セキュリティ

パスワードマネージャー入門--セキュリティ強化と利便性向上を両立するツール

パスワードマネージャーは、パスワードを安全に保存して簡単に呼び出せるソフトウェアだ。サイバー犯罪がまん延する現代において、重要性が高まっている(2019年8月19日公開、2020年10月26日更新)。

 現代社会に生きていて、オンラインパスワードを1つも持っていない人などいないはずだ。パスワードはあらゆる場所で使われている。非常に広い範囲に浸透しており、米国の平均的なインターネットユーザーは約70〜80種類のパスワードを使っているほどだ。サイバーセキュリティのプロにパスワードについて聞いてみると、1つ1つ異なるパスワードを使用すべきだが、そのための手段はない、という答えが返ってくるだろう。何と言っても、2019年に最も多く使われたパスワードは「12345」で、これに「123456」「123456789」が続く。

 サイバー犯罪がまん延する現代において、これは問題だ。パスワードを1つ盗まれると、パスワード関連の問題が多数発生するおそれがある。ハッカーは電子メールとパスワードを試して一致するものを探し、ウェブサイトに侵入しようとするからだ。

 インターネット上で安全を確保するには、保護の層を1枚厚くする必要がある。2要素認証を使える場面では使うべきだが、安全対策としてやるべきことはそれだけではない。

 パスワードマネージャーが必要だ。

どんなものなのか

 本質的には、パスワードを保管するための暗号化された格納庫だ。パスワードマネージャー自体もマスターパスワードによって保護されている。パスワードマネージャーに保管されているパスワードにアクセスするには、マスターパスワードを知っていなければならず、多くの場合、2つめの認証要素も必要になる。

 パスワードを保管して簡単に呼び出すというだけの使い方もいいが、多くのパスワードマネージャーに備わっている非常に優れた機能は、パスワードを生成する機能だ。パスワードは長ければ長いほど安全性が高く、解読が難しい。パスワードマネージャーは、数字と文字を無作為に組み合わせた非常に安全なパスワードを生成してくれる。

 保存済みのサイトのパスワードを自動入力する機能も、多くのパスワードマネージャーで利用できる重要な機能だ。この機能を使えば、マスターパスワード以外は何も入力しなくていい。また、キーロギングマルウェアによるパスワード窃取を防ぐ効果もある。

 優れたパスワードマネージャーはデータをデバイス間で同期できるため、スマートフォンを使っているときに、デスクトップに保存されたデータにアクセスできなくなる心配はない。

 つまり、パスワードマネージャーは、すべての機密情報を安全で簡単にアクセスできる場所に集約し、デジタルライフの煩わしい作業を引き受けてくれるということだ。

どれくらい安全なのか

 使う価値のあるパスワードマネージャーの多くは、AES-256を利用している。これは一般に、現在利用できる最も強力な暗号化形式の1つと考えられており、その強度は米政府が最高機密情報の送信に利用するほどだ。

 ハッカーにデバイスを攻撃されて、パスワード管理アプリからデータを盗まれる可能性は低く、そのデータを復号化されてしまう可能性はさらに低い。あるセキュリティアーキテクトが、AES-256暗号化を総当たり攻撃で解読する時間を計算したところ、10億年かかることが判明した。ただし、ハッカーにマスターパスワードを知られてしまい、2要素認証を使用していなかった場合は、一瞬でアクセスされてしまう。2要素認証は必ず利用しよう。

 他のテクノロジーもそうだが、パスワードマネージャーも完璧ではない。ハッカーがパスワード管理会社のデータベースにアクセスして、ユーザーデータを盗み出した事例もあり、同様のインシデントが再び起きる可能性は十分に考えられる。

 しかし、注意すべきは、ユーザーのセキュリティが侵害されたインシデントではなく、パスワードマネージャーの代替機能だ。

 たとえば、パスワードをウェブブラウザーに保存する機能について考えてみよう。ほとんどのウェブブラウザーはパスワードを保存するかどうか聞いてくるが、データを保存する方法が全く安全ではない場合もある。

 「Google Chrome」では、「設定」を開いて、「自動入力」項目内の「パスワード」をクリックすると、保存されているすべてのパスワード、ユーザー名、ウェブサイトの組み合わせを確認できてしまう。理論的には、コンピューターにアクセスできて、どこを見ればいいか知っている者なら、誰でもその情報のすべてにアクセスできる。パスワードを閲覧するには、ChromeにログインしているGoogleアカウントのパスワードを知っている必要があるものの、ユーザー名とそれに関連付けられたウェブサイトは確認できるので、アカウントの侵害に必要な作業量は大幅に減る。

 パスワードを紙に書いて保管するのはよくない。これは、すべてのIT担当者がまっさきに挙げる禁止事項だ。同様に、すべてのサイトで同じパスワードを使うのも避けるべきで、これもセキュリティ担当者から注意を受けるだろう。

 パスワードマネージャーは、すべてのインターネットログイン情報を管理する最良の方法だ。いくつか欠点も分かっているが、情報を保護するうえでこれ以上の手段はない。

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する
  2. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  3. APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?
  4. クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?
  5. ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]