絶対に安全なパスワードはあるの? 情報セキュリティのプロが教えるパスワード管理のコツ

Gmail、Dropbox、Facebook、ZOZOTOWN……今や私たちの生活と切り離せないこれらのウェブサービス。便利ではあるが、使えば使うほど面倒な一面がある。それが、パスワードの設定だ。

すぐに推測されそうな単純なものはダメ、使い回しもダメ。パソコンにメモを貼るのももちろんNG。それなのに、あるサイトは「英数6文字以上」、別のサイトは「8文字以上で記号の使用も必須」……。

複雑なパスワードにした方が安全なのは、なんとなくわかる。しかし、それをいちいち覚えていられるかといえば、正直なところ難しいだろう。私たちはこの「パスワード」と、どう付き合うべきなのだろうか。

法人向けにセキュリティ関連サービスを提供するラックの谷口隼祐(しゅんすけ)さんに、パスワード設定のコツ、セキュリティ対策の現状について話を聞いた。

「パスワード」に明確なルールはない

――利用者として気になっていたことがあるんです。ウェブサービスごとに、パスワードの設定ルールがバラバラなのは、なぜでしょうか。

実は、「パスワードはこう設定すれば絶対に安全だ」という目安は、私の知る限りではありません。企業やサービスが個別に設定しているため、どうしてもバラバラになってしまうのが現状です。内閣サイバーセキュリティセンター(NISC)が発行している『ネットワークビギナーのための情報セキュリティハンドブック』では、ログイン用パスワードとして、英大文字小文字と数字と記号で10桁以上を推奨していますが、絶対に守らなければならないものではありません。

――簡単な文字列でOKなサービスもあれば、やたらと複雑でないと登録できないものもあります。

たとえば、クレジットカードの情報保護を目的とするPCI DSS(日本カード情報セキュリティ協議会)のように、業界団体が一定の基準を示している場合もあります。しかし、そうでない他の多くの業界の場合、サービスの提供者次第ということになるでしょう。

セキュリティ管理の品質を保証するISMS(情報セキュリティマネジメントシステム)認証を受ける企業も増えてきましたが、ISMSでもパスワードの桁数といった基準は明示していません。

――ということは、パスワードが6文字でも8文字でも、英数字や記号があってもなくても、「サービス提供者側が求める基準を満たしたパスワードにしている」から「絶対に安全」とは言い切れないわけですね。

NIST(アメリカ国立標準技術研究所)のガイドラインの中には、最低8文字という記述がありますが、自分なりに対策をする必要がありますね。そもそも、なぜパスワードを長くしたり、英数字や記号を含めたりする必要があるか、知っていますか?

――改めて聞かれると、よくわかりません。

そうですよね。パスワードを長くするのは、ハッカーに総当り(※可能な組み合わせをすべて試す手法)で解読されないように、セキュリティを強化するためです。できるだけ長くすれば、それだけ強くなる。ところが、長くすると覚えるのが難しいし、入力も大変です。

そこで、数字だけでなく、アルファベットや記号を入れることで、パスワードが短くても、同等の効果を得ようとするのです。前述のNISCのハンドブックでも、組み合わせを増やすことの有効性を、以下のように説明しています。

――文字種を増やすことで、同じ桁数でも組み合わせのバリエーションが圧倒的に増えるのですね。ふと思ったのですが、最近のパスワードは数回入力ミスをすると、アカウントがロックされることもあります。総当たりで解読するのは不可能なのでは?

もちろん、そうです。では、なぜそれでも侵入されるかというと、理由は大きく2つあります。1つは、簡単すぎるパスワードを使う人が多いので、不特定多数を狙えば「数打ちゃ当たる」ことです。

実際に流出したパスワードをもとに、セキュリティが脆弱なパスワードのランキングを公表している企業があります。実は、このランキングの内容は毎年ほどんど変わっていないのです。「123456」や「qwerty」など、漏えいの上位は簡単に推測できるパスワードが常連なんですよ。

もう1つは、サービス運営者がアカウント情報を流出させてしまった場合に、利用者がパスワードを使い回していたために、同じパスワードを使っていた他のサービスにも侵入されてしまうケースです。流出させてしまった運営者の問題ですが、パスワードの使い回しで不利益を被るのは利用者です。

この2つは、利用者のパスワード管理における危機意識の低さに問題があるとも言えるでしょう。

――侵入する側の手口が巧妙になっている、というわけでもないのですね。

そうとも言い切れません。企業などの特定の情報を狙う「標的型攻撃」はもちろん、不特定多数の利用者を狙う方法も巧妙になっているものはあります。たとえば、最近は違和感のない日本語のフィッシングメールが増えています。しかし、依然として単純な攻撃が多くあるのも事実です。脆弱なパスワードが存在し続けているので、ハッカーからすれば、わざわざレベルの高い手口を使わなくてもいいわけです。

これはパスワードに限らず、メールでウイルスなどのマルウェアを送りつけるような攻撃とも同じですね。開く人が必ずいるから、なくならないのです。

――では、「複雑なパスワードを設定しよう」というような利用者の意識に頼る方法しかないのでしょうか?

