1.はじめに

　突然ですが、こちらの表をご覧ください。

　こちらは2021年11月にセキュリティ企業のNord Securityが発表したもっとも使われたパスワードのうちの世界と日本のトップ20になります。自分の使っているパスワードが入っていてギクリとした方、いませんか？
　2020年4月には大手ゲーム・玩具製造会社の任天堂のNNID（ニンテンドーネットワークID）になりすましログインが起き、さらにNNIDとニンテンドーアカウントに同じパスワードを使用している人を狙った不正ログインによって、約16万アカウントが不正ログインを受けた可能性がある、という事例が発生しました。
　最近は多くのWebサイトで利用するサービスやアプリなどのWebサービスを利用するためにID・パスワードの設定が必要です。そのため多くの人が複数のID・パスワードを所持しています。皆さんはどのようにID・パスワードを管理していますか。全部のID・パスワードを暗記するのは大変なので、付箋に書いてディスプレイのわきに貼っておく、任天堂の事例でもあったように数個のパスワードを複数のサービスで使い回す、ランキングにあるような「password」「123456」、または「名前＋生年月日」というような覚えやすいパスワード設定をする、ということをしている人は多いのではないでしょうか。しかし、これらの行為は他人にID・パスワードを盗まれる、短時間で解析されてしまうなどの可能性が高いため非常に危険です。ID・パスワードが解析されてしまうと他人が自分になりすましてそのWebサービスを使用できるようになってしまいます。
　それではどのようなパスワードなら安全なのでしょう、どのようにID・パスワードを管理したら良いのでしょう。
本コラムでは、パスワード管理が重要となっている背景と、その対策の一つであるパスワードマネージャーについて解説します。

2.パスワードの複雑さの重要性とパスワード管理

　私たちがWebサービスを使う際に、「本人であることの確認」を行うのに必要なのがID・パスワードであり、他人が利用できないようにする鍵の役割を果たします。家の住所を知っている他人に鍵を盗まれてしまった場合、好きに家に他人が入り、好きにものを盗っていくことができるのと同じく、IDを知っている他人にパスワードが知られてしまうと、そのサービス内でのすべての情報が好きなように他人に盗まれてしまいます。近年はインターネット上で様々な取引が行われ、リモートワークの普及などで会社の情報を個人の端末で扱う機会が増えたこともあり、クレジットカード情報、銀行口座情報、住所などの個人情報、会社の機密情報など、漏洩することで多大な損害を受けてしまう可能性のある情報が盗まれてしまう可能性があります。
　このような背景により、ユーザ情報であるID・パスワードがセキュリティ対策において重要な意味を持ち、管理も今まで以上にしっかり行うことが必要となっているのです。NISC（内閣サイバーセキュリティセンター） も「インターネットの安心・安全ハンドブック」の中でパスワードの管理について、下記のように

　『「人は必ずヒューマンエラーを起こす」ことを前提に対処方法を考えます。例えば、パスワードの管理は数が多くなるほど覚えにくく、使い回しをせずサービス毎に別々のものを考えるのは面倒で、対策せずに強要すると、そのうちワンパターン化したり、同じ物の使い回しが起きたりするのではないかと考えます。』（引用）とパスワードの重要性を唱っています。つまり、「他人から安易に解析できないようなパスワード」を「1つ1つのWebサービスごとに考える」ことが必要なのです。

