管理アプリは不要!安全で簡単なおすすめパスワード管理方法

当ページのリンクには広告が含まれています。
Akari

会社の情報セキュリティポリシーで、パスワードを全部違うものにしなければならないんだけど。覚えられるか不安で……。

Daisuke

紙に書いて机に貼ったり、わかりやすいところに書いたりしてもいけないし、管理が難しいよね。

Akari

無料のパスワード管理アプリもあるみたいなんですけど、安全性ってどうなんでしょう?

Daisuke

確かに管理アプリを使えば覚える必要はないけど、自分で覚えられるならできれば使わない方がいいと思うよ。

Akari

えぇー、それじゃどうしたらいいんですかぁ。
Daisukeさんは全部覚えているんですか?

Daisuke

絶対に間違えないということはないけど、仕事でもプライベートでもパスワードはほぼ覚えているよ。

Akari

えぇー!覚えているんですか?
紙に書くわけでもなく?
Excelで全部一覧になっているとかも無しですよ!?

Daisuke

それでは私が実際に行っているおすすめパスワード管理方法をご紹介します。

Daisukeについて
Daisuke
  • 群馬県在住40代サラリーマン
    転職して東京の大企業で講師を務めつつISMS運用にも携わる。
  • インフラSEから講師へキャリアチェンジ
  • 30名ほどの中小企業でCISO(情報セキュリティ責任者)として7年間従事
  • ISO27001(ISMS)導入
  • テレワークなどクラウドを利用してのサービス導入に携わる
  • 資産管理ツールやクラウドセキュリティなど導入実績多数
  • 情報セキュリティマネジメント保有
  • 情報処理安全確保支援士取得
パスワードの管理が難しい場合

どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。

生涯買い切りで使えるストレージ付きパスワード管理アプリ
pCloud Premium

一度買えば期限なしで使えるpCloudにパスワード管理アプリがついてきます。

無料では1台しか使えませんが、有料契約すると複数端末でパスワード管理ができるように。

外国製でドルでの支払いになりますが、企業の信頼性はASCIIでも取り上げられていますので問題はありません

ASCII Japan:
https://ascii.jp/elem/000/004/129/4129213/4/

目次

おすすめパスワード管理方法

みなさんパスワードの管理ってどうしてますか?

自分で覚えられるパスワードだけを使えるといいのですが、サービスによってパスワードポリシーが違うなど管理ツールが必要な場面もあるかと思います。

Daisuke

筆者おすすめのパスワード管理方法をご説明します。

今回のポイントは以下の2つです。

  • 覚えやすい!かつ複雑さの要件を満たすパスワードを作成する。
  • 肌身離さず持っているアイテムを活用する。
Akari

複雑にしたら覚えられなくなってしまうのでは?

Daisuke

ふっふっふ、そんなことはないんですよ。

覚えやすい!かつ複雑さの要件を満たすパスワードを作成する。

総務省での要件を満たすために以下の条件でパスワードを作成します。

総務省が推奨するパスワード作成基準
  • 文字数は10桁以上。
  • アルファベット大文字・小文字、数字、記号のうち3種類を使用する。
  • 名前や英単語などの類推しやすい文字列を使用しない
  • サービスごとに異なるパスワードを使用する。

基本は〇〇+サービス名

基本は〇〇+サービス名です。

上に記載した総務省推奨の要件を満たす8桁の文字列を作って下さい。

そしてこの8桁は全てのパスワードに利用します。

Akari

全部に使うと、サービスごとに異なるっていう要件を満たさなくなってしまうのでは?

Daisuke

それを回避するための+サービス名です。

例えば、〇〇を『macwiN95』と仮定します。

〇〇+サービス名なので

Yahoo!JAPAN IDの場合『macwiN95Ya
Googleアカウントの場合『macwiN95Go

など、後ろにサービス名を縮めた文字列を繋げてパスワードとします

これで複雑さの要件を満たし、かつサービスごとに異なるパスワードを作成することができました。

ランダム文字列はアルファベット大文字小文字+数字で作成することがおすすめですが、最終的に複雑さを満たせば良いので、作り方は自由です。

Akari

確かにこれなら『macwiN95』を覚えるだけで大丈夫ですね。

Daisuke

サービス名は最初(YamacwiN95)に入れても中間(macYawiN95)でも後ろ(macwiN95Ya)でも好きなところにつけてね。

Akari

6桁+サービス名4桁で合計10桁にしてもいいですね。

Daisuke

そうだね、この辺は自分の覚えやすいルールを作ってもらえればいいんじゃないかな。

基本は〇〇+サービス名
例えば10桁のパスワードを作成する場合
○○○○〇〇〇〇+サービス名
8桁の共通パスワード 規則性のある2文字
安全でかつ覚えやすい文字列
YahooならYA GoogleならGO等
記号について

サービスによっては記号が使えない、逆に記号が必須になっている場合があります。
基本となっている〇〇に記号を入れるのか、完成したパスワードに記号を付加のかするか、あらかじめ決めておくと良いでしょう。

はい!これで安全なパスワードができました!

