こんにちは、バックエンドエンジニアのKazです。
今回は「パスワードマネージャー」と呼ばれる種類のアプリケーションやサービスを用いて、会社などで安全にパスワードを保管し、管理し、共有する方法を考えていきます。
目次
パスワード管理の必要性
さて、突然ですがこの記事をご覧の皆さまに質問があります。
- 共通のパスワードや暗証番号を使い回している
- パスワードを付箋や手帳などに書き残している
- 会社で使っているパスワードがバラバラに保存されていて探すのが大変
- めんどくさいのでブラウザーなどで「パスワードを保存」している
- パスワードをそのままメールやチャットで受け渡ししている
- ExcelやWikiにパスワードを書いて保存・共有している
これに一つでも思い当たる方は、パスワードの管理方法を見直すことをおすすめします。
パスワード管理のさまざまなリスクと・パスワードマネージャーによる解決
共通パスワードの廃止
複数のWebサービスなどでパスワードを使い回している場合、一つのパスワードが漏洩するだけですべてのサービスに侵入されてしまいます。
あるいは利用者全員がパスワードを厳重に取り扱っていたとしても、パスワードを利用しているサービスが攻撃を受けてしまいパスワードが漏出するという事件も多々発生しています。その場合も共通パスワードを使っていると、他のサービスにたちまち影響が及んでしまいます。
これを防ぎ安全性を保つためには、パスワードはサービスごとに個別に設定するのが基本となります。
とはいえ実運用を考えると「複数のパスワードを管理するのも面倒だしいちいち覚えていられない」「社員間で共有・管理するのが大変」という実情もあります。ここで活躍するのがパスワードマネージャーなのです。
パスワードマネージャーを使うと、これらの複数サービスのパスワードを一箇所にまとめて管理し、安全に保管・利用することができるようになります。
暗号化
パスワードを安全に取り扱う上で、最も重要となるのが暗号化です。
たとえば会社のパソコンにパスワードを付箋で貼ってある状況を想像してみてみましょう。こうした「保管」方法は往々にしてありますが、その危険性は一目瞭然です。
たとえば付箋を貼ったのが会社のオフィスのパソコンであれば、付箋の内容を見れる(つまりパスワードにアクセスできる)人間は会社の関係者に限られるため、一定のセキュリティーは担保できるかもしれません。しかし空き巣が入った場合や、来客や工事業者などが入室した場合、これらの生のパスワードはたちまち漏洩してしまいます。
これはデジタルデータでも同じで、たとえばパスワードを記載したExcelファイルの誤送信やUSBメモリーの紛失、社内Wikiを格納したサーバーへの攻撃、ウイルス感染した端末からのデータ盗み出しなど、パスワード漏出の可能性は数多くあります。
こういった万が一の場合に備え、たとえ付箋の内容が見られても中身がわからないようにしておくのが 暗号化 となります。
企業に限らずパスワードを安全に記録し保存しておくためには暗号化が欠かせません。万が一ファイルが漏洩してもパスワードマネージャーを使っていれば、すべてのパスワードを暗号化し安全に保管することができます。
パスワードの集中管理
企業をはじめ、複数人でパスワードを扱う場合は集中管理も必要になってきます。
たとえば施設の鍵をまとめて保管しているキーボックスを想像してみてください。キーボックスにすべての鍵が保管されていれば管理も検索も簡単ですが、仮に職員がそれぞれバラバラに鍵を持っていたとしたら、いちいち探すのも大変です。あるいはキーボックスのかわりにもし全職員が合鍵を持っているような場合は、だれかが鍵を紛失しただけで錠前の交換が必要となり、それに伴い全職員に個別に新しい鍵を発行する必要が出てきます。
デジタルにおいては、担当者ごとにバラバラにログイン情報を持っていたり、逆にアカウントを共有していたため一人の情報が漏れただけで全員に新しいパスワードを通知しなければならないといったケースが往々にして発生します。
このように企業でパスワードを保管・管理する上ではキーボックス同様の 集中管理 が重要になってきます。ここでパスワードマネージャーがあれば、登録したパスワードを共有することで一箇所で鍵を安全に保管・管理できるようになります。
権限管理
複数人でパスワードを共有する上では、権限管理も欠かせません。
たとえば集中管理により鍵をまとめて保管したとしても、システム部の職員以外にサーバールームの鍵を貸与すべきではありませんし、人事情報を収納した棚を一般社員に開けられてしまうと大問題になり得ます。
パスワードはこれらの鍵と同じく一般的に認可(アクセスの承認と許可)のトリガーにもなるので、利用者の役割に応じた適切な権限管理が必要になってきます。チーム管理に対応したパスワードマネージャーを利用すれば、個人やグループ単位で細かいアクセス制限を行うことができるようになります。