　では、「他人から安易に解析できないようなパスワード」とは、具体的にどのようなものでしょうか。
Webサービスのアカウントへのログインは、ID・パスワードをセットで入力する必要があり、一定以上の長さの英大文字、小文字、数字、記号などを用いるものがほとんどです。これらの多くは入力回数に制限がないことも多く、これは攻撃者がパスワードの文字列を総当たりで試すと時間はかかるが「いつか必ず探り当てることが可能」であることを意味します。この総当たりでパスワードを探り当てる攻撃を「ブルートフォース攻撃」と言います。実際に2019年11月には、JR共済生協がブルートフォース攻撃を受け、外部に流出した転送用アカウントのパスワードを攻撃者が入手しました。そして、JR共済生協の対象サーバーに不正ログインし、ファイル転送サービスを利用して対象サーバーに不正データを配置しました。結果的に、ホームページの一時的な閉鎖に追い込まれるという、甚大な被害を受けました。
　パスワードが解読されてしまう時間を調べるサービス「HowSecureismyPassword」によると、「123456」「password」といった数字のみや小文字のみの英単語のようなパスワードは組み合わせの総数が少ない、推測がしやすい単語であるといった理由から瞬時に解析が可能であり、「名前＋生年月日」やサービス名が入ったパスワードの場合も１時間ほどで解析されてしまうというのが現状だそうです。もちろん、英大文字、小文字、数字、記号すべてを用いて長ければ長いパスワードほど組み合わせ総数の増加により解析時間は長くなり、13文字で約2,000,000年かかります。
　ここまで見てきてわかる通り、長くて複雑なパスワードをWebサービスごとに設定することで、パスワードを解読されることを防げます。しかしそのようなパスワードを考えるのも、複数個暗記するのも現実的に難しいですよね。
これを解決するために推奨されているのが、総合的にパスワードを管理する「パスワードマネージャー」です。

3.パスワードマネージャーとは

　パスワードマネージャーというのは、Webサイトで利用するサービスやアプリにログインする際のパスワードを管理するためのツールのことで、ID・パスワードの記録、パスワードの自動入力、強力なパスワードの自動生成などの機能によって、安全なパスワード管理を実現します。パスワードマネージャーには、
①ブラウザ型パスワードマネージャー
②アプリ型パスワードマネージャー
の、大きく分けて2種類があります。

①ブラウザ型パスワードマネージャー
　Webブラウザで「このサイトのログイン情報を保存しますか？」と出てきて、そこにログイン情報（ID・パスワード）を保存した経験のある人も多いのではないでしょうか。Chrome、Safari、Edge、Firefoxのような、Webブラウザに統合されているパスワードマネージャーがブラウザ型パスワードマネージャーです。
　ブラウザ型は暗号化したID・パスワードをクラウド上やデバイスに保管します。クラウド上に保管されるものはデバイスをまたいで使用できるのが便利な点です。それぞれ保存されているID・パスワードを確認するためにはパスワードマネージャーへのログインやマスターパスワードが必要であり、さらに暗号化の鍵はデバイスに保管するなど、ユーザーのみが鍵を保有する状態になっています。
　ブラウザからWebサービスを利用する場合にはID・パスワードが自動で入力されるため、自身でID・パスワードを覚えておく必要はありません。またブラウザによっては強固なパスワードの自動生成機能や、ID・パスワードが外部で使用されている可能性がある場合に警告をする機能をもつものもあります。

②アプリ型パスワードマネージャー
　アプリ型のパスワードマネージャーは専用のアプリがパスワードを管理するというものであり、ブラウザ型で提供されているような基本機能は無料で使用可能、追加機能は有料版で使用可能といった場合が多いです。アプリ型もブラウザ型と同じく、暗号化したID・パスワードをクラウド上やデバイスに保管し、内容の確認にはマスターパスワードが必要です。
　追加機能としては、家族や企業など複数人での使用が可能、オフラインでの使用が可能、マスターパスワードに生体認証やワンタイムパスワードなども利用した二段階認証、データのバックアップ機能、セキュリティレポートなど、アプリによって様々です。

