このシリーズでは「組織におけるパスワード管理」をテーマに、パスワード管理の重要性、危険性、攻撃に対する備え、ベストプラクティスについてお伝えしていきます。
第1回は、パスワードの基礎知識と主な管理手法について解説します。
パスワードの基礎知識
「パスワード」とは、最も長く、また最も多く利用されている認証要素の一つです。主な利用方法としては、固定のパスワードをユーザーが事前に設定し、認証時にそれを入力して利用します。
認証の要素として、ユーザーが “知っていること”(=what you know)に基づく方式であり、知識認証で代表的なものと言えます。
パスワードを用いる認証においては、何らかの生成手順(=暗号化アルゴリズム)により生成される暗号文がパスワードの実態です。当然のことながらパスワード自体の秘匿性を保つことで、認証要素としての役割を果たしています。
パスワードの歴史
現在ではPCやスマートフォンなど様々なシーンで使用されている「パスワード」ですが、その起源は暗号の歴史と密接に関わっており、本質的な起源は紀元前の時代まで遡ると考えられています。
例えば、歴史的に有名な「シーザー暗号」は紀元前約100年に誕生してます。シーザー暗号は「特定の文字列を3文字ずらすという暗号化アルゴリズム」から暗号文が生成される仕組みとなっており、この暗号文を「パスワード」と捉えることもできるのです。
一方で、より一般的な意味でのパスワードは、インターネットが誕生した1960年代にマサチューセッツ工科大学(=MIT)で誕生したという説が有力です。パスワードの歴史がいかに長いか想像に容易いかと思います。
パスワードの特徴と現状(メリット、デメリット)
認証方式の一つとして広く利用されているパスワード認証ですが、メリット、デメリットも存在します。
それぞれ、主なものをご紹介します。
メリット
- シンプルで便利:パスワードは特定の文字列を組み合わせれば生成可能であり、老若男女問わず誰でも利用が可能。
- 高い普及率:上述の理由にも依存しますが、Webサイトはもちろん、IoT機器等のシステムリソースが限られる条件下でもシンプルな仕組みゆえに、実装可能な場合が多く、普及率は群を抜いています。「パスワードレス」という言葉が一般言語化しつつある現在でも、パスワード認証を前提にするアカウントは増加傾向にあります。
デメリット
- 忘れたら終わり:パスワード自体を忘れた場合、パスワードリセット手続きを正しく行える場合を除き、基本的に二度と該当アカウントにアクセスできないというデータ消失のリスクがあります。
- 安全性の不安:便利さと高い普及率というメリットの裏返しとして、主に“使い回し”や、“弱いパスワード利用”に代表される不適切なパスワード利用・管理が一般化していると言わざるを得ません。サイバー攻撃の約8割でパスワードを含む認証情報が悪用されているという調査結果※1があるなど、安全面において課題があると言えます。
※1:出典:verizon data breach investigations report 2022
パスワードの管理
パスワードが便利であることは疑いの余地がないのですが、現在のサイバー攻撃で最も頻繁に狙われる情報の一つがパスワードであるとも言えます。このため、パスワードの適切な管理なくしては、パスワードを認証要素の一つとして使用することが難しくなってきています。ここでは、パスワード管理の主な手法と特徴を考察していきたいと思います。
パスワード管理の手法と特徴
主なパスワード管理手法は以下の3種類となります。ここでは、各管理手法のメリット・デメリットを定量的な視点を含めて解説します。
メモ/手帳で管理する
シンプルで低コストであることが主なメリットです。また、技術的なセキュリティの観点では、オフラインであることからサイバー攻撃に対して高い耐性があることもメリットとなります。
一方で、パスワードを利用するためには常に持ち運ぶ必要があり、メモ/手帳自体を
- 忘れる(可用性の低さ)
- 紛失する(機密性の低さ)
- 覗き見される(機密性の低さ)
可能性が高いという、物理的なセキュリティの観点でのデメリットがあります。
また、パスワード利用時に毎回キーボード入力をしなくてはいけないという業務効率性の低さも大きなデメリットです。
パスワードを利用するたびに毎回キーボード入力を行う時間を試算してみましょう。
