皆さんはドラクエなどのロールプレイングゲーム(RPG)をプレイしたことがあるだろうか? 物語の世界でアイテムを集め魔物などを倒していくアレである。
その世界には鍵がないと入れない部屋や開かない宝箱がある。開けるためには鍵を手に入れるのだ。鍵は店で売っていたり拾ったりで、盗賊の鍵や魔法の鍵、最後の鍵なんてものもあったりする。しかし、RPG世界の鍵は種類が少ない。たかだか数種類の鍵で世界中のほとんどの鍵が開いてしまう。
これはゲームの話なので何の問題もない。しかし、現実世界で考えてみよう。ご存じのとおりマスターキーを使うと、同じマスターキーシステムを使った鍵(多くは同じ建物のほとんどの鍵)をすべて開けることができる。万が一、マスターキーを盗まれてしまうようならば、その鍵で守っているもののセキュリティが脅かされるということにつながるのだ。
コンピュータ世界のマスターキー
いい切る根拠はないのだが、自分が管理しているアカウントに共通のIDやパスワードを使っている方は多く存在するだろう。さらにこれは個人だけではなく企業内でも同様に行われていることだと感じる。
OSのログインに始まり、Webメールにポータルサイト、BlogやISPなどログイン時にアカウント、いわゆる鍵を必要とする場面は非常に多くなっている。少ない人でもざっと10アカウントぐらいはあるのではないだろうか?多い人になると100アカウント以上管理していることも珍しくないと思う。
ちなみに筆者も数えてみたら100アカウント以上あった。もしアカウントすべてがマスターキーのように同じIDとパスワードで管理されているとして、「そのマスターキーを誰かに渡せますか?」と聞かれれば、筆者は間違いなくノーと答える。
マスターキーを渡したからといって、管理しているすべてのセキュリティが破られるとは思わない。それは何を管理している鍵なのかが分からないからだ。しかし、その人のメールアカウントなどは容易に想像がついてしまうため危険の度合いは高い。
マスターキーよりキーボックス利用を提案
マスターキーのようなパスワードで多くのアカウントを管理していると、あるマスターキーが漏えいした場合に被害が他所に及ぶ可能性がある。かといって、100以上もあるアカウントすべてに異なるIDとパスワードを使って、それを私の頭で記憶できるわけがない。
そこで筆者はキーボックスを使うことにした。100のアカウントに異なる鍵を割り当て、そのキーボックスの鍵1本を管理することにしたのだ。マスターキーではなく、キーボックスの鍵である。キーボックスというのは、パスワード管理ツールと呼ばれているたぐいのソフトウェアのことを指す。
頻繁にネットワークを通過するマスターキーを使うぐらいなら、自己責任の範囲内で使えるデスクトップPCにパスワード管理ツールを導入して管理した方が安全に違いないという結論からである。
パスワード管理ツールの利点
一般的なパスワード管理ツールの最大の利点は、アカウント別に異なるパスワードを付けて管理できることである。しかも、ツールのパスワード自動生成機能を活用すれば複雑なパスワードを利用できる。さらに、IDとパスワード以外にも補足情報を記録できる。登録日やURL、メールアドレスなどを記録できるツールもあるので、付加的な情報や自分が登録したアプリケーションのシリアルナンバーの管理ツールとしても使うことができる。
もちろん、ツール内で管理しているこれらのパスワードなどの情報は暗号化されている。キーボックスの鍵がない限りは秘密にしたい情報が漏えいする確率は低いだろう。
さらにツールとして便利な機能を備えていることが多い。記録した情報をショートカットキーを使うことでクリップボード経由で貼り付けたり、必要な情報をフォルダ分けしたり検索したりすることもできる。
パスワード管理ツールは、その利便性と安全性が向上する効果から一度使うと手放すことができないたぐいのツールである。
パスワード管理ツールいろいろ
パスワード管理ツールの利用が1つの解決法だと感じた方のために、パスワード管理ツールをいくつか紹介しておこう。
●ID Manager
必要な機能はそろっていて無償で利用することができる。アカウント数が増えてもフォルダ分けで管理できるなど見やすい構成となっている。また、FTP経由でデータを管理することもできるので、2台以上のコンピュータを使っている方には便利である。ちなみに筆者はこのツールを使っている。
●パスワード総合管理
秀丸を提供しているところが作っているシェアウェア(1050円)で、こちらも必要な機能は一通りそろっている。機能も操作もシンプルでパスワード管理に特化したツールである。
●Norton password Manager
Nortonシリーズでおなじみのシマンテック社の製品である。一通りのパスワード管理の機能に加え、パスワード強度メーターという機能なども備わっている。業務としてパスワード管理を行う必要がある場合に向いている。
●認術修業
ほかのパスワード管理ツールとは一線を画す製品である。Windowsが記憶しているパスワードを復元したり、ハッカー由来のパスワード推測アルゴリズムでパスワードの強度診断を行うことができる。パスワードを安全にメモするためのツールはあるが、記録してクリップボード経由で貼り付けるなどの機能は備わっていない。楽をするためのツールではなく、使う人間のセキュリティ意識を向上させるツールである。
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.