保全
複数のパスワードを1箇所で集中管理するということは、そのパスワードが失われないようにデータを適切に保全する必要があります。
たとえばパスワードを紙に書いてファイリングしている場合を想像してみましょう。この場合ファイルそのものを紛失してしまったり、オフィスが火災になったりしてしまうと書かれたパスワードがすべて消失してしまいます。これを防ぐためには、ファイルを複写して一方は貸金庫に、もう一方はオフィスの耐火金庫に入れるといった運用が考えられます。
デジタルとなるパスワードマネージャーでも、これと同じくデータの保全は必要となります。たとえばパソコン上のみにデータを保存するタイプのパスワードマネージャーであれば、バックアップファイルを書き出すことで複製は可能です。しかしこのバックアップファイルを安全な場所に保存しようとすると、USBなどに保存して遠隔地に保管するなどというのはあまりにも面倒になってきます。
この解決策として、近年ではクラウド管理タイプのパスワードマネージャーが台頭してきています。クラウド管理であれば、必要なデータはすべて堅牢なデータセンターに保管され、また適切にバックアップが取得されているため、なにも手間を掛けることなく適切なデータ保全が実現されます。
イージーアクセス
パスワードを管理する上では、仕事の邪魔とならぬよう簡単にパスワードを利用できるようにしておくのも理想です。
鍵の管理を厳重にしすぎると、利便性が損なわれることがあります。たとえばロッカーや執務室、社用車などすべての鍵を常に一箇所に保管しなければならない、施解錠後は毎回ただちに鍵を返却しなければならないという規則にした場合、安全性と引き換えに利便性は著しく損なわれてしまいます。
現実のパスワード管理でも、個々のPCへのパスワード保存が禁止されているケースでは、まず保存されているパスワードを探すのに毎回手間がかかったり、その都度IDとパスワードをコピーして貼り付けたりと面倒な手間が発生することになります。
こういう時には、たとえば鍵当番がさっと現れてあなたの代わりに鍵を探し出し、解錠までやってくれればとても便利です。近年のパスワードマネージャーには「検索機能」と「オートフィル」の機能が用意されており、必要なときに1クリックでログインを完了できるようになっています。
どんなパスワードマネージャーがいいのか
選考基準
このようにパスワードマネージャーには複数のメリットがあることがわかりました。次に気になるのは「どんなパスワードマネージャーがいいのか」になります。
その選考基準として、利便性を保ちつつ安全性を確保するという条件で、たとえば下記の要件で絞っていくことが可能です。
- 1.クラウド管理
- データの本体はクラウド上に安全に保管されること
- 2.通信経路の暗号化
- SSLなどを使って通信経路が安全に保護されていること
- 3.クライアントサイドでの暗号化
- 暗号の解除はクライアント (利用者のPCなど) のソフト上で行うこと
- 4.サーバーに暗号鍵を持たない
- 万が一サーバーが攻撃されたり法執行機関の調査が入っても、利用者のパスワードがないと解読できないこと
- 5.多要素認証
- 認証された端末とパスワードでしか利用できない制限を設けられること
- 6.複数種類のデバイス対応
- WindowsやMac、iPhoneやAndroidなどでも利用できること
- 7.権限管理
- 複数ユーザーでの利用と、個別のアクセス権管理が可能であること
- 8.オートフィル
- ブラウザなどでパスワードを簡単に参照・貼り付けできること
代表的なパスワードマネージャー
上記の条件を満たすパスワードマネージャーのうち、代表的なものを挙げておきます。
これらは機能的には非常に似通っており、価格や仕様、使い勝手などを細かく比較しながら最適なものを選択されることをおすすめします。
いずれも細かなセキュリティーの差などはあり、セキュリティー設計のホワイトペーパーなどが公開されているので、セキュリティーを重視されている場合はぜひ。
以前LastPassと1Passwordを比較した際に、両者の多要素認証の仕組みからくる安全性の違いをQiita記事 LastPassの2段階認証よりも、1Passwordのシークレットキーのほうがセキュアかもしれない に記載しましたので、そちらもご参考になれば幸いです。
まとめ
いざパスワードマネージャーを導入しようにも重い腰が上がりづらいかもしれませんが、もし何かあってからでは情報漏洩の損失は計り知れません。企業のIT担当者の方、そんな人はいないけどパスワードはみんな雑に管理してるという方はぜひこの機会にパスワードマネージャーを用いて、パスワード管理を見直してみてください。
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。
