「ネットショップ」「オンラインバンキング」「SNS」など、私たちは多くのインターネットサービスを利用する際にオンラインアカウントを利用しています。これらのオンラインアカウントにログインするために必要となるのが、パスワードです。
アカウントのパスワードが多すぎたり複雑すぎたりして、管理に大変な思いをしている人も多いのではないでしょうか。
しかし管理が大変だからといって簡単なパスワードを使い回していると、「アカウント乗っ取り」「情報漏洩」などの危険性が高まります。
パスワードを手軽かつ適切に管理するためにおすすめしたいのが、パスワードマネージャーの活用です。
この記事ではパスワードマネージャーの安全性や必要性について解説します。パスワードマネージャーの選び方や種類についても紹介しますので、最後まで読んでいただければパスワードマネージャー導入に向けて行動できるはずです。
関連記事:アカウントの意味とは?適切に管理し運用していく方法とは
目次
パスワードマネージャーとは
パスワードマネージャーの役割については、「名前からなんとなく想像はできるものの、具体的な機能についてはわからない」という人も多いでしょう。
この章では、パスワードマネージャーの機能・仕組みや安全性について解説します。
パスワード管理ツール
パスワードマネージャーを一言で説明すると、「スマホ・パソコン上で使われる、WebサービスのログインIDとパスワードを管理するツール」となります。
パスワードマネージャーは、さまざまなオンラインアカウントのログインIDとパスワード情報を、クラウドやローカル(スマホやパソコンなどのデバイス)に保存して管理するのが主な機能です。
他にも、以下のような機能が備わっているものもあります。
パスワードの自動入力 | サービスのログイン画面で入力欄をクリック(タップ)すると、(認証などを経て)自動的にログイン情報が入力される |
パスワードの自動生成 | 新しいアカウントを作る際、強力なパスワードを自動生成する |
クレジットカード情報の保存 | IDやパスワードだけではなく、クレジットカード情報なども保存する |
パスワードチェッカー | 「情報漏洩などでパスワードにセキュリティ上の問題が起きている」「既存パスワードの安全性が低い」などを判断する |
装備されている機能は、パスワードマネージャーによって異なります。
関連記事
・クラウドとは!今更聞けない初心者でも分かる意味を解説!
・デバイスとは?意味や種類、関連用語を解説します
マスターパスワードで管理する
各アカウントのログインIDとパスワードを管理しているパスワードマネージャーそのものにも、パスワードが必要です。
パスワードマネージャーのパスワードは「マスターパスワード」と呼ばれ、「パスワードマネージャーのロックを解除する時」「保存したパスワードのデータをバックアップする時」などに必要となります。
パスワードマネージャーを使用する際、マスターパスワードさえ覚えておけば、各サービスにログインするためのIDやパスワードを覚えておいたり、メモに残しておく必要はありません。
マスターパスワードは各サービスのIDやパスワードを保護するものなので、とても重要です。だからこそ、強力でありながら忘れにくいパスワードであることが求められますし、紛失や漏洩のないようしっかり管理する必要があります。
マスターパスワードの桁数が長いほど、パスワードクラック(パスワードを割り出すこと)されにくくなります。推奨される桁数はパスワードマネージャーによって「10桁」「12桁」「16桁」などさまざまなので、利用するパスワードマネージャーの推奨桁数に従いましょう。
マスターパスワードの代わりに、指紋認証や顔認証といった生体認証を用いてパスワードにアクセスできるパスワードマネージャーもあります。
信頼できるツールを選べば安全
パスワードマネージャーには「ログインIDとパスワード」「クレジットカード番号」などの重要な情報を預けるため、利用にあたり安全性を心配する人も多いでしょう。
しかし、信頼できるツールを選べば安全に利用できます。パスワードマネージャーのソフト・アプリを提供している会社が、利用者のパスワードにアクセスすることもありません。
ただし情報漏洩を防ぐためには、セキュリティ対策が適切に施されていて信頼できるパスワードマネージャーを選ぶことが重要です。
なぜパスワードマネージャーが必要なのか
現在パスワードマネージャーを利用していない人は、パスワードマネージャーの必要性に疑問を感じているかもしれません。
この章では、パスワードマネージャーの必要性について解説します。
複雑なパスワードを覚えられない
まずは「パスワードマネージャーなしでは、複雑なパスワードを覚えられない」という問題があります。
