パスワードの管理方法について勉強しました

みなさん。こんにちは。now3のアドレスでブログを更新している大東市の税理士・社労士の今西 学です。

先日、お客さまからパスワード管理の相談をうけて、パスワード管理の方法について勉強してみました。実は自分にとっても悩んでいたところでした。

何かいい書籍がないかAmazonで検索したのですが、残念ながら該当する書籍が出てきません。ただ、そういえば積ん読になっている本で、以前パスワードの部分が勉強になると購入していた新書があることに気づきました。その新書は、ポプラ新書から出ている萩原栄幸氏の著作『「デジタル遺品」が危ない』です。


この新書全体は、亡くなったときのために、デジタル遺品をどのようにしておけばいいのかというのが全体のテーマとして書かれているのですが、ここではパスワード管理の部分を抜き出してまとめてました。大変参考になる書籍でした。

1.パスワードをAランク、Bランク、Cランクに重要度で分けてみる。

(著者の要約)
著者は、パスワードをすべて書き出し、

・Aランク「絶対に重要なパスワード」
・Bランク「2番目に(そこそこ)重要なパスワード」
・Cランク「他人に盗まれても実害のない、あっても極めて軽微なパスワード」

に分けることを提案されています。
そしてAランクは、「業務に関連するもの」 と 「お金に関連するもの」との二つとのこと。

(私の場合の当てはめ)
私であてはめれば、「お金に関連するもの」は、ネットバンクのパスワード、証券会社のネット取引のパスワード、銀行キャッシュカードのパスワード、クレジットカードのパスワードなど。「業務に関連するもの」としては、お客さまのデータを扱っているクラウド関連で使用するDropboxやEvernote 、給与ソフトのパスワードなどになるのでしょう。また、自分のパソコンのパスワード(特に携帯しているノートパソコンのパスワード)あたりも該当するのでしょう。

(著者の要約)
Bランクは、具体的には通販サイトや(すべての有料サイトではないが)他人に利用されるとまずい有料サイト、SNSのパスワードとのこと。

これらはパスワードが見つけられても、金銭的被害のないものであるものであり、例えば、ショッピングサイトの場合、登録しているクレジットカードで買物されても、悪用された場合は個人の負担になることはないものであるので、金銭的被害は発生しないものであること、

ただし、「なりすまし」行為によって、個人情報を改ざんされる可能性があったり、悪意のあるツイートの投稿、友人知人の個人情報が盗まれる、などで、結果的に金銭的被害や信用低下にまで及ぶものが、該当します。

(私の場合の当てはめ)
私であてはまれば、楽天市場、Yahoo!、Amazon、ユニクロ通販サイト、Facebook、Twitter、AppleのID及びパスワードあたりになるのでしょう。

(著者の要約)
Cランクは、著者によると無料サイトのパスワードであるとのこと。

(私の場合の当てはめ)
私にあてはめれば、日経新聞や朝日新聞を月10本程度まで無料で全文読むためのパスワード、地元図書館サイトのパスワード、(378円毎月払っている有料サイトですが)radiko.jpプレミアムのエリアフリーで聴くためのパスワード、税理士会の研修申込サイトのパスワードあたりになるのでしょう。

以上、まずは、このようにパスワートを分類することからはじめます。

2.Aランクのパスワードの管理方法

(著者の要約)
著者は絶対に使い回しせずに、「英字の大文字+小文字」「数字」「特殊文字」を入れて組み合わせて作るべきと述べておられる。

この場合、自分にとって意味のある電話番号、誕生日、住所などを流用してはいけないとのこと。また、以下に述べるBランクやCランクのパスワードと関連するものであってはならないとのこと。
このレベルのパスワードはせいぜい数種類であるとのこと。

(私なりに感じたこと)
まず、意外とランダムにパスワードを作るのは難しいと思います。上記の条件で8文字考えると、悩んでしまうことがありました。そのような時に、何かのきっかで知った私が利用しているサイトがこのパスワード作成のサイトです。条件を設定し、「Generate Password!」を押し、作成された数ある候補から、パスワードを一つ選ぶことがあります。

