パスワードを管理するパスワードマネージャーをご存じだろうか。
知っている人や実際に利用している人もいるとは思うが、本記事では、主に知らない人向けにパスワードマネージャーがどのようなものなのかを紹介する。
パスワードマネージャーとは
パスワードマネージャーとは、スマートフォン(以下、スマホ)やパソコン上で動作するパスワード管理ツールのことである。
現代ではインターネットが広く普及しており、さまざまなWebサービスが存在するため、ほとんどの人がログインIDやパスワードを設定して利用する機会があるだろう。そうしたWebサービスにアクセスする際のログインIDとパスワード情報を、クラウドまたはローカル(端末)に保存して管理できる。
パスワードマネージャーの種類
パスワードマネージャーには大きく4種類あり、主な違いは以下の通りである。(ここから更に各社により特徴の異なるパスワードマネージャーが提供されている)
概要説明 | アプリケーション例(開発元) | |
クラウド型 | クラウド上のセキュアな領域でID・パスワード情報を一元管理。 さまざまなWebサービスにログインする際に、適切なID・パスワードの候補を表示。 ユーザーは表示された中から必要なIDを選択し、マスターパスワードの認証によってログイン可能。 |
・パスワードマネージャー(トレンドマイクロ) ・Bitwarden(8bit Solutions) |
ローカルホスト型 | 自身のパソコンやスマホ自体にID・パスワード情報を保存。 Webサービスへのログイン方法はクラウド型と同様で、適切なID・パスワードの候補を表示し、表示された候補から選ぶだけでWebサービスにログイン可能。 |
・True Key(McAfee) ・Enpass(Sinew Software Systems) |
ブラウザー搭載(拡張)型 | ブラウザーに標準搭載されていたり、拡張機能で利用できたりするパスワードマネージャー。 対応ブラウザーを利用であれば、別途アプリケーションを導入する必要がないものが多く、デバイス間でも共有可能。 |
・Google パスワードマネージャー(Google) ・ESET Password Manager機能(キヤノンマーケティングジャパン) |
OS標準搭載型 | OSに標準で用意されているパスワードマネージャー。 macOSのキーチェーンアクセスでは、iCloud上にID・パスワード情報を保存でき、MacとiPhoneで情報の同期が可能。 Windowsの資格情報マネージャーでは、基本的にローカルにID・パスワード情報を保存するが、USBメモリーといった外部記憶媒体へ保存も可能。 |
・キーチェーンアクセス(Apple) ・資格情報マネージャー(Microsoft) |
パスワードマネージャーの必要性
先述のとおり、パスワードマネージャーがどのようなものかは何となく理解できたと思うが、利用していない人からは「そもそもパスワードマネージャーって必要なの?」と、疑問が出てくるかもしれない。
この疑問に対する答えは状況や考え方にもよるため、完全に"Yes"とも"No"とも言い切れないが、セキュリティの観点から考えてみる。
現代ではさまざまなWebサービスが存在し、ログインIDやパスワードを設定して利用する機会が多々ある。
ログインIDとパスワードの組み合わせはユーザーを識別するための重要な要素のため、利用するサービスごとにパスワードを変えることが推奨されている。パスワードを使い回していると、利用するサービスでユーザー情報が漏えいした場合、他に利用しているサービスへの不正アクセスを許してしまう可能性がある。
また、設定するパスワードについても一定の長さが必要で複雑であることが推奨されている。パスワードの長さや複雑さによって、悪意のある第三者にパスワードを解析される時間が大きく変わるためだ。*1
*1 パスワード解析されるまでの時間をまとめてみた【パスワードクラッキングについて】
内部記事リンク:“ありがち”なパスワードのセキュリティリスクとその対策
https://eset-info.canon-its.jp/malware_info/special/detail/230412.html
しかしながら、効率や利便性を考えると同じパスワードを使い回すなど、簡単に覚えられるパスワードを使いがちではないだろうか。そのような時にパスワードマネージャーを活用すれば、セキュリティレベルの高い複雑なパスワードでも、効率や利便性を維持したまま管理することができる。
パスワードの管理は、手帳やエクセル、メモ帳アプリなどでも行えるが、これらの方法は紛失や盗難の恐れ、盗み見でパスワードが漏えいしてしまう可能性が考えられる。その代わりにパスワードマネージャーを利用することで、紛失・盗難・盗み見などのリスクを軽減することが可能だ。