一般的な組織の労働形態として、1日8時間労働、年間休日120日の組織をモデルケースとし、1日当たりパスワード入力に要する時間を5分と仮定すると、以下の計算式分の時間が年間でパスワード入力作業に割かれていることになります。
[一人当たりが年間でパスワード入力作業に割く時間]
245日(365日―120日) × 5分 = 1,225分 = 20時間25分 = 2.5日 /人
*5分は想定となり、パスワード忘れやメモ/手帳を探す時間等は含めておりません。
更に、これが1000人の組織であれば組織全体でパスワード入力作業に要する時間は以下の通りです。
[一組織が年間でパスワード入力作業に割く時間]
2.5日 × 1,000 = 2,500日/組織
1,000人の組織ではパスワード入力作業に年間で2,500日を費やしていることとなり、いかに無駄が発生しているか理解することができます。全ての従業員がメモ/手帳で管理しているケースはあまりないとは思いますが、定量的観点で業務の無駄を評価する際に参考にして頂ければと思います。
スプレッドシート(エクセル)で管理する
シンプルで低コストであり、PC等があれば利用できる利便性の高さが主なメリットです。
一方で、パスワード利用時にキーボード入力若しくはコピペが必要となる業務効率性の低さ、オンライン管理となるためPC等がマルウェア感染した場合に容易に情報漏洩してしまうサイバー攻撃への耐性の低さが主なデメリットとなります。
実際に、スプレッドシートを暗号化せず(弱いパスワードによる暗号化も含む)PCのデスクトップ等に保管しているケースがほとんどかと思いますが、このような管理下でサイバー攻撃に遭うと、管理しているパスワードは容易に漏洩してしまいます。
またメモ/手帳ほどではないにしろ、パスワード利用時に毎回スプレッドシートを開き、データを探し、コピペする時間の無駄も無視できません。
以下はメモ/手帳で記載した想定と同じ条件で、スプレッドシート管理によるパスワード入力作業の無駄を定量的に分析する際の参考となります。
[一人当たりが年間でパスワード入力作業に割く時間]
245日(365日―120日) × 1分 = 245分 = 4時間 = 0.5日 /人
*1分は想定となり、スプレッドシートを探す時間等は含めておりません。
[一組織が年間でパスワード入力作業に割く時間]
0.5日 × 1,000 = 500日/組織
パスワードマネージャーで管理する
パスワードマネージャーには主に無償ツール(例:Google、Microsoft等のブラウザ機能)と有償ツール(例:Keeper、LastPass、1password等)が存在します。
無償ツール、有償ツール共に最大のメリットは、パスワード入力、生成といった作業が不要となり、パスワードを「覚える必要がなくなる」ことと言えます。
パスワードマネージャー導入による業務効率化の定量的な分析は、現在のパスワード管理手法の状況に応じて、既述の[パスワード入力作業に関わる計算式]で算出された時間がほぼ無くなるため、組織全体では大きな効果が得られると言えます。
一方で、デメリットとしては、
- 無償/有償を含め、ツール選定が難しいこと
- パスワードマネージャーベンダー自体がサイバー攻撃に遭った際のサードパーティーリスクが存在すること
が挙げられます。
尚、パスワードマネージャーの選定時のポイント等については、別の記事で詳しくご紹介します。
まとめ
- パスワードの歴史は古く、最も普及している認証要素である。
- パスワードは知識認証に基づく認証要素である。
- パスワードはシンプルで便利であるが、一方で不適切な管理を原因としたセキュリティ上の課題がある。
- サイバー攻撃の約8割でパスワードを含む認証情報が悪用されている。それだけ、攻撃する側にとっても貴重な情報と言える。
- パスワード管理の手法は主に「メモ/手帳」「スプレッドシート」「パスワードマネージャー」の3つがあり、それぞれメリット/デメリットがある。
- 「メモ/手帳」「スプレッドシート」による管理手法では、パスワード入力作業という時間の無駄が発生する。
- 「パスワードマネージャー」による管理手法では、パスワード入力作業という時間の無駄を改善することができる。
次回はブラウザのパスワードマネージャーの危険性について解説します。