TRILOGトリログ

企業における安全なパスワード運用について考えてみる

2018.12.02

コンピューターやスマートフォン、ウェブなどでサービスを使う上で、一番悩ましいのがIDとパスワードの管理ではないでしょうか。サービスを提供する側としては、個人を特定しないとその人に紐付けたデータやサービスを提供することができないので、どうしてもIDとパスワードという仕組みを提供せざるを得ません。しかしながら、そこには大きなリスクも孕んでいます。

個人情報漏洩事件・被害事例一覧

ここにまとめられている一覧を見るだけで、企業の大小や漏洩数の多少はあるにせよ、さまざまな事例が見つかります。また、私たちの記憶に残る大規模な漏洩としてはたとえばYahoo!(アメリカのサービス)やFacebookでは桁違いの数量の情報流出が起きています。

米Yahoo、30億以上の全アカウントの情報流出が明らかに、2013年8月の個人情報漏えいで -INTERNET Watch

Facebookの5,000万人分の情報流出について、いま知っておくべきこと|WIRED.jp

最近では大手ホテルチェーンのマリオットグループの漏洩も5億人の情報が流出したと報じられています。

マリオットの5億人顧客情報流出、背景に中国のスパイか:朝日新聞デジタル

こうなってくると、いかに自分が適切にID・パスワード管理をしていたとしてもサービス側から流出してしまえば意味がないということになってしまいます。このサービス側での情報流出で一番問題になるのが、「ID・パスワード使い回し」です。

たくさんのIDとパスワードを頭で覚えておくのは不可能に近いため、ほとんどの人がやっているのがIDとパスワードの使い回し、つまり同じIDとパスワードを複数のサービスで使うことです。これをやってしまうと、流出してしまったIDとパスワードを使って、他のサービスにログインされてしまうことになりますので、絶対にやってはいけないことです。

個人であれば、個人の損失に繋がるだけなので、「大変でしたね。」ということになるだけですが、ビジネスで使用している分には、自社の情報流出など多大なる損害を受ける可能性があり、個人でパスワード管理をするというのは企業リスクになると考えられます。

その上で、当社では現時点で考えられる最善のパスワード管理を行なっています。

  • パスワードはすべて異なるものを使う
  • パスワード管理サービスを使用
  • パスワードは自動生成
  • 2段階認証を行なう

これで完璧ということはなくて、まだまだ使い勝手の面だったりで問題があることは確かですが、これらをしっかりと実施することである程度は担保できるのではないかと考えています。それぞれについて、少し詳しく説明します。

・パスワードはすべて異なるものを使う

これは冒頭のリスクを考えると当然の対策となります。同じものを使い回すので、それが流出してしまえば、なりすましで勝手にサービスにログインされてしまいます。これは基本中の基本なのであまり異論は無いところだと思います。しかしながら、みんなやりたくない、実施していないというのは、たくさんのパスワードをどのように覚えるのかというところがポイントだと思います。

リスクは分かるけれど、すべてを覚えておけないので、すべてのIDとパスワードをメモで書いておくなどの対策にしてしまうと、それ自体がセキュリティリスクとなってしまいます。ただし、現時点においては後述の理由により、私はバックアップとしてパスワード保護したところにいくつかを記述しています。

覚えておくことが大変、メモに書くのは大変、たくさんのIDとパスワードをサービス利用のたびに探すのが面倒、などなどさまざまな理由により、すべて異なるパスワードを使用するということが実施されていないのだと思います。

それを解決するのが、パスワード管理サービスです。

・パスワード管理サービスを使用

人によっては、最近SafariやChromeなどのブラウザーにパスワード管理機能が付けられているので、それを使っているかもしれません。しかし、それらはブラウザーでしか機能しないということもあって、アプリ内で使用するアプリなどに使えないときなどもあり(仕組みによってはつかえるものもあります)、総合的なパスワード管理ができるとはいえません。

当社で採用しているのが、1Passwordというパスワード管理サービスです。

最も安全なパスワードマネージャー | 1Password

1Passwordの基本的な機能は、「IDとパスワードの管理」「ランダムパスワードの生成」「組織での管理」です。パスワード管理サービスとしては、Windows, macOS, Android, iOS, Chrome OSのあらゆるプラットフォームで使用できるのも大きな魅力です。

