• 情報セキュリティーのプロに聞いた
• パスワードは「長く・複雑に・使い回さない」
• 好きなフレーズからコアパスワードを作る

　サラリーマンの日々をキャラ化した「城崎広告」のメンバーが日頃感じている疑問を、withnews編集部がフカボリ取材する「会社員のモヤモヤ」。3回目は「パスワードを安全かつ分かりやすく管理するコツ」です。

【PR】手話ってすごい！小学生のころの原体験から大学生で手話通訳士に合格

11月3、4日に東京・池袋で開かれたAGF（アニメイトガールズフェスティバル）には城崎広告も参加。ブースに多くのファンが訪れた 出典： バンダイナムコエンターテインメント

【「withnews」×「城崎広告」コラボの経緯はこちら】

今回の登場人物

倉知蓮
事業推進部所属の26歳。独特のセンスを発揮するビジュアルデザイナー。趣味はネットサーフィンとアイドル。

 

菅原数臣
37歳の事業推進部部長。経理担当として経験豊富なうえ、ソフトウェア分野にも精通。趣味は数学、ミルクパズル、資産運用。

 

菱乃木賢悟
事業推進部所属の32歳。新たな価値とガジェットを創造し続ける天才肌のメカニック。趣味は工作と家電新製品チェック。

パスワードの管理は業務上必要なことではあるけれど、正直覚えきれないし管理しきれない…。一体どうすればうまく管理できるの？

 

倉知

ちゃんと覚えてられないおれが悪いのはわかっていますけど…。仕事でもプライベートでもパスワード必要な場面が多すぎて…。

 

菱乃木

使いまわしNGが基本だしね！　ボクは記憶力自信あるから余裕だけど、ラクできる方法があったらいいなぁ。

 

菅原

確かに近年、パスワードを必要とするシステムやサービスは増える一方です。業務効率アップのためにも、効果的な管理方法を学びましょう。

情報セキュリティーのプロに聞いた

　インターネット上で利用する様々なサービスには、パスワードの設定がつきものです。悪用されてしまうのを防ぐために、使い回さないようにしたり、必要に応じて変更したりするのが鉄則ですが、忘れてしまったり面倒だったりして、思うように管理できていない人もいるのではないでしょうか？　情報処理推進機構（IPA）の加賀谷伸一郎さんに、パスワードを安全かつ分かりやすく管理するコツを聞きました。ポイントは「コアパスワードの作成」です。

情報処理推進機構の加賀谷伸一郎さん

まだまだ低い、セキュリティーへの意識

　経産省所管の独立行政法人として情報セキュリティー対策を手がけるIPAは、毎年の意識調査でパスワードの設定方法についても尋ねています。全国の13歳以上の男女5千人（サンプル）を対象にした昨年の調査では、以下の項目で半数を超えているものがなく、セキュリティーへの意識がまだまだ低いことがうかがえます。

・パスワードは誕生日など推測されやすいものを避けて設定している…47.0%
・パスワードはわかりにくい文字列（8文字以上、記号を含む）を設定している…46.0%
・サービス別に異なるパスワードを設定している…26.9%

　また、パスワード管理アプリ会社「Keeper」は、昨年よく使われていたパスワードを25位まで紹介しています。1位「123456」、2位「123456789」と続き、3位は「qwerty」。これはパソコンのキーボードを「Q」から右に打ち込んだものです。その後も規則性ある数字やキーボードの配置を使った、「分かりやすい」パスワードが上位に入っていました。

 

 

やっぱりみんな苦労しているんだね！　それにしても、安直すぎるパスワードじゃ設定する意味ないんじゃないかと思うけど。

 

 

でも気持ちはわかります。おれも仕事用はともかく、プライベート用のパスワードとか下手すると上位25位に入っているかも…？

パスワードは「長く・複雑に・使い回さない」

　加賀谷さんは破られにくいパスワードの条件として①できるだけ長く②できるだけ複雑に③使い回さない、の三つを挙げます。「三つそれぞれが、不正アクセスへの対策となっています」