各オンラインアカウントでは、セキュリティを強化するため、一定の長さ以上かつ「数字」「アルファベットの大文字と小文字」「記号」を組み合わせた複雑なパスワードが求められるケースが多くなっています。また、長いパスワードであっても、「利用者本人の誕生日」「名前」など、推測しやすいパスワードは避けるよう条件付けられるケースもあるでしょう。
こうした条件付けをされる理由としては、パスワードが長く複雑で推測しにくいものであるほど、悪意のある第三者がパスワードを割り出すまでに必要とする時間が長くなり、パスワードクラックされにくくなることが挙げられます。
しかし、上記のような条件を満たすパスワードは、利用者本人でも考えたり覚えたりするのは大変です。
パスワードマネージャーを使えば、安全なパスワードを自動生成したうえで保存してくれます。利用者はマスターパスワードさえ覚えておけばいいので、各アカウントの複雑なパスワードをいくつも覚える必要がなくなるのです。
パスワードの使い回しを防ぐ
パスワードマネージャーを利用することで、パスワードの使い回しも防げます。各サイトにそれぞれ違うパスワードを設定し、保存できるためです。
長くて複雑なパスワードを使っていても、パスワードを複数のサイトで使い回していては、危険度が高まります。もしひとつのサイトであなたのログインIDとパスワードが漏洩した場合、悪意をもった第三者は、他のサイトでも同じパスワードが使えるか試す可能性が高いためです。
つまり、パスワードを使い回していることで、情報が漏洩したサイト・サービスだけではなく、他のサイト・サービスにも悪影響が出てしまう可能性があります。
パスワードマネージャーを利用してパスワードの使い回しを防ぐことで、もしひとつのサイトがサイバー攻撃の被害を受けた場合も、影響を受ける範囲を最小限に留めることが可能です。
パスワードマネージャーの主な種類
パスワードマネージャーは大きく4タイプに分かれます。それぞれの種類について紹介します。
ブラウザ
まずは「ブラウザベースのパスワードマネージャー」と呼ばれるものがあります。ウェブブラウザに標準搭載されているものや、拡張機能として利用できるパスワードマネージャーのことです。
代表的なブラウザベースのパスワードマネージャーとして、Google Chrome内蔵の「Googleパスワードマネージャー」があげられます。
Googleパスワードマネージャーでは、同じGoogleアカウントでログインしていれば、パソコンでもスマホでもパスワードにアクセス可能です。ブラウザ内蔵型なので、別途アプリをインストールする必要もありません。
Googleパスワードマネージャーの使い方
1. Chromeのメニューから「パスワードと自動入力>Google パスワード マネージャー」に進む
2. Google パスワード マネージャーの設定画面から「パスワードとパスキーを保存するか確認する」「自動ログイン」を有効化
3. パスワードの作成・入力画面で「パスワード候補」や「パスワードを保存するかのメッセージ」が表示されるようになる
ブラウザベースのパスワードマネージャーはログイン作業を楽にしてくれる反面、「サイバー攻撃のリスクが高い」など、セキュリティ面での懸念が指摘されているのも事実です。
ブラウザベースのツールを利用する場合は、以下のような点に注意しましょう。
● ブラウザを最新の状態に保つ
● デバイスから離れるときは、サインアウトする
● セキュリティソフトを導入する
● 各アカウント(Webサイト)へのログイン時に二段階認証を活用する
関連記事:ブラウザ(browser)とは?意味や種類、仕組みを解説
クラウド
ログインIDやパスワードなどの情報を、暗号化されたクラウド上のデータベースに保存するのが、クラウド型のパスワードマネージャーです。
各アカウントのログイン画面でIDとパスワードの候補が表示され、利用者が適切な候補を選んでマスターパスワードを入力することで、ログインできる仕組みとなっています。
データはクラウド上に保存されているため、パソコンで保存したパスワードをスマホやタブレットで呼び出すことも可能です。例えばひとつのデバイスを紛失しても、別のデバイスからアクセスできます。さらに自動同期機能が付いているものが多く、パスワードを常に最新の状態に保てる点もメリットといえるでしょう。
クラウド型のパスワードマネージャーの例は以下の通りです。
● RoboForm(ロボフォーム):提供元Siber Systems社
● 1Password(ワンパスワード):提供元AgileBits Inc
● Bitwarden(ビットウォーデン):提供元8bit Solutions LLC
● Trend Micro(トレンドマイクロ) パスワードマネージャー:提供元トレンドマイクロ株式会社
● ノートンパスワードマネージャー:提供元Gen Digital Inc.
