★☆★JNSAメールマガジン 第32号 2014.4.4.☆★☆

こんにちは
JNSAメールマガジン 第32号 をお届けします。

消費税増税を伴いいよいよ2014年度となりました。
2014年度に向けて、JNSAでは新規発足のWGも出てきていますので、ご興味がありましたらぜひ御参加いただければと思います。
今年度も会員のみなさまのご支援ご協力、どうぞよろしくお願い致します。
さて、前回に引き続き、読者の方に「認証」について理解を深めて頂くためのコラムをリレー形式でお送りします。
今回は、ソフトバンク・テクノロジー株式会社 辻伸弘様のコラム「PC等クライアントにおけるID/パスワード管理について」の後編です。
前回のコラムをご覧になっていない方は、こちらで過去のコラムを順次公開していますので、ぜひご覧下さい。
http://www.jnsa.org/aboutus/ml.html



【連載リレーコラム:テーマ「認証」(3)後編】
「パスワード管理再入門」
(NTTデータ先端技術株式会社 辻 伸弘)

それでは、どのような方法を提示すればよいのでしょうか。

私はパスワード管理について相談されたときに以下のような2つの方法を提示するようにしています。(利用しているサービスが多段階、多要素認証可能な場合はそちらも合わせておすすめしていますがここでは少しパスワード管理とは毛色が違うため割愛します。)

それでは、それぞれ見て行きましょう。

(1) パスワード管理ソフトを利用する。
 現在では有償無償問わず様々なところから私たち人間に代わってパスワードの生成、記憶をしてくれるソフトがリリースされています。私もこの方法を用いてパスワード管理をしています。パスワード管理ソフトと一言で言っても使ったことのない方はピンと来ないと思いますので簡単に説明します。
 前述した通りパスワード管理ソフトはパスワードを生成し、記憶してくれます。利用する際にはマスターパスワードを入力し、そこでの認証に成功すれば過去に記憶したパスワードを使ってサイトにログインできるというものです。多くのパスワード管理ソフトはブラウザの拡張機能が用意されていてマスターパスワード入力後はブックマークやお気に入りを選んでサイトにアクセスする感覚で利用することができます。イメージとしてはブックマークをクリックしたらサイトへのアクセスと記憶しているユーザ名、パスワードの入力を自動で行ってくれるといった感じです。非常に便利です。また、ソフトによってはユーザ名、パスワード以外の情報、例えば公共料金のお客様番号やクレジットカード情報、ソフトウェアのライセンスなどを記憶してくれるものもあります。聞いたところによるとパスワード管理ソフトは日本ではセキュリティソフトというカテゴリーで扱われるものですがアメリカなどでは覚えておけない、どこに閉まったか忘れてしまうようなものを記憶しておくという便利ソフトという位置づけで紹介されることもあるそうです。
 パスワード管理ソフトを利用する上で気になることと言えば記憶した情報がどのように保管されるのか。ということだと思います。基本的には程度の差はあれど情報は暗号化されて保存されていますので仮に記憶しているファイルが漏えいしてしまったとしてもしっかりとしたマスターパスワードを設定していれば解読するには現実的ではない時間を要すると言えます。保存場所に関してはパスワード管理ソフトによって異なるのですがインストールされているコンピュータに保存するものとクラウド上に保存するものです。これについてはローカルとクラウドどちらが安全なのか?とパスワード管理に関わらず議論になることもあるのですが、様々な観点から見ると結局この辺りは費用や利便性、そして、自分がどこで安心できるのか。というレベルの話なのだと思っています。

(2) 手帳などの物理的なものにメモをする。
 こちらは、ソフトウェアなどを使わず物理的なものにメモをするというアナログで古典的な方法です。
 この方法について私が勧めると、セキュリティの専門家だけではなく、そうでない方々からも「それは良くない」「大丈夫なんですか?」という返答がなされることが少なくありません。
 先日、NHKの番組に出演させていただいた際にもパスワード管理ソフトの利用とともにこの方法を紹介したのですが、Twitterなどで否定的な意見をいただきました。
 しかし、よく考えて欲しいのです。
 自身の守りたいものはどこからの脅威にさらされているのか。と。
 オンラインのサービスへログインするためのパスワードという守りたいものはオンラインに存在するパスワード突破を試みるユーザに狙われています。
 このユーザはどう頑張っても私の目の前にあるメモを読み取ることができません。
 そう考えれば、メモをすることで強固なパスワードを設定でき、複数のサービスでの使い回しを行なわないということを実現できるのであればかなりのセキュリティレベルの向上になるのではないでしょうか。
 もちろん、メモしたものについては厳重に管理する必要はあります。
 また、落としてしまったときのように誰かに盗み見られることを危惧するのであればすべてをメモするのではなく、予め決めておいた文字を前後に付加するというルールを設け、その前後の文字列だけを記憶して、メモするものはその前後の文字列を省いたものとするという工夫をすることもできるでしょう。無くしたときのためにコピーしたものをどこかに保管しておくというものもよいでしょう。
 この方法は、私の母に伝え、実際に行なっているものです。
 母は「ソフト使うのは無理やけど、これなら私にでもできるわ。」と言っていました。

さいごに

パスワードというものを使っていない人を探す方が難しいと私は考えています。
 パスワード管理は、誰にでも関係します。
 であるが故に、多少手間はかかってもコンピュータに詳しくない人でも行なえる管理方法を私たちは提示する必要があるのだと私は考えます。
 こういったことを考えるときには私はいつも母のことを考えます。

母ができる方法は何だろうか。
 母が理解できるようにはどう説明すればよいだろうか。

セキュリティは100か0ではあってはならないと私は思います。
 これができなければダメ、といった置いてけぼりを作ってしまうものではなく10でも20でもいいから少しでも向上するよう様々な選択肢を用意し、底上げをしていかなくてはいけないのだと思うのです。

セキュリティは弱い者を守るもののはずです。
 セキュリティは限られた人たちのものではなく、みんなのものであるはずです。

そこで私たちが考え、提示するべきものは「よりよい程度と選択肢」だと私は思います。



#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。



 【部会・WGだより】
 
 ★西日本支部/出社してから退社するまでのリスク対策WGでは「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」改訂版を公開しました。ご活用いただければ幸いです。
  http://www.jnsa.org/result/2013/chusho_sec/index.html
 
 ★調査研究部会に新たに「IoTセキュリティWG」が発足しました。
  ただいまメンバー募集中です。
  ご興味ある方はJNSA事務局までお問合せください。
 
 
【事務局からの連絡、お知らせ】
★「JNSAせきゅり亭」4月のお題は「桜・花」「新人」
  ウィットに富んだ作品をお待ちしております!
  http://www.jnsa.org/update/senryu.html

★「セキュリーナとのお約束」ポスターを会員企業の方に差し上げます。
 ご希望の方はJNSA事務局までご連絡ください。
 ポスターデータ(PDF)のダウンロードはこちらから。
 http://www.net-anzen.go.jp/

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第32号 
発信日:2014年4月4日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.