と言いたいところなのですが、これだけでは終わらないのがパスワードの難しいところです。

全てのサービスでこのルールで作成したパスワードの設定ができれば覚えていられるのですが、どうしてもこのルールが通用しない事態が発生することがあります

また、パスワードは覚えていてもアカウントまでは覚えられないことも多いでしょう。

Daisuke

というわけで次のポイントに行ってみましょう。

共通パスワードについて

共通パスワードは「覚えやすい」かつ推測しづらいものにしましょう。「terebisuki(テレビ好き)」などのように口語を組み合わせても面白いですね。

肌身離さずもっているアイテムを活用する。

Akari

肌身離さず持っているアイテムというと・・・・・・

Daisuke

大体予想はついたかもしれないけど、スマホを使います。

パスワードを書いた紙をスマホで撮影する

パスワードが書いてある紙を撮影して原紙はシュレッダーにかけて処分してください。

もし忘れてしまった場合はスマホの写真フォルダを見てパスワードを確認すればOKです。

スマホを盗まれたり失くしてしまうことはほとんどないですし、データもバックアップを取っているので、データが消えてしまうこともほとんどありません。

最悪失くしたり、盗まれたりした場合はリモートワイプ(遠隔でスマホを初期化する)することも可能です。

スマホにはパスコードを設定する等の基本のセキュリティ対策は必要ですが、めちゃくちゃ簡単に安全に管理ができます。

Diasukeのお話

マイナンバーカードを作られた方はご存じかと思いますが、マイナンバーカードを作る際に、紙に希望パスワードの記入を求められます。

その紙をもとに職員さんが入力するのかと思っていたのですが、パスワードの入力も自分で行うため、紙に書いたパスワードはあくまでも自分が管理するためのものでした。

私は市役所で用紙を撮影して、紙は会社でシュレッダーにかけて処分しました。

紙で持っていると無くしたり盗み見されてしまう可能性があります、スマホならその点安心ですね。

パスワードの管理が難しい場合

どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。

安全なパスワード管理について

おすすめパスワード管理方法をご紹介しましたが、みなさんに知ってほしい安全なパスワードの指針をご紹介します。

Daisuke

それでは、安全なパスワードの管理についてご説明します。

総務省からパスワード管理について4つのポイントが出されています。

パスワード管理ポイント

  1. 安全なパスワードの作成
  2. パスワードの保管方法
  3. パスワードを複数のサービスで使い回さない(定期的な変更は不要)
  4. パスワードの活用
パスワード管理ポイント
安全なパスワードの作成
パスワードの保管方法
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
パスワードの活用

一つずつ順番にご説明します。

安全なパスワードの作成

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること

(5) 類推しやすい並び方やその安易な組合せにしないこと

安全なパスワード管理|総務省

Daisuke123(名前が入っている)apple(英単語そのまま)、1234567(アルファベットが入っていない)、pen(短すぎる)、abcd1234(安易な組み合わせ)等はNGということです。

Akari

ここが一番大事ですね。

Daisuke

そうだね、ここで安全なパスワードが作れないと、この先に進めないね。

パスワードの保管方法

安全なパスワードの作成だけでなく、他人に知られないよう、かつ自分でも忘れてしまうことがないように管理をしましょう。自分で忘れてしまわぬようにメモを作成した場合は、それが他人に見られることのないよう、肌身離さず持ち歩くなど、厳重に保管をするよう心がけましょう。

安全なパスワード管理|総務省

メモを取ってもいいけど、他人に見られないように肌身離さずそのメモを持ち歩く必要があります。

手帳などに記載した場合は鍵がかけられるものにする。書いたメモは机の鍵のかかる引き出しに保管する。などが推奨です。

Akari

いくら安全で難しいパスワードを作っても、紙に書いて置いたらすぐに悪用されてしまいますね。

Daisuke

「家の鍵を玄関にぶら下げてはいけない!」って言ってるのと同じイメージかな?

Akari

普通しませんよね…・・・

Daisuke

パスワードはサーバーの前にでかでかと書いてあったりするけどね……

パスワードを複数のサービスで使い回さない(定期的な変更は不要)

また、パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし、重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。 
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

安全なパスワード管理|総務省

利用するサイトやサービスごとに異なるパスワードを作成する必要があります。

同じパスワードにしている場合パスワードが漏れた際に他のサービスも芋づる式に不正利用されてしまうのでやめましょうってことですね。

一昔前まではパスワードは定期的に変更するものでしたが定期的に変更しなければならないため、パスワードの複雑さが満たされず問題になったということですね。

この条件は日本だけではなく世界的な動きのようで、ここ数年でパスワードの定期変更を促すサービスは減っています。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)

(※2) https://www.nisc.go.jp/security-site/handbook/index.html

安全なパスワード管理|総務省
Akari

簡単に言うと?