パスワードのような知識認証は限界という説もあります。さらに、メールなどのクラウドサービスに、世界中のどこからでもアクセスできます。便利な反面、世界中から侵入される危険性と隣り合わせになっています。

――では、利用者はどうすれば?

オススメは、パスワードだけでなく、スマートフォンなどの所有物認証を組み合わせる2段階認証です。ただし、ちょっと手間がかかるからか、一般の利用者にはいまひとつ定着していません。

定期変更の強制は、安易なパスワード設定の原因に

――定期的なパスワードの変更を強制している場合がありますよね。あれは効果があるのでしょうか。

まだ議論中という認識ですが、個人的には“意味のない変更”を強制すべきではないと考えています。強制すると、人は忘れないように簡単なパスワードを設定しがちだからです。

複雑なパスワードを強制したとしても、それを付箋に書いてパソコンの近くに貼ってしまう、なんて人が出てきます。メモをしてもいいのですが、その場合は財布に入れるなど、人目に触れないようにすべきです。

――では、“意味のある変更”とは、どんなものですか?

パスワードの変更をオススメしたいタイミングがあります。利用者側なら、同じ企業が運営する別のサービスで漏えいが発覚した場合や、ログインしていないのに2段階認証の通知が来た場合。管理者側なら、管理者が異動・退職した場合など。つまり、無関係の人間にパスワードが知られてしまった可能性があるタイミングでの変更は、意味があると言えます。

――うーん、1つ2つくらいならなんとかなりそうですが、複数のサービスだと大変そう……。

そうですね。だから、企業や学校などの組織では、できれば1つのアカウントとパスワードで社内のすべてのシステムを利用できるように、SSO(シングルサインオン)と呼ばれるシステムを導入したいところです。クラウド型のソフトだとSSOに対応したものが多いです。

SSOのメリットは、利用者と管理者がシステムをシンプルに扱えるだけでなく、アカウントとその管理権限を一元化できることにあります。バラバラだと管理が煩雑になるだけでなく、本来は不要な人が管理権限を持ち、出来心からハッキングをして内部犯になる可能性があります。

企業でのセキュリティ対策は、権限を適切に付与することや、セキュリティの問題を発見したときの対応の精度を上げるほうが、パスワード管理よりも重要かもしれません。

――とはいえ、最近は社内でシステムを構築するだけでなく、クラウドサーバー上にシステムを構築したり、部署ごとに異なるサービスを使ったりすることもありますよね。SSOのような一元化とは逆の方向に進んでいるようにも感じます。

いわゆる「シャドーIT(企業側の許可がない、あるいは利用ルールがない状態で、社員がITを利用すること)」ですね。組織で把握していることがベストですが、もしこのような形で、社内のシステム管理者の知らないクラウドサーバーやサービスを利用されている方がいたら、パスワード管理は十分にしてもらいたいです。

基本は情報システム部を通す。実験的・一時的に試してみようという場合は、簡単なパスワードを設定したり、そのまま放置したりしがちなので、しっかりと管理してほしいです。テスト用に構築したサーバーが侵害されたという話は意外とよく聞きます。ハニーポッド(簡単に侵入できるようにして、悪意のある者をおびき寄せるサーバー)を作って実験してみると危険性がよくわかります。あっという間に第三者からログインされてしまいますので。

谷口さんはラックからIPAに派遣され、企業や学校などとの窓口やセキュリティに関する知識の啓発を8年ほど担当した。IPAは情報処理技術者試験やITパスポート試験を実施する独立行政法人として知られるが、セキュリティの情報を集めたり分析レポートを公表したりする役割も担う。現在は、ラックの研究機関であるサイバー・グリッド・ジャパンのサイバー・グリッド研究所チーフとして、講演活動なども担当

忘れてしまってもいいから安易なパスワードにしない

――谷口さん自身は、どのようなパスワードを設定しているのですか?

