パスワードの管理方法を考えてみる

この記事は約5分で読めます。

現在、様々な業務をクラウド上のサービスを利用して行うことができるようになりました。利便性の向上という面では非常に良い事なのですが、クラウド利用のサービスが増加することで多くのアカウントの管理が大変になる可能性もあります。

そこで今回は業務アカウントのパスワード管理について、例からお進めの方法までご紹介していきます。

同じパスワードを使いまわす

利用するサービスが増えると、同じパスワードを使いまわすことで管理するパスワードの数を減らすという考えに思い至る方もいるかもしれません。確かに、管理するパスワードの数は減らせますが、1サービスでパスワードが漏えいしてしまうと他サービスにも簡単に侵入されてしまうかもしれません。
長くて複雑だったら突破される確率が下がるのではと思う方もいるかもしれませんが、解読されてしまえば終わりなので、同じパスワードを複数サービスで使いまわすことだけは絶対にやめましょう

手帳や紙のメモに記載する

パスワードを記録する上では昔からよく使われている方法かもしれません。またPCのディスプレイなどにアカウント情報を記載した付箋を張り付けているという方もいるのではないでしょうか。

紙に記録する方法を簡単には変えられない場合などもあるかもしれませんので絶対にやめてくださいとは言えませんが、止むを得ずこの方法を利用するのであれば以下のような対策を取りましょう。

  1. アカウント情報・パスワードが記載された紙類は他者からアクセスできない場所(鍵付きのキャビネットなど)に保存する
  2. サービス名・ID・パスワードは別記して簡単にアクセスできないようにする
  3. IDが自分で記憶できるもの(メールアドレスなど)であれば、IDは記載しない

Excelやスプレッドシートのファイルで管理する

手書きでの記録以外に、この方法で管理されている方も多くいらっしゃるのではないでしょうか。

一元的に管理ができることに加え、アクセスされるリスクが低いという点では良い方法かもしれませんが、一覧化されていることによって漏えいした場合アカウント情報がすべて漏れるといったリスクもあります。ですので、この方法を取る場合は以下のような対策を取りましょう。

  1. 第三者からアクセスできない場所に保存する
    • パスワードを管理しているファイルは絶対に第三者にアクセス権を付与しない
    • ローカル保管する場合にも絶対に第三者から簡単に分からない場所に保管する
  2. 記録しているファイルには厳重なパスワードを掛ける
    • ファイルで管理するのであれば、この対策は必須
    • できる限り厳重なパスワードで保護するようにする
    • パスワード記録ファイルのパスワードを付箋に書いて貼るなどは絶対にやめる
  3. サービス名・ID・パスワードは別記して簡単にアクセスできないようにする
    • 紙に記録するのと同様に、仮にファイルを見られても簡単に悪用できないようにする

ブラウザのオートコンプリート機能を使う

普段意識せずに、chromeなどのブラウザからサービスに、自分で入力せずとも自動的にログインしているということはないでしょうか。それは、「オートコンプリート」という機能が関係しています。

この機能は非常に利便性が高く、パスワードの一元管理、また、自動ログインなどができることから利用者も多いと思います。しかし、利便性の一方で大きく2つのリスクをはらんでいます。

1. 平文でパスワードを閲覧できてしまう

実はchromeやfirefoxなどのブラウザでは、設定画面からパスワードを閲覧することができます。つまり、仮にPCを付けたまま一瞬席をはなれたといった場合に、記録されている全てのアカウント情報を閲覧されてしまう可能性があります。

2. 自動ログインできてしまう

自動ログイン自体は便利な機能ですが、もし、共用のPCでオートコンプリート機能を利用した場合や、PCを紛失した場合には、どうなるでしょうか。業務で利用しているサービスに自由にログインされかねません

次に紹介する方法など別の方法でパスワード管理することが可能な場合は、できる限りオートコンプリート機能は無効にしましょう

パスワード管理ツールを利用する

みなさん「1Password」や「LastPass」、「Dashlane」といったツールの名前を耳にしたことはないでしょうか。これらがパスワード管理ツールと呼ばれるものです。
機能としては名前の通り、各種アカウント情報を管理することはもちろん、強力なパスワードの生成機能などが付属しているものもあります。

また、パスワード管理ツール内のアカウント情報を利用するためには一つのマスターパスワードを記憶していれば良いという点も魅力です。
パスワード管理ツール内に保存される情報は暗号化されることからセキュリティ面でも一定の安全性を見込むことができます。ただし、多くの管理ツールが有償のためコスト面で対応する必要があります。

現状、多くのアカウント情報を管理する上では最もおすすめの方法ではありますが、以下の点に注意することでより高いセキュリティ効果を生み出しましょう。

  1. マスターパスワードは複雑で長いものにする
    • マスターパスワードが解読されては本末転倒なので、覚えられる範囲で難解にする
  2. マスターパスワードを第三者がアクセスできる状況で管理しない
    • 付箋に記載して貼り付ける、メモで保管するなどしない
  3. 各サービスのパスワードは生成機能で複雑なものを作る
    • 自らで各サービスのパスワードを記憶する必要がないので、解読されづらい複雑なものを作る

まとめ

今回は、パスワードの管理方法について考えてきました。
現在では数多くの業務がクラウドサービスを利用して行われ、サービス上で取り扱う情報は膨大かつ重要なものになっています。今後も取り扱う情報量や重要度は高まるでしょう。
だからこそ、パスワードをしっかり管理して、情報にアクセスさせないようにするということは情報セキュリティ上、非常に大切なことです。

また、パスワードについて「結局安全なパスワードってどういうものなの?」という記事もありますので、ご一読いただければと思います。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました