改めて安全安心なパスワード管理について考える 〜パスワードの常識を見直す〜

パスワードをメモしても良いですか?

IPA(独立行政法人情報処理推進機構)からパスワードリスト攻撃への対策として、ネット利用者個々のパスワードの使い回しを控えるようにとの呼びかけが行われた。しかし、パスワードリスト攻撃の存在とその被害について報告されて久しく、パスワードの使い回しについても、特に昨年より各所から注意喚起が出されている。では、なぜパスワードの使い回しが続くのか、利用者にとって実効的な対策は何かについて議論する。

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人 JPCERTコーディネーションセンター、代表理事:歌代 和正)は、パスワードリスト攻撃による不正ログインの被害が後を絶たないことから、インターネットサービス利用者に向けて複数のサービスにおいて同じパスワードを使い回さないよう呼びかけます。

出典:プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ、独立行政法人情報処理進行機構 2014年9月17日

パスワードと呼ばれる符合が使われてから半世紀、「パスワードは終わった!」と言われてからも四半世紀近くが経とうとしています。それでも今、パスワードが使われているのです。なぜパスワードが使われるのでしょうか。その理由はただ一つ、それが有する安全性と、その運用に関する費用(手間)を考え合わせた際に最良だからです。ただし、どのようなセキュリティシステムでも、その安全性を保証する為の仮定があります。パスワードでは、それが利用者の高いセキュリティ意識だったのです。利用者のパスワードの管理が最善である場合、パスワードは有効に作用します。しかし、今、そのパスワードを取り巻く状況が大きく変わってしまいました。にも関わらず、パスワードに期待する事、さらにそれを運用することに対して従来と全く変わっていないことが大きな問題なのです。

一番大きく変わった事は利用者のセキュリティ意識です。一般の人がパスワードを多用する事になり、セキュリティ意識が極めて低くなったことです。これによってパスワードの安全性自体の仮定が崩れました。また結果としてパスワードで守るべき資産も増えました。ネット銀行での多額の資産をパスワードだけで守るのは論外としても、広く浅く累積した資産が増えたのです。パスワードを取り巻く環境も大きく変わりました。一昔前に掲げられたユビキタス環境がほぼ整えられているのです。つまり、そのパスワードで運用されるシステムに対して、いつでもどこでも誰でもアクセス(しようと)できるようになったのです。

にも関わらず、パスワードに関する注意事項は四半世紀前と変わりません。8文字以上の推測され難い無意味な文字列を使う事、パスワードを安易にメモなどに残さない事等です。加えて、セキュリティ意識の極めて低い一般の人にとっては、システム毎にパスワードを変えることを強いるのは無理でしょう。

引用:IPAプレス発表パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
引用:IPAプレス発表パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

IPAの調査でもわかるように、一般の人にとって一番の不安はパスワードを忘れてしまう事なのです。これは複数のパスワードを用いる事に対する不安だけではなく、それぞれのパスワードとして8文字以上の推測され難い無意味な文字列を使うことへの阻害要因にもなっています。

もともと、パスワードをメモに残さないように、との指示はネットワーク経由での脅威に比べて、現実社会での脅威、つまりメモの窃盗や紛失の危険性が高く、それが悪用される特定のサーバでのみパスワードが使われる時代での事でした。現在、特に一般の人にとっては、特定されての窃盗や紛失、およびそれが悪用される脅威に比べて、圧倒的にネットワーク経由での脅威が深刻なのです。したがって、パスワードをメモに残さないという過去の常識は、すでに現在の非常識となっているのです。IPAの呼びかけでも、その対策としては以下を上げています。

複数のインターネットサービスを安全に使用するには、異なるパスワードを設定する必要があります。しかし、全てを記憶することは簡単なことではありません。そこで“どのように管理するか”が重要となりますが、一覧表として保持することが現実的な解となります。以下に具体的な方法を例示します。

a. 紙のメモ

IDとパスワードを記載したリストを紙のメモに保持します。IDとパスワードを別々の紙に分けて管理するとより安全です。紙にメモする場合、ネットワーク経由で窃取される危険はありませんが、紙そのものの紛失・盗難の恐れがあります。そのため、第三者が見てもわからないように記載する必要があります。

出典:プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ、独立行政法人情報処理進行機構 2014年9月17日

この紙のメモ以外にも、パスワード管理システムの利用や暗号化された電子ファイルとしての記録が推奨されています。しかし、大多数のセリュリティ意識が極めて低い一般の人にとっては、四の五の言わずに、「一覧表として保持することが現実的な解」であることをさらに単純化して、二つのメモにID(アカウント名)とパスワードを列記し、一つを金庫にしまい、もう一つを肌身離さない手帳に書いて、あるいは肌身離さないスマホや携帯電話の裏に貼付けて利用すれば良いのではないでしょうか。もちろん、これはパスワードのみでセキュリティを確保するという仮定の場合です。当然の事ですが、可能ならば指紋等の生体認証を加えた2要素認証や、トークンやスマホ、あるいは携帯電話によるワンタイムパスワード等の2経路認証を利用するに超した事はありません。

付記:すべての人にとって運用可能で有効なセキュリティ対策というのは有り得ないでしょう。パスワード一つとっても、ユーザ側が安全に利用しようとすれば、パスワード管理システムを、その推奨される設定方法に従って利用するのが賢明です。しかし、誰でもがパスワードを利用するようになった現在、特定のアプリを自分でインストールする事さえ出来ない、あるいは億劫になる人が多いのも事実なのです。