次にAランクは数種類と著者は書かれていますが、私の場合はその少なくとも倍以上あるような気がしました。ネットバンクや証券会社の口座を勉強及び情報収集も兼ねて、いろいろ作ってしまいすぎたのかもしれません。まずは断捨離が必要なのかも。自営業なので、業務面のパスワードが多いのは仕方がないですが・・・。

加えて、Aランクに分類するパスワードをもう少し厳選してもいいのかもしれません。ネットバンクもサイトに入るログインパスワードは読み取りされても、お金の振り込み等の資金移動には、私の場合、全部ログインパスワードとは別のワンタイムパスワードを使うようになっています。具体的には、手元にある(東京三菱東京UFJ銀行の場合の名称で)ワンタイムパスワードカードを利用して資金移動を行うので、ログインパスワードをAランクにする必要は無いのかも知れません。(もちろんログインされて、履歴や残高を見られるのは嫌ではありますが、お金を移動されなければ金銭被害はありません。)

また、金融機関によっては、あまり活用していなくて残高も少ないのですが、いろいろな事情で解約出来ない口座もあったりします。そういう口座は次のBランクとして扱ってもいいのかもしれません。Aランクに厳重なパスワード管理は必要ですが、あまり数多くなるとかえって管理が適当になってしまいそうです。

3.Bランクのパスワードの管理方法

(著者の要約)
母体にあるパスワードを決める。例えば、「%K8&n」を母体のパスワードに決め、規則追加文字を、2,3,5文字の前にいれると決める。例えば、ショップAの追加文字を「147」、ショップBの追加文字を「258」と決めると、ショップAのパスワードは、「%148&7n」、ショップBのパスワードは、「%258&8n」というように。このような規則を自分なりに設定し、個別管理すればよい。

(私なりに感じたこと)
以前、セキュリティのセミナーで教えていただいたパスワードの作り方と似ていました。そのときは、例えば、基本のパスワードを「daitou」と決め、楽天の場合、「ra」(ら)+「daitou」、Amazonの場合「ama」+「daitou」のように管理すると、セキュリティは完全な使い回しでないのである程度は高く、また比較的管理もしやすいとのことを提案されていました。

ある基本となるパスワードを決め、それをベースにパスワードを作成していくのは取り組みしやすい気がします。ただ、規則をつくっても忘れてしまうとまずいので、きちんと店舗・SNS等ごとに規則性を紙に書いて記録していく必要はあると考えます。

4.Cランクのパスワードの管理方法

(著者の要約)
手持ちのパスワードの半分はこのレベルのはず。すべて同じでかまわない。一つだけ、例えばパスワード「123456789」で、「ID」を「hagiwara」で決めてしまい、それを使い回しすればよい。

(私なりに感じたこと)
これなら楽です。管理の手間が非常に省けます。

しかし、手元のパスワードの半分はこのレベルというのは少し不思議な気がします。著者は70ぐらいパスワードを持っておられ、そのうち数種類をAランクで、半分ぐらいをCランクと書かれていますので、残りBランクのパスワードも約半分ぐらいということでしょう。

私の感覚ではせいぜい各々1/3ずつぐらいで、こうもCランクと分類するパスワードが多いように思えず、管理の手間はそれほど省けるものではないのかもと考えます。

5.まとめ等

以上、パスワードをリスクによって、三分類し、それぞれに応じた管理をしていくという考えは参考になりました。

私もこの観点からパスワード管理を見直してみたいと思っています。Cランクは使い回ししてもいいと断言されているのは、パスワード管理をする際、だいぶ気が楽になります。ただ、特にAランクに分類しすぎると、管理の手間が負担になったり、日頃のパスワード入力も時間がかかったりなるような気がしました。そのあたりが悩ましいですね。

他にも著者は、パスワードは紙で管理することをお勧めされています。パスワードがネットにつながっている以上、「絶対に安全」ということはないからとのこと。この点も参考にしていただければと思います。

The following two tabs change content below.
今西 学

今西 学

大阪の大東市(最寄駅:JR学研都市線の住道駅)で税理士事務所を開業中。(ホームページはこちら) このブログでは、税金・年金・お金の運用など日々の業務で気づいたことや、幼少の頃身体が弱かったことから常に健康で生きていきたいという思いで日々取りくんでいること等を記事にしています。 詳しくはこちら