パスワードマネージャーによって料金は異なり、例えばノートンパスワードマネージャーは無料で使えます。
ローカル
ローカル(ローカルホスト)タイプのパスワードマネージャーは、パソコンやスマホにインストールして使用します。IDやパスワードなどのデータはデバイスに保存されるため、オフライン環境でも使用可能なのが特徴です。そのため「オフライン型」と呼ばれることもあります。
各アカウントへのログイン時は、クラウド型と同じように、表示される候補から適切なものを選びます。
ローカルホスト型のメリットは、データがローカルに保存されるため、オンライン攻撃によるデータ漏洩のリスクが低くなることです。
ただし、デバイス間での同期には手動での操作が必要となります。こうした作業が少々手間に感じる人もいるでしょう。またデバイスが故障したりデバイスを紛失したりした際にバックアップを取っていなければ、パスワードにアクセスできなくなる点もリスクです。
ローカルホスト型のパスワードマネージャーには「Enpass」「True Key」などがあります。
OS
OS(WindowsやmacOS)に標準搭載されているパスワードマネージャーもあります。Windowsの「資格情報マネージャー」や、macOSの「キーチェーンアクセス」が該当します。
資格情報マネージャーは、ローカルにデータを保存するタイプとなっています。
一方キーチェーンアクセスはクラウド(iCloud)上にID・パスワード情報を保存するので、MacとiPhoneでパスワードのデータを同期可能です。
パスワードマネージャーを使用するメリット
パスワードマネージャーを使用するメリットを紹介します。
セキュリティの向上
パスワードマネージャーを利用することで、セキュリティが向上します。
パスワードの使い回しを防ぎ、複雑で長いパスワードをサイトごとに生成できるようになることが理由です。また、セキュリティ度を高めるため、ワンタイムパスワードを発行して二段階認証をかけるタイプのパスワードマネージャーもあります。
パスワードマネージャーは「パスワードを安全に保管する」という面でも、優位性があります。
パスワードは「紙の手帳」や暗号化されていない「エクセル」「メモアプリ」などでも管理可能です。しかし上記のような方法では、「紛失」「うっかりデータを消してしまう」「盗み見される」といった可能性も否定できません。一方、クラウド型のパスワードマネージャーであれば紛失や盗難のリスクは軽減されます。
ただし、ブラウザベースのパスワードマネージャーなどに関してはセキュリティ面での懸念が指摘されています。そのため「セキュリティ向上ができるのは、セキュリティを考慮して設計されているパスワードマネージャーを使う場合のみ」と言えるでしょう。
デバイスを問わず使用できる(クラウド型)
クラウド型のパスワードマネージャーであれば、デバイスを問わずに利用できるので、Webサイト利用時の利便性が高まるというメリットもあります。
デバイス問わずパスワード管理が楽になり、ログイン時に各サイトのIDやパスワードを手入力する手間もなくなるため、作業効率がアップします。
パスワードマネージャー使用のデメリット
パスワードマネージャーを使用するデメリットを紹介します。
情報漏洩の可能性がある
パスワードマネージャーそのものにも、情報漏洩の可能性があります。パスワードマネージャーもアプリであり、サイバー攻撃で狙われる可能性があるためです。
またパスワードマネージャーのマスターパスワードを第三者に知られてしまうことでも、情報漏洩の危険性があります。
サービス終了の恐れがある
パスワードマネージャーにはサービス終了・サポート終了の可能性があります。サービスが終了すると、保存したパスワードにアクセスできなくなり、各サイトにログインできなくなります。