　できるだけ長くは文字通り、「パスワードの文字数制限まで長く」と加賀谷さん。これはあらゆるパスワードのパターンを全て試してくる「総当たり攻撃」に対するもので、長ければ長いほど、解読されるリスクは減ります。

　複雑にするのは、「辞書攻撃」を防ぐためです。「1234」のようなパスワードで使われそうな文字列を機械的に試す辞書攻撃には、単語をそのまま使ったり、規則的になったりしないような防御が必要です。

　対策が急がれているのは「使い回さない」です。「リスト攻撃」と呼ばれる、1度流出したパスワードを使って、他のサービスへのログインを試みる不正行為が近年増えています。「悪用する側も1度試せばいいだけなので、サービス側が攻撃を受けていると認識しづらく、対策が難しい」。リスト攻撃の自衛策として、サービス別にパスワードを設定することが有効になってきます。

 

 

「長く・複雑に・使い回さない」の三つの原則は、パスワード本来の目的を鑑みても重要なものと理解できます。城崎広告の情報管理責任者として各種攻撃に対する対策は日々行っていますが、やはり各ユーザーのリテラシーを高めることが基本です。

 

 

システムの穴って結局人間だったりするんだよね。でも、れんれんはこれをちゃんと守ろうとしてパンクしちゃっているみたいだけど？

啓発の苦情がないということは…

　こうした啓発を長年続けている加賀谷さんですが、「設定が面倒だ」というような苦情は一度もないそうです。その理由を「おそらく試す人が少ないんでしょう……」とちょっぴり残念そうに分析します。

　とは言っても、いつ不正アクセスの被害にあうか分かりません。そこでIPAは昨年、ちょっとした工夫でパスワードの使い回しを回避する方法を打ち出しました。それが「コアパスワード」の作成です。

 

 

…耳が痛い。菅原さんが厳しいし、直属の上司だから今は言われたとおりに努力しているけど、前はほんといい加減だったから…。わかっちゃいるんですけどね。

 

 

面倒を理由に試されなければ、せっかくの原則も無意味です。その対策の一手である「コアパスワード」、ぜひ詳しく聞かせてください。

好きなフレーズからコアパスワードを作る

　コアパスワードはまず、日本語のフレーズを決めるところから始めます。「自分が好きで、覚えやすい言葉で構いません。それをローマ字に変換します」と加賀谷さん。

　例えば「テレビが好き」という言葉は、「terebigasuki」に置き換わります。これがコアパスワードです。そこから、「ga」を「GA」にするなど一部を大文字にしたり、「!」のような記号を追加したりして、「terebiGAsuki!」というようなより破られにくいワードにすることもできます。

コアパスワード作成の例。数字を足すことで、さらに強固にすることができる 出典： 情報処理推進機構

　コアパスワードができたら、次は活用です。使うサービスの略称や頭文字から、「abc」などの短い文字列を作ります。その文字列をコアパスワードの冒頭か終わりにつけて「abcterebiGAsuki!」とすれば完成です。後はサービスごとに文字列を変えるだけでオリジナルのパスワードが作れます。

コアパスワードの活用例 出典： 情報処理推進機構

 

 

これ楽しくていいね！　ボクなら「kaizosaiko」で「kaiZOsaiKO!」みたいな感じ？

 

 

それってもしかして「改造最高」って意味ですか？

 

 

うん！　れんれんも、自分が好きなコトだったらそう簡単に忘れないでしょ？

分けて管理でリスク軽減

　作成したパスワードは管理の仕方にもポイントがあります。短い文字列の方は、サービス名と一緒にエクセルなどに記入。一方、コアパスワードは紙に書いて財布などに入れておくなど「アナログ」です。

　「こうして分けておけば、紛失した場合でも、その情報だけでは悪用されず、不正利用の被害を防げます」

　また、パスワードの作成などが便利な管理ツールを使うのも選択肢の一つですが、その際は、「端末であれば壊れたりしたときなどにバックアップができるか、ソフトウェアであれば信頼できる提供元かをよく見極めてから選んで欲しい」と話しました。