具体的に教えるわけにはいきませんが(笑)、2段階認証が可能なら、まずはそれを設定した上で、複雑なパスワードにしています。使い回しはしないので、専門家の私でも、とても覚えきれません。そこで、3つのパターンに分けて管理しています。

  1. よく使う重要なパスワード
    これだけは絶対に自分の頭の中で覚えておきます。Googleアカウントなどですね。
  2. たまに使うパスワード
    航空会社のウェブサイトなど、「毎日使うわけではないが、定期的に使うもの」は、パスワード管理ソフトに覚えさせます。
    ただし、パスワード管理ソフト自体に欠陥が見つかった例もあるため、2段階認証を設定。ログインを試みたときにメールが来る設定にしておき、いざという時は水際で食い止められるようにする、という対策も大事です。パスワード管理ソフトは、有名でレビューが多いことなどを基準に選択します。
  3. ほとんど使わないパスワード
    あまり利用頻度は高くなくても、ユーザー登録が必要なショッピングサイトなどは、ほとんどの場合「パスワードを忘れた」を押せばパスワードの再発行が可能でしょう。ユーザー登録が必要なら、忘れても仕方ないと考えて、とりあえず複雑なパスワードを設定します。

このようなサイトの場合、あまり利用しないからと、安易なパスワードを設定してしまいがち。しかし、忘れないことを優先してハッキングされてしまったら、本末転倒です。

「パスワードなんてあったね」という時代になるかもしれない

――お話を聞いていると、2段階認証が最強なのでは、という気がしてきます。これから、パスワードはどうなっていくのでしょうか。

そもそも、パスワードとは、利用者が本人であることを確かめるためのものです。他者によるなりすましを防ぐことができるのなら、極論を言えば、なくてもいい。

最近では、パスワードなしで認証しようという試みも始まっています。複数組織が参画しているFIDO Alliance(ファイドアライアンス)で仕様を策定する動きもあれば、独自に新しい認証方式を提供する動きもあります。

Googleの「プロンプト」は、スマートフォンに表示される確認ボタンを押すことでログインできる仕組みになっています。登録済みのスマートフォンを持っていて、ロックを解除できるなら、本人であることが証明される、という考え方です。設定によって、2段階認証の2段目として使うことも、パスワードの代わりにスマートフォンの確認ボタンを押すだけでログインすることも可能です。後者は、2段階認証から1段階目のパスワードを省いたようなものですね。

Googleプロンプトによる認証

他にも、指紋や顔などによる生体認証も普及してきました。いつか「パスワード? あぁ、懐かしいね」という時代になるかもしれません。

――セキュリティの重要性って、学校で教わるものなのでしょうか。パソコンすら珍しい時代に義務教育を受けた私はほとんど記憶にありませんが、今の若年世代はデジタルネイティブですよね。

残念ながら、パスワードに限らずネット上のセキュリティについて、教育が十分とは言い難い。その理由は、端的に言えば、知識がある先生ばかりではないからです。

生徒はスマートフォンを使いこなせますが、安全に使えているとは限りません。それに対して、先生は知らないから教えられない。

では、大人が「よく分からないから危険」と頭ごなしに規制すればいいのかといえば、それは違うでしょう。それではネットの普及した社会を生き抜く力を、子どもは養うことができません。

――セキュリティが大切だとわかっているつもりでも、実際に危険な思いをしないと大切さがわかりにくいのでは? 私も友人がFacebookを乗っ取られたのを見て、ようやく2段階認証の設定をしました。

その通りだと思います。なので、ラックがCSR活動の一環として学校に出張してセキュリティの啓発を行う際は、パスワードを玄関の鍵にたとえて説明したり、SNSの不用意な発言を検索して紹介したりと、セキュリティを身近に感じてもらえるように工夫しています。場合によっては、スマホの監視アプリの実演をすることもあります。

また、被害者だけではなく、加害者にならないための教育も重要です。地元の警察と一緒に活動することもあります。その場合、まず警察官の方からなりすましなどを禁止する法律や、それに違反したときの処罰について説明していただき、それからラック社員がモラルや倫理といったお話をするようにしています。

セキュリティ対策を後回しにする企業も一定数いるんです。リスクがよくわかっていなかったり、「セキュリティのためにお金を払う」という発想がなかったりするからでしょう。危ない目に遭ってから弊社に相談されることも少なくありません。昨年は450件ほどの依頼があり、毎年右肩上がりの傾向にあります。

情報資産がますます重要になっていることで、セキュリティ事故には、金銭的損失だけでなく、企業ブランドが一気に失墜するというリスクもあります。今回、説明したように、事前に打てる手はありますので、日頃から対策をしてほしいですね。

 

編集:ノオト