通常、サービスが終了される場合は前もってお知らせがあるものですが、突然終了する可能性もゼロではありません。
またパスワードマネージャーに不具合が発生し、一時的に使えなくなってしまった事例もあります。大規模・深刻な不具合であれば、影響が長期に及ぶことも考えられるでしょう。
上記のようなリスクを軽減するためには、データのバックアップを取っておくなど、パスワードマネージャーだけに頼らないような管理方法が必要です。
パスワードマネージャーの選び方
信頼できるパスワードマネージャーの選び方を紹介します。
セキュリティ機能に信頼性があるか
まずはセキュリティ機能の信頼性をチェックしましょう。具体的には、以下のような機能が付いているパスワードマネージャーをおすすめします。
● パスワードの高度な暗号化
● ゼロ知識アーキテクチャ
● 二段階認証
● 生体認証機能
● ロックアウト機能
ゼロ知識アーキテクチャとは・・・
ユーザーだけがデータへのアクセスや解読ができるようにする機能。ユーザー以外がデータを覗き見ることができなくなるというもの。
ロックアウト機能とは・・・
一定時間操作しないと、自動的にパスワードマネージャーにロックがかかる機能。
パスワードの自動生成といった便利な機能だけではなく、セキュリティ面を重視して選ぶことをおすすめします。
暗号化がされるか
ほとんどのパスワードマネージャーは、IDやパスワードを暗号化して保存します。その中でも、できるだけ安全性の高い高度な暗号化技術を使っているパスワードマネージャーがおすすめです。
現在最高レベルの安全性とされているのはAES-256暗号化で、大手・有名どころのパスワードマネージャーの多くが採用しています。暗号化のアルゴリズムの1つであるAES-256暗号化は、アメリカ国立標準技術研究所により政府標準として認められているものですから、信頼できるものと考えていいでしょう。
安全なパスワードが生成されるか
パスワード自動生成機能で安全なパスワードが生成されるかどうかも重要です。
安全なパスワードとは、長く、数字・記号・大文字・小文字を組み合わせた複雑なもので、かつ名前や一般的な単語などの推測しやすい内容を含まないものとされています。
文字数についてはさまざまな意見がありますが、内閣府サイバーセキュリティセンターでは「ログイン用パスワードは10桁以上が安全圏」としています。
参考:『パスワードは何桁なら大丈夫?』|内閣府サイバーセキュリティセンター
パスワードマネージャーの中には、利用者が自分で考えたパスワードの安全性を評価してくれるものもあります。自分でパスワードを決めたい場合は、安全性を評価してくれる機能があると安心です。
多段階認証(MFA)があるか
マスターパスワードが漏洩した際にIDとパスワードを守るため、多要素認証に対応しているパスワードマネージャーを選ぶことも重要です。
多要素認証とは・・・
「パスワードなどの知識情報」「指紋などの生体情報」「携帯電話などの所持情報」のうち2つ以上を組み合わせて認証する方法。身近な例だと、「ATMにキャッシュカード(所持情報)を入れたうえで、暗証番号(知識情報)を入力する」のも多要素認証。一方「パスワード(知識情報)」と「秘密の質問(知識情報)」の組み合わせは知識情報同士を組み合わせているため、二段階認証だが多要素認証(二要素認証)ではない。
多要素認証機能が付いているパスワードマネージャーだと、ログイン画面でマスターパスワード(知識情報)を入力後、以下のようなアクションが必要となります。
● 指紋認証(生体情報)
● 顔認証(生体情報)
● スマホのSMSに送信されるコードの入力(所持情報)
● トークンに表示されるコードの入力(所持情報)