 

 

なるほど。「コアパスワード」とサービスごとの短い文字列の組み合わせという法則を設定するからこそ、それらを別々に管理することでセキュリティーを飛躍的に強化できるというわけですね。

 

 

すごい…。これなら、おれでも何とかなる気がしてきた。

まずはいくつあるかを知ることから

　コアパスワードを活用すれば簡単にパスワードを作成、管理もしやすそうですが、それでも一つ一つとなると、やっぱり面倒かもしれません。数年前に自分のパスワードを調べたときに200以上あったという加賀谷さんは、「パスワードの重要度に応じて、パスワード管理に差をつけるのも、賢く管理する方法の一つ」と話します。

　銀行やショッピングサイトのような「お金」に関するサービスや、Yahoo!メールやGmailといったメールのような「絶対に破られてはいけない」パスワードは、もちろん同じものを使わないようにします。それ以外で、不正アクセスをされた時に実質的な被害がなさそうなサービスについては、「強固なパスワードを一つ決めて、使い回すという選択肢もあるのでは」と話します。

　まずは「自分がいくつのパスワードを使っているかを知ることが大事」と話します。これを機会に一度、利用しているサービスの点検をしてみませんか？

 

 

これほんとそれな、って感じです…。限定グッズの申し込みとか、チケットの抽選申し込みとか、いちいち別サービスになっているから、ほんと無限にパスワードが増えてくんですよ…。

 

 

ということは、れんれんの場合は全部決済関係だから、使い回しはほんと命取りだね！

 

 

ぜひこの機会にリスト化することを推奨します。

iPhoneもちょっとした工夫でより安全に

　最後にiPhoneのロックについても、ちょっとした安全対策の工夫を教えてもらいました。ロック解除のパスワードを「○○○」からフォーム入力にするもので、フォーム入力にすれば何桁のパスワードかが識別されにくくなります。「設定」から「Touch IDとパスコード」→「パスコードを変更」→「パスコードオプション」と選び「カスタムの英数字コード」または「カスタムの数字コード」を選択します。

　「カスタムの英数字コード」は、4桁以上の英字もしくは数字もしくは英数字混合の設定が可能です。英字もしくは英数字混合の場合は、桁数によらず、「○○○」 のような入力形式ではなく、フォームに入力することになるので、パスワードが何桁なのか分かりにくくなります。数字のみの設定でも、7桁以上であればフォームによる入力形式。「カスタムの数字コード」でも7桁以上であれば「○○○」といった入力形式ではなくなります。

　数分で設定ができるので、一度試してみてはいかがでしょうか。

 

 

え、そんなことできたんだ…初耳。せっかくだから設定してみます。

 

 

ボクは当然設定済みだよ！

 

 

ふむ、今回の取材は倉知君にとって極めて有意義なものとなったようですね。ありがとうございました。

取材を終えて～「城崎広告」より～

 

 

さっすが、プロのやり方はさえてたね！

 

 

「コアパスワード」はほんと、目から鱗でした。絶対に忘れない文字列なら、おれ自信ある候補いっぱいあるんで。

 

 

セキュリティーに関わりますので詳しくは聞きませんが、倉知君の好きな文字列というと、やはり「kibori（木彫）」は入るのでしょうか？

 

 

いやいや「chokokuto（彫刻刀）」の方かもよ？

 

 

どっちも違います。そこは「嫁」と「推し」と「担当」の名前を組み合わせます。絶対忘れないし、打ち込む度に幸せになれるし。

 

 

「嫁」ですか。倉知君、妻帯者だったのですね。では家族情報の登録内容を修正いただきたいのですが。

 

 

違うよ数臣クン！　れんれんの「嫁」って画面の向こうにしかいないんだよ！

 

 

そんなことないです、最近はライブだって舞台だってあります。

 

 

…家族情報の変更が不要であることは理解しました。

「会社員のモヤモヤ」パスワードの安全・便利な管理方法は？

1/17枚