものだから、とりあえず使ってみて「開いたらラッキー♪」だろうね。
パスワードの活用
現在の一般的なOSのスクリーンセーバーでは、元の操作画面に復帰する際にパスワードの入力を促す設定を行うことができます。このように設定することで、離席中に不正な利用者がそのパソコンを操作することを防ぐことができるようになります。ただし、スクリーンセーバーが起動するには一定の時間が必要です。
さらに情報セキュリティを強化するためには、離席する際にログアウトを行い、パスワードを入力してログインしなければパソコンを操作できないようにするなど、利用者が自発的にロックする方法が有効です。
安全なパスワード管理|総務省
ちょっとした離籍の際にパソコンを不正利用されるかもしれないので、自分の意志でパスワードを入力しないと操作できない状態にしなさい、ってことですね。
現状ですとISO27001などでも「スクリーンセーバーの起動時間を10分にする」で問題ありませんが、今後は「離席時に必ずロックする」等に変更する必要があるかもしれませんね。
これは・・・・・・?
パスワードを設定しているんだから、使いなさいよってことだね。
家を出るときはちょっとした外出の時にも鍵をかけてねってことだね。
ここまでで、安全なパスワード管理についてのお話は終了です。
覚えやすそうな文字列はダメで、すぐ見られるところに書いてもダメで、全部違うパスワードにしないとダメで、頻繁に入力しなければならないって……
かなり難しそうだけど、大事な情報資産を守るためには必要なことだからね。
どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。
まとめ
今回は筆者がおすすめするパスワードの管理方法についてご説明いたしました。
安全なパスワード管理について
- 安全なパスワードの作成
- パスワードの保管方法
- パスワードを複数のサービスで使い回さない(定期的な変更は不要)
- パスワードの活用
覚えやすいパスワードを作成する。
基本は○○+サービス名
肌身離さず持っているアイテムを活用する
パスワードを書いた紙をスマホで撮影する
これならなんとか覚えられそうです。
自分のルールができていれば簡単に覚えられるね。
Diasukeさんはこれでほぼ完璧に覚えてるんですよね?
そうだね、あまり使わないサービスや頻繁にパスワードの変更を求められるサービスだと時々忘れてしまって、パスワードの再設定をしているけど、ほとんどのサービスでは問題なく覚えているよ。
あと何か言い忘れた事とかありませんか?
あ、そうだった。
プライベートと、仕事で基本の○○を変えて作っておくといいね。
え?なんでですか?
漏洩した際のリスク減少と、あとはプライベートと仕事で同じサービスを利用した場合に、パスワードが一緒になってしまうのを回避するためかな。
あぁ!確かに、Gmailとかプライベートでも仕事でも使いますね。
記事の始めでもご紹介しましたが、このルールでのパスワード運用が難しいと感じた場合は有料のパスワード管理ツールをお勧めします。
どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。
他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。
コメント
コメント一覧 (2件)
初めまして。
パスワードの作り方とても参考になりました♬
教えて頂いた○○➕サービス名でパスワードを作った上で、1passwordなどの管理アプリに保存するのもセキュリティ面ではアリだと思いますか?
パスワードが流出する可能性も考慮して、手書きでもパスワードを残すつもりでいます。
コメントありがとうございます。
最近はパスワード管理を1Passwordなどのパスワード管理アプリに任せる方法が流行ってますよね。
管理アプリを利用できるのならおすすめ管理方法+管理アプリは個人的には「アリ」だと思っています。
これからますます管理しなければならないIDパスワードが増えてくるのでそのうち管理アプリは必須になってしまうかもしれませんね(汗)