4.さいごに

　ここまでパスワードの重要性とパスワードマネージャーの特徴を紹介しました。今までメモに書いてパスワードを管理していた方、同じパスワードを使いまわしていた方、簡単なパスワードを使っていた方、ぜひパスワードマネージャーを試してみてください。
　またパスワードマネージャーは製品によって搭載されている機能や料金プランなども様々であり、提供している企業もGAFAをはじめとした大手IT企業から、セキュリティに特化した企業など様々です。手軽に使ってみる場合は、現在使用しているWebブラウザに搭載されているパスワードマネージャーを調べてみるのでも良いですね。
　今回はパスワードマネージャーについて説明しましたが、最近では「MFA（多要素認証）」というセキュリティ方法も広く使われるようになってきています。これらはログインまでに2つ以上の要素で認証を行う方式で、複数の要素を「鍵」とすることで、仮に１つの鍵が開けられてしまっても他の鍵が外部からの侵入を防ぎ、セキュリティ強度を高めることができます。ここでの「要素」というのは、今回取り上げたID・パスワードのような本人のみが知っている知識情報、スマートフォンなどの本人のみが所持している物品である所持情報、指紋や顔などの本人の身体的特徴である生体情報の3つが挙げられます。最近ではID・パスワードでの認証に、自ら所持情報や生体情報での認証を加えることができる設定のあるサービスも出てきています。今回紹介したパスワードマネージャーでパスワードを管理することに加え、このような最新の認証方法も導入することで更にセキュリティを強固なものにできるでしょう。
　数年後には多要素認証がより主流となり、IDやパスワードを使わなくなる日も来るのではないでしょうか。日々技術は進化し、様々なセキュリティ手法が世の中に出てくると思います。ぜひ自分のニーズにマッチしたパスワードの管理方法や認証方法を探してみてください。

参考文献
①NISC（内閣サイバーセキュリティセンター） も「インターネットの安心・安全ハンドブック」
・handbook-03.pdf (nisc.go.jp)
②事例：
・「もっとも使われた危険なパスワード」2021年版が発表！　世界と日本のランキングを見比べてみよう【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch (impress.co.jp)
・「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い｜サポート情報｜Nintendo
・任天堂アカウントに約16万件の不正ログイン、不正購入や個人情報流出の可能性 | 日経クロステック（xTECH） (nikkei.com)
・ブルートフォースアタック（総当たり攻撃）とは？その危険性と対策方法｜SECU LABO（セキュ ラボ）｜株式会社網屋 (amiya.co.jp)
・不正アクセスでウェブサイト一時閉鎖、ブルートフォースアタックでパスワード入手か│JP共済生協｜サイバーセキュリティ.com (cybersecurity-jp.com)
・パスワード解析されるまでの時間をまとめてみた【パスワードクラッキングについて】 - Qiita
・npq7p60b1lj51.jpg (4500×4500) (redd.it)
③パスワードマネージャーについて
・パスワードマネージャーの仕組み彼らは本当に安全ですか？ (cyclonis.com)
・パスワードマネージャーの利用におけるメリットとデメリットとは？ | サイバーセキュリティ情報局 (canon-its.jp)
・政府もすすめるパスワードマネージャーはどうして安全で便利なのか?～機能と仕組みをやさしく解説 (keepmealive.jp)
・平均的な人は100のパスワードを持っています - 研究 (securitybrief.co.nz)
・パスワード管理の仕組みを図解で分かりやすく説明 - ITを分かりやすく解説 (medium-company.com)
・パスワードって何だろう？ | 日経クロステック（xTECH） (nikkei.com)
④ブラウザ型パスワードマネージャー
・Microsoft Edge　パスワード マネージャーのセキュリティ | Microsoft Docs
・パスワードのオンデバイスの暗号化を利用する - パソコン - Google アカウント ヘルプ
・実は意外と知られていない「safari」を使ったパスワード自動生成と安全なパスワード管理方法 | カミアプ | AppleのニュースやIT系の情報をお届け (appps.jp)
・Firefoxに保存されているログインデータを解読してみる - Qiita
⑤アプリ型パスワードマネージャー
・パスワードマネージャーはどの程度安全か？ | ライフハッカー［日本版］ (lifehacker.jp)
・2022 年おすすめのパスワードマネージャー9選 (kinsta.com)