DX時代の貴重品入れ「パスワードマネージャー」のススメ

「1password」とか「パスワードマネージャー」とか、どこかで聞いたことがあるのではないでしょうか。

あらゆる情報が電子データになり