マスターパスワードだけでは認証できなくなるため、マスターパスワードが漏洩しても、各サイトのIDとパスワードを守れます。少し面倒に感じるかもしれませんが、セキュリティを高めるためには重要です。
安全なパスワードとは
パスワードマネージャーの利用と同時に、パスワードそのものの安全性・強度を高めることも重要です。安全なパスワードの条件について解説します。
同じパスワードを使わない
まずは「各サイトにそれぞれ個別のパスワードを設定すること」「他のサイトで使っているパスワードを使い回さないこと」が大切です。
あなたが利用しているサイトがサイバー攻撃を受けてパスワードが流出した場合、IDとパスワードの情報はリストとして保管され、他のサイトに「パスワードリスト攻撃」をかける際に使われる可能性があります。
パスワードリスト攻撃とは・・・
あるサイトで流出したIDとパスワードのセットを、他のサイトで試す攻撃方法。IDとパスワードのリストは、ダークウェブ(闇サイト)で売買されている。
パスワードリスト攻撃を受けたとき、同じパスワードを使い回していると、不正ログインの被害が拡大すると考えられます。
実際にパスワードの使い回しをしている人は多いのですが、「パスワードの使い回しは危険な行為である」という認識が必要です。
定期的にパスワード変更をする
定期的なパスワード変更も、パスワードを安全に保つためには重要です。日本の総務省は「十分な強度があるパスワードであれば、定期変更は不要」としていますが、実際にはパスワード変更が役に立つ場面もあります。
参考:『国民のためのサイバーセキュリティサイト 安全なパスワードの設定・管理』|総務省
例えばサイバー攻撃やセキュリティ通知に気づかなかったり、サイバー攻撃があったことが公表されなかったりする可能性も考えると、定期的なパスワード変更が役立つこともあると考えられるでしょう。
長期間変更されていないパスワードがあると警告する機能や、パスワードを設定してから一定期間経つと自動でパスワードを変更してくれる機能を備えているパスワードマネージャーもあります。
もちろん、サイバー攻撃でパスワードが流出した可能性があるときには、迅速なパスワード変更が必要です。
複雑なパスワードを設定する
安全なパスワードの条件は、複雑で長いことです。
パスワードを長くすることで、サイバー攻撃のひとつである「ブルートフォースアタック(総当たり攻撃)」が成功しにくくなるためです。
ブルートフォースアタックとは・・・
考えられるパスワードの組み合わせをすべて試す攻撃手法。長いパスワードがかけられているとパスワードの割り出しに時間がかかるため、パスワードが長いほど成功しにくくなる。
また、複雑にすることで、「ディクショナリーアタック(辞書攻撃)」を防ぎやすくなります。
ディクショナリーアタックとは・・・
「一般的な単語」「人物名」など、推測しやすいパスワードの組み合わせを試す攻撃手法。
覚えやすい文字列を使いたい場合は、一部を「大文字」「数字」「記号」に変えたり、「大文字」「数字」「記号」を付け加えたりすると、複雑なパスワードを作りやすくなります。
関連記事
・リテラシーとは?ITリテラシーの意味も含め解説します
・ネットリテラシーとは!意味を分かりやすく解説!
まとめ
各アカウントでセキュリティ向上のために「複雑なパスワード」「使い回しではないパスワード」が求められるようになり、パスワード管理が煩雑になっています。
パスワード管理が煩雑だと感じる場合には、信頼できるパスワードマネージャーを活用するのがおすすめです。パスワードマネージャーを利用することで、安全性の高いパスワードを、楽に管理できるようになります。
おすすめはデバイス間の同期も簡単なクラウド型のパスワードマネージャーです。さまざまな製品がリリースされていますので、コストや備えている機能を比較して選びましょう。