Daisuke

簡単に言うと同じパスワードを使っていると、それが漏れたら全部入られちゃうからやめてね。ってことだね。

Akari

最近はアカウント名がメールアドレスになっていることが多いですしね。

Daisuke

そうだね、相手としてはマスターキーを手に入れたようなものだから、とりあえず使ってみて「開いたらラッキー♪」だろうね。

パスワードの活用

現在の一般的なOSスクリーンセーバーでは、元の操作画面に復帰する際にパスワードの入力を促す設定を行うことができます。このように設定することで、離席中に不正な利用者がそのパソコンを操作することを防ぐことができるようになります。ただし、スクリーンセーバーが起動するには一定の時間が必要です。

  さらに情報セキュリティを強化するためには、離席する際にログアウトを行い、パスワードを入力してログインしなければパソコンを操作できないようにするなど、利用者が自発的にロックする方法が有効です。

安全なパスワード管理|総務省

ちょっとした離籍の際にパソコンを不正利用されるかもしれないので、自分の意志でパスワードを入力しないと操作できない状態にしなさい、ってことですね。

現状ですとISO27001などでも「スクリーンセーバーの起動時間を10分にする」で問題ありませんが、今後は「離席時に必ずロックする」等に変更する必要があるかもしれませんね。

Akari

これは・・・・・・?

Daisuke

パスワードを設定しているんだから、使いなさいよってことだね。
家を出るときはちょっとした外出の時にも鍵をかけてねってことだね。

パスワードの活用
離席する場合はロックもしくはログオフして、パスワードの入力を求められるようにしてね。
適切なパスワードを作成しても使わなければ意味がない。

Daisuke

ここまでで、安全なパスワード管理についてのお話は終了です。

Akari

覚えやすそうな文字列はダメで、すぐ見られるところに書いてもダメで、全部違うパスワードにしないとダメで、頻繁に入力しなければならないって……

Daisuke

かなり難しそうだけど、大事な情報資産を守るためには必要なことだからね。

パスワードの管理が難しい場合

どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。

まとめ

今回は筆者がおすすめするパスワードの管理方法についてご説明いたしました。

安全なパスワード管理について
安全なパスワードの作成
パスワードの保管方法
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
パスワードの活用

覚えやすいパスワードを作成する。
基本は○○+サービス名

肌身離さず持っているアイテムを活用する
パスワードを書いた紙をスマホで撮影する。

安全なパスワード管理について

  • 安全なパスワードの作成
  • パスワードの保管方法
  • パスワードを複数のサービスで使い回さない(定期的な変更は不要)
  • パスワードの活用

覚えやすいパスワードを作成する。

基本は○○+サービス名

肌身離さず持っているアイテムを活用する

パスワードを書いた紙をスマホで撮影する

Akari

これならなんとか覚えられそうです。

Daisuke

自分のルールができていれば簡単に覚えられるね。

Akari

Diasukeさんはこれでほぼ完璧に覚えてるんですよね?

Daisuke

そうだね、あまり使わないサービスや頻繁にパスワードの変更を求められるサービスだと時々忘れてしまって、パスワードの再設定をしているけど、ほとんどのサービスでは問題なく覚えているよ。

Akari

あと何か言い忘れた事とかありませんか?

Daisuke

あ、そうだった。
プライベートと、仕事で基本の○○を変えて作っておくといいね。

Akari

え?なんでですか?

Daisuke

漏洩した際のリスク減少と、あとはプライベートと仕事で同じサービスを利用した場合に、パスワードが一緒になってしまうのを回避するためかな。

Akari

あぁ!確かに、Gmailとかプライベートでも仕事でも使いますね。

記事の始めでもご紹介しましたが、このルールでのパスワード運用が難しいと感じた場合は有料のパスワード管理ツールをお勧めします。

パスワードの管理が難しい場合

どうしても自分でパスワードの管理ができない場合は1Passwordなどの有料ツールもおすすめです。
1つのパスワードを覚えるだけで良い上に、有料だけあってセキュリティについても万全です。

他にも情報セキュリティ担当者目線で書いた仕事術があります。ぜひご覧ください。

にほんブログ村やってます、ポチッとしていただけると喜びます。
にほんブログ村 IT技術ブログへ
にほんブログ村
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメント一覧 (2件)

  • 初めまして。
    パスワードの作り方とても参考になりました♬

    教えて頂いた○○➕サービス名でパスワードを作った上で、1passwordなどの管理アプリに保存するのもセキュリティ面ではアリだと思いますか?
    パスワードが流出する可能性も考慮して、手書きでもパスワードを残すつもりでいます。

    • コメントありがとうございます。
      最近はパスワード管理を1Passwordなどのパスワード管理アプリに任せる方法が流行ってますよね。
      管理アプリを利用できるのならおすすめ管理方法+管理アプリは個人的には「アリ」だと思っています。
      これからますます管理しなければならないIDパスワードが増えてくるのでそのうち管理アプリは必須になってしまうかもしれませんね(汗)

コメントする

CAPTCHA


目次