パスワードの安全な管理方法｜セキュリティ強化のための対策

様々なサービス、アプリケーションを利用する世の中なので、それを用いるためのユーザー管理、パスワード管理が複雑になってきています。あまりにパスワードが増えてきたので、すべて同じワードにして使っていませんか？それは危険であることと、どうしたらそのリスクを下げれるかについて記載します。

認証・認可とは何か

認証（Authentication）

認証とは、ユーザーが間違いなく本人であることを確認するプロセスです。一番普及しているのはユーザー名とパスワードを使用して本人確認を行う方法です。他にも、指紋認証、顔認証といった生体認証などが使われています。

認可（Authorization）

認可とは、認証が完了した後に、そのユーザーがどのような操作やサービス利用が可能となるか、権限を確認するプロセスです。認可は、特定のサービス利用やファイルへのアクセス許可などをイメージしてもらうとわかりやすいと思います。

パスワードによる認証・認可は最も使われている方法なのですが、以下のような問題があって、セキュリティ侵害の原因にもなっています。

• 設定するパスワードが簡単に推測できてしまうケースも多く脆弱です。
• 様々なサービスやアプリケーションで同じパスワードを使いまわしてしまうと、1つのパスワードが漏洩するとたちまち複数のサービス、アプリケーションが侵害されるリスクがあります。
• 利用するサービスやアプリがどんどんと増えているので、同時に増えていくパスワードの管理が難しくなっています。忘れてしまうこともしばしば起こるでしょう。

パスワードだけではない認証方法の強化

記載したようなパスワードを使った認証プロセスのセキュリティ強化対策のひとつとして、単一の認証情報に任せるのではなく、認証のプロセスを2段階にして行う「2段階認証」があります。2段階認証であれば、攻撃者が1段階目のパスワードを盗んだとしても2段階目の認証を突破することはできず、なりすましや不正アクセスを防ぐことができます。

皆さんもすでにお使いでなじみがあると思いますが、2段階認証は以下のようなものがあります。

厳密には2段階認証の中にも2要素認証という概念があります。

2段階認証というのは、認証のプロセスが2段階の複数のプロセスに分かれていることを指します。一方2要素認証とは、認証のプロセスを2つの異なるカテゴリーの要素で認証することを指します。カテゴリーと要素は「知識情報：知っていること」（例：パスワード）「所持情報：持っていること」（例：スマートフォンやハードウェアトークン）「生体情報」（例：指紋や顔）の3つがあり、このうちの2つのカテゴリーを組み合わせることで本人確認を行います。このうち生体情報が最もセキュリティ上強力とされています。

このように、2段階認証を利用することで、従来のパスワード管理だけを利用するよりもセキュリティが強力になります。いろいろなサービスがこの2段階認証を取り入れていますので、ぜひ利用するようにしてください。

最近はSMSを使った2要素認証は悪用されるケースが出てきており、Evernote、Apple、Microsoft、X、GmailをはじめとしたGoogleのサービスなどもSMS認証を取りやめています。

パスワード管理の強化　設定や保管方法

パスワードの設定・管理方法については、総務省からガイドラインが出ています。

総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト

総務省の政策（行政運営の改善、地方行財政、選挙、消防防災、情報通信、郵政行政など）、組織情報、所管法令、報道資料、会議資料等を掲載しています。

www.soumu.go.jp

パスワードは、他人から推測されず、適度な長さと英文字・数字・記号を混ぜるなど複合的なパスワードを設定しましょう。以前は、定期的にパスワード変更することが推奨されていましたが、最近はむやみに変更を行わないように、見直されています。

また、複数のパスワードを覚えられない、管理できないという点に対しては、パスワードマネージャー（パスワード管理ツール）をうまく使いましょう。自分のパスワードを預けるわけですから、信頼のおけるサービスを選定のうえ、使うようにしてください。

すべての脅威に対して万能な方法というのはありませんので、いずれの方法にしても過信せず、認証情報の取り扱いは注意するようにしましょう。

最後までお読みいただきありがとうございました。当ブログは日常のICTの困りごとを解決するためのノウハウを発信しているサイトです。トップページもご覧ください。