そのため、冒頭の疑問に対する回答としては「パスワードマネージャーは、セキュリティの観点から利用が推奨される」となる。
内部記事リンク:ハッカーがパスワードを盗む5つの方法と、その対策
https://eset-info.canon-its.jp/malware_info/special/detail/220511.html
パスワードマネージャーのメリット・デメリット
ここまで読んで、「パスワードマネージャーは有用だ!利用した方が良いかも?」という感想を持っただろう。しかし、メリットだけではなく、利用する上でデメリットになる部分もいくつか存在する。
セキュリティの観点からは利用を推奨しているが、メリット・デメリットを理解したうえで、自身に合ったパスワードマネージャーを選ぶ、もしくはそもそも自身にとって必要かどうかを検討して欲しい。
パスワードマネージャーのメリット
・セキュリティ向上が図れる(強力なパスワードを個別自動生成できる)
・パスワード管理の効率性がアップする(複雑なパスワードを覚えなくてよい)
・作業効率がアップする(スマホではURLから判断して自動入力してくれる)
・クラウド型ならデバイスを問わない
・パスワード以外の重要な情報(例えばクレジットカード番号など)も管理できる
・個人でパスワード管理することに向いている
パスワードマネージャーのデメリット
・パスワードマネージャーアプリ自体のセキュリティが脆弱な場合がある
・情報漏えいで大量のデータが流出する可能性がある
・サービスが終了する場合がある
・他のサービスとの互換性がない場合に移行が難しい
・ローカル型はバックアップを意識しておかないと端末故障などの際にリスクがある
・企業で管理者が一括でパスワード情報を管理できない
パスワードに関する注意点
「パスワードマネージャーのことはよく理解できたし、これからパスワードマネージャーを利用すれば安心だ!」と思ったかもしれないが、パスワードの作成や設定の際は注意が必要だ。
あくまでパスワードマネージャーは、パスワードを管理するためのツールである。
セキュリティレベルを向上できるかどうかは利用する各個人次第だということは常に忘れないようにしたい。
以下にパスワードに関する注意点の一例を紹介する。
⦁パスワードの使い回しをしない
多くのパスワードマネージャーでは、ランダムで解読が困難なパスワードを自動生成する機能をもっている。しかしながら、手動でパスワードを設定することも多いだろう。手動で設定したパスワードをさまざまなサービスで使い回すと、セキュリティリスクが高まる。そのため、1つのパスワードは1つのサービスだけで使うことを意識したい。
⦁わかりやすいパスワードを設定しない
悪意のある第三者にパスワードを解読されるリスクを軽減するには、一定の長さがあり複雑なパスワードを設定した方が良い。漏えいだけではなく解読される可能性も考慮して、"英大文字/小文字/数字/記号" をできるだけ多く混ぜて設定することを推奨する。また、漏えいや解読によるパスワードの侵害が判明した場合は、速やかに変更することも忘れないようにしたい。
⦁パスワードマネージャーだけに頼りきらない
パスワードマネージャーを利用することで基本的にはセキュリティレベルは高くなるが、管理していたパスワード情報が何かのきっかけで失われたり、突然パスワードマネージャーが利用できなくなったりする可能性もゼロではない。そういった場合に備えて、バックアップ機能があるサービスでは保存情報をエクスポートするなど、いざという時のために重要なログインID・パスワード情報のバックアップを取っておくようにしたい。
その場合、バックアップファイルにもパスワードを設定することを忘れてはいけない。
ここまでパスワードマネージャーの基本的な内容について紹介した。
本記事をきっかけにパスワードマネージャーを導入してみようと思ったのであれば、ぜひ各社のパスワードマネージャーについてご自身でも情報収集してみて欲しい。また、パスワードマネージャーを利用しない人も、改めてパスワード管理について目を向けてみると良いだろう。
なお、本記事では説明していないが、多要素認証(MFA)も推奨しているので、興味があれば調べてみて欲しい。パスワード管理の見直しが、セキュリティ環境の向上につながれば幸いだ。
内部記事リンク:セキュリティを高めるために知っておくべきパスワード管理の基本
https://eset-info.canon-its.jp/malware_info/special/detail/200225.html
からの記事と詳細 ( パスワードを安全に管理するパスワードマネージャーの必要性とその注意点 - ASCII.jp )
https://ift.tt/7YebXiI
No comments:
Post a Comment