Yahoo!ニュース

年末年始に見直したいセキュリテイ:安全なパスワードを作成する

大元隆志CISOアドバイザー
誰にでも実践出来て、安全と覚えやすい実用性のあるパスワード作成方法とは?(写真:CarteBlanche/イメージマート)

 「パスワードは安全なものにしましょう」という呼び掛けはセキュリテイの事故が発生するたびに、マスメディアや職場で注意喚起される。

 しかし、毎年年末に発表される「危険なパスワードランキング」などを見ていると、上位には「12345678」や「password」、「qwerty」といった「推測されやすいパスワード」が毎回含まれており、多少の変動はあるものの大きく変動はしておらず、「単純で危険なパスワード」が多用されている現実を目にする。

 そして幾ら「パスワードを使い回すのはやめましょう」と言われた所で、85%の人がパスワードを使いまわしているという実情もある。

■記憶と分類で実用性のあるパスワードを作成する

 では「安全なパスワード」はどうやって作れば良いのか?筆者が実践しているパスワード運用を紹介したい。筆者はパスワードを記憶と分類で作成している。パスワードを記憶しておく部分と、メモしておく部分に分けることで、サービス毎に異なるパスワードを生成可能で、かつ実用的なパスワードを作ることが出来るようになる。下図にイメージを示す。

記憶と分類で実用性のある安全なパスワード管理を実践する
記憶と分類で実用性のある安全なパスワード管理を実践する

記憶する部分とは「頭の中」だけに存在し、一切メモやパソコンに記録しない部分。この記憶する部分は青字と赤字の部分で作り出すがルールは以下のとおり。

青字部分:好きなものでも何でもよく、思いついた単語等を利用する。例えば今部屋を見渡して目に入ったものや、外に出て目に入ったもの、好きな食べ物や音楽でも何でも良い。この青字部分は全てのパスワードで同一のものを利用し利用しやすいようにする。

赤字部分:ログインするサービスの用途に応じて分類する部分。私用で利用するサービスや会社の設備に利用するパスワード、クレジットカード情報等を含むサービス等といった用途に応じて、記号を決めておく。

 このように分類しておくことで、万が一私用で利用しているサービスで不正アクセスが発生しても、会社の設備にアクセスするパスワードとは異なるものになるので、会社の設備に被害が及ぶのを防止することが出来る。

 なお、分類方法は自由に決めて良いが、多すぎると覚えられなくなるので2~3個程度に分類することを推奨する。

記録する部分:サービス毎に変化させる。サービス名やパスワード作成年等を組み合わせて文字列を作成する。この「記録する部分」は「使い回さない」ことを徹底する。この「記録する部分」はサービス毎に異なるため覚えておくことは不可能なので、メモ帳等に書き出しておく。

当然だが「書き出す」際には「記録する部分」のみを記録し「記憶する部分も一緒に記録しない」ようにしよう

上記のルールによって出来上がった、青字部分と赤字部分と記録する部分を繋げると一つのパスワードが完成する。

■自分は大丈夫という過信

 推測されやすいパスワードや、パスワードの使いまわしが無くならない理由の一つには「自分は大丈夫」という過信があるからだろう。

 しかし、今ではTwitterやFacebookといった巨大IT企業の運営するサービスのIDやパスワードリストセットが販売されていたり、小規模のセキュリテイ対策の甘いECサイトがサイバー攻撃に遭い流出することも日常茶飯事といって良い。こういったケースにおいては「利用者の知らないところ」でIDとパスワードが流出してしまっている。

 もちろん、本物そっくりのフィッシングサイトで利用者自身がID/パスワードを入力してしまい、騙されたことに気づかないケースもありうる。中国語が飛び交うサイバー攻撃者達の集うSNS等ではこういったフィッシングサイトに情報を入力した「日本人の番地まで含んだ住所、氏名、電話番号」を「サンプル」として公開していたりする。

 「自分は大丈夫」と思っていても、利用者の全く関係ない所で情報が漏洩してしまっているのが現実だ。年末年始の休暇を利用して、安全なパスワード作りに挑戦してみてはいかがだろうか? 

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事