なお、iOSにおいては、最新OSであるiOS12からiCloudキーチェーンと同様にパスワードを代入することができるようになったので、iOSメインで使っている人にも大幅に使い勝手が良くなりました。実のところ、それまでは個人で使用していたものの、このアップデートで会社全体でも使用することになりました。

前述のすべてのサービスで異なるパスワードを使用するということを徹底するためにも、1Passwordのようなパスワード管理サービスが必要です。当然、有料のサービスにはなりますが、この投資と情報漏洩リスクを考えればまったく高くないといえます。

ここでは使い方を詳しくは説明しませんが、IDとパスワードは自動的に生成してくれ、各サービス毎に管理され、ウェブサイトだったりアプリ内だったりでパスワードを求められる際には、自動的にそのIDとパスワードを代入してくれます。また、組織で管理しているサービス(IDとパスワードは1つを複数人で使用している)場合にも、組織として登録しておくことができますので、使える人を管理者が管理しながら使うこともできます。

便利なのは、ブラウザープラグインを導入しておくと、これまで使っているサイトにログインしていくだけで、自動的にIDとパスワードを登録していってくれますので、ひとつひとつ自分で入れていく必要はありません。

大事なところとしては、ブラウザーで管理していた人は、上記のように1Passwordに覚えさせていったら、ブラウザーでの管理機能をオフにすることです。

・パスワードは自動生成

1Passwordのところで書いてしまいましたが、パスワード管理サービスである1Passwordが毎回自動的にランダムなパスワードを生成してくれます。数字入り、記号入り、桁数など、アカウント作成するサービスのパスワードポリシーに合わせたパスワードを生成してくれます。

これにより、類推してのパスワード攻撃や、パスワード総当たり攻撃(すべての組み合わせを試す方法)からの回避もかなりの高いレベルで行なえるため、ある程度安心してパスワードを使用することができます。この対応のためにも、できる限りパスワードポリシー最大の桁数と、できる限り大文字小文字や記号などを織り交ぜた設定でのパスワード生成をするべきです。

・2段階認証を行なう

パスワード管理サービスを使用したからといって、できる限りのパスワード保護をしたということにはなりません。冒頭の例のように、サービス側でパスワードなどの情報漏洩をしてしまうリスクがあります。そうすると、いくら複雑なパスワードで、サービス毎に使い分けていたとしても、そのものを流出してしまうので意味がなくなります。もちろん、ここまでの対策で、そのサービスの漏洩が、他のサービスのアカウントに侵入されるリスクはありません(すべてパスワードが異なるため)。

そこで重要なのが、2段階認証です。最近は多くのサービスが対応してきたという事もあって、かなり認知度が高まってきたと思います。この2段階認証とは、IDとパスワードという認証以外に、もうひとつ個人を確認する方法を採る認証方式です。基本的には、1度ログインをする際に、IDとパスワード以外の方式で確認するため、単にIDとパスワードを漏洩させれていても、ログインすることができません。これにより、サービス側がIDとパスワードを漏洩してしまうというリスクにも対応することができます。

この2段階認証についての解説は深く行ないませんが、もっとも多く使われていて、私自身も使っているのが、SMS認証と認証アプリシステムです。基本的には初めて、もしくはある一定期間、または異なる機器もしくはブラウザーなどでログインする際に2段階認証を必要とします(設定に寄ります)。

SMS認証とは、その名の通り、ログインする際にあらかじめ設定した携帯電話の番号にSMS(ショートメッセージサービス)が送られてきて、その中に書かれている認証コードをサービスに入力する仕組みです。当然、自分の携帯電話番号に送られてくるものですから自分にしか認証コードを入力できませんので、他人がなりすましで不正に入手したIDとパスワードを使ってログインを試みてもログインすることができないという訳です。

アプリ認証の方は、仕組みとしては同じものの、認証を行なうアプリを使うということです。当社ではGoogle Authenticatorを使用しています。

‎「Google Authenticator」をApp Storeで

Google 認証システム – Google Play のアプリ

SMS認証のデメリットとしては、たとえば会社で使用しているアカウントの場合、すべての社員に携帯電話を提供していれば問題ないのですが、そうではない場合には個人の携帯の電話に登録をする必要があるからです。

このようにSMS認証とアプリ認証を組み合わせて使うことで、2段階認証をできる限りすべてのサービスで設定することでかなり高いレベルでのパスワード管理を行なうことができます。現時点では、Apple ID、Google、Amazon、Facebook、Wordpressあたりで使用しています。そして忘れてはいけないのは、1Password自身も2段階認証設定をしておくことです。

今回の仕組みの最大のリスクは1Password自身のパスワード漏洩です。データ保管庫自体が漏洩したら、まったく意味がなくなりますが、1Password自体のパスワードだけであれば2段階認証をしておけば他人がログインすることはできません。1Password自体も、単なるIDとパスワードだけではなく、別途認証キーというのを発行するので、元々、通常よりは一手間多いログインになっていますが、日常的に使用するマスターパスワードはさすがにあまりにも難しいものにし辛いため、そこの担保ということになります。

・一定期間でのパスワード変更

これはよく言われることでもありますが、私の考えでは無駄だと思います。また、今回の仕組みにしておけば、情報漏洩したとしても歯止めが利きますので、大きな問題にならないと考えています。この一定期間でのパスワード変更はパスワード使い回しだったり、ある程度頭で覚えていられるようなパスワードに設定している場合に問題になるのではないかと思います。

ユーザーのリテラシーが低いと判断しているからのか、いくつかのサービスでは強制的にパスワードの変更を強いてくるところがあります。しかし、1Passwordの運用でいけば、そこまで手間なく新しいパスワードに変更することができます。

・問題点

個人ではこの運用をして結構経ちますが、会社全体ではiOS12で一気に実施しました。現時点での問題点は、いくつかのサービス(今のところ2つですが)が、1Passwordからの直接入力をさせてくれません。そのため、1Passwordのアプリに切り替えて、アカウントを探して、そこでパスワードをコピーしてペーストするという作業が発生しますが、なんと、コピーペーストをさせてくれないサービスがあるのです。おそらく、セキュリティ上の理由なのだと思いますが、この仕組みのために1Passwordからも入力できないのだと思います。

今は、たった2つなのと、頻繁に利用するものではないため、パスワードで保護したメモの中に書き留めて、それを見ながら入力するという、悲しい作業をして乗り越えています。

たくさんのサービスがある中で、いかにIDとパスワードを管理していくかというのは、かなり難しい問題です。あまりにも厳しい運用だと守れない人が出てきますし、簡単に突破されてしまうようでは意味がありません。当社で採用している仕組みは、最低限ともいえますが、それでも一度設定してしまえばそれほど苦になる運用ではありません。もちろん、この通りにやって何か問題があったとしても、一切責任を負うことはできませんので、参考としてみてください。その他、こうした方がより良いなどのアイディアがありましたら、コメントで教えていただければ嬉しいです。

このブログを書いたスタッフ

プレジデント

ほっしぃ

音楽からMacの道に入り、そのままApple周辺機器を販売する会社を起業。その後、オリジナルブランド「 Simplism 」や「NuAns」ブランドを立ち上げ、デザインプロダクトやデジタルガジェットなど「自分が欲しい格好良いもの」を求め続ける。最近は24時間365日のウェアラブルデバイス「24時間365日のウェアラブルデバイス|weara(ウェアラ)」に力を注いでいる。

ほっしぃのブログ一覧

コメントを投稿

ログイン

登録

会員登録せず購入する

ログインせずに投稿する場合には名前とメールアドレスを入力してください。


管理者の承認後、コメントが表示されます。

コメント

このページをシェアする

ブランドから探す

機種から探す

  • Tablets
  • Smartphones
  • Laptop
  • AirPods
  • Apple Watch
  • iPad
  • iPhone

iPhoneから探す

iPadから探す

iPodから探す

Apple Watchから探す

Laptopから探す

AirPodsから探す

Smartphoneから探す

Walkmanから探す

Tabletsから探す

カテゴリから探す