★☆★JNSAメールマガジン 第32号 2014.4.4.☆★☆
それでは、どのような方法を提示すればよいのでしょうか。
私はパスワード管理について相談されたときに以下のような2つの方法を提示するようにしています。(利用しているサービスが多段階、多要素認証可能な場合はそちらも合わせておすすめしていますがここでは少しパスワード管理とは毛色が違うため割愛します。)
それでは、それぞれ見て行きましょう。
(1) パスワード管理ソフトを利用する。
現在では有償無償問わず様々なところから私たち人間に代わってパスワードの生成、記憶をしてくれるソフトがリリースされています。私もこの方法を用いてパスワード管理をしています。パスワード管理ソフトと一言で言っても使ったことのない方はピンと来ないと思いますので簡単に説明します。
前述した通りパスワード管理ソフトはパスワードを生成し、記憶してくれます。利用する際にはマスターパスワードを入力し、そこでの認証に成功すれば過去に記憶したパスワードを使ってサイトにログインできるというものです。多くのパスワード管理ソフトはブラウザの拡張機能が用意されていてマスターパスワード入力後はブックマークやお気に入りを選んでサイトにアクセスする感覚で利用することができます。イメージとしてはブックマークをクリックしたらサイトへのアクセスと記憶しているユーザ名、パスワードの入力を自動で行ってくれるといった感じです。非常に便利です。また、ソフトによってはユーザ名、パスワード以外の情報、例えば公共料金のお客様番号やクレジットカード情報、ソフトウェアのライセンスなどを記憶してくれるものもあります。聞いたところによるとパスワード管理ソフトは日本ではセキュリティソフトというカテゴリーで扱われるものですがアメリカなどでは覚えておけない、どこに閉まったか忘れてしまうようなものを記憶しておくという便利ソフトという位置づけで紹介されることもあるそうです。
パスワード管理ソフトを利用する上で気になることと言えば記憶した情報がどのように保管されるのか。ということだと思います。基本的には程度の差はあれど情報は暗号化されて保存されていますので仮に記憶しているファイルが漏えいしてしまったとしてもしっかりとしたマスターパスワードを設定していれば解読するには現実的ではない時間を要すると言えます。保存場所に関してはパスワード管理ソフトによって異なるのですがインストールされているコンピュータに保存するものとクラウド上に保存するものです。これについてはローカルとクラウドどちらが安全なのか?とパスワード管理に関わらず議論になることもあるのですが、様々な観点から見ると結局この辺りは費用や利便性、そして、自分がどこで安心できるのか。というレベルの話なのだと思っています。
(2) 手帳などの物理的なものにメモをする。
こちらは、ソフトウェアなどを使わず物理的なものにメモをするというアナログで古典的な方法です。
この方法について私が勧めると、セキュリティの専門家だけではなく、そうでない方々からも「それは良くない」「大丈夫なんですか?」という返答がなされることが少なくありません。
先日、NHKの番組に出演させていただいた際にもパスワード管理ソフトの利用とともにこの方法を紹介したのですが、Twitterなどで否定的な意見をいただきました。
しかし、よく考えて欲しいのです。
自身の守りたいものはどこからの脅威にさらされているのか。と。
オンラインのサービスへログインするためのパスワードという守りたいものはオンラインに存在するパスワード突破を試みるユーザに狙われています。
このユーザはどう頑張っても私の目の前にあるメモを読み取ることができません。
そう考えれば、メモをすることで強固なパスワードを設定でき、複数のサービスでの使い回しを行なわないということを実現できるのであればかなりのセキュリティレベルの向上になるのではないでしょうか。
もちろん、メモしたものについては厳重に管理する必要はあります。
また、落としてしまったときのように誰かに盗み見られることを危惧するのであればすべてをメモするのではなく、予め決めておいた文字を前後に付加するというルールを設け、その前後の文字列だけを記憶して、メモするものはその前後の文字列を省いたものとするという工夫をすることもできるでしょう。無くしたときのためにコピーしたものをどこかに保管しておくというものもよいでしょう。
この方法は、私の母に伝え、実際に行なっているものです。
母は「ソフト使うのは無理やけど、これなら私にでもできるわ。」と言っていました。
さいごに
パスワードというものを使っていない人を探す方が難しいと私は考えています。
パスワード管理は、誰にでも関係します。
であるが故に、多少手間はかかってもコンピュータに詳しくない人でも行なえる管理方法を私たちは提示する必要があるのだと私は考えます。
こういったことを考えるときには私はいつも母のことを考えます。
母ができる方法は何だろうか。
母が理解できるようにはどう説明すればよいだろうか。
セキュリティは100か0ではあってはならないと私は思います。
これができなければダメ、といった置いてけぼりを作ってしまうものではなく10でも20でもいいから少しでも向上するよう様々な選択肢を用意し、底上げをしていかなくてはいけないのだと思うのです。
セキュリティは弱い者を守るもののはずです。
セキュリティは限られた人たちのものではなく、みんなのものであるはずです。
そこで私たちが考え、提示するべきものは「よりよい程度と選択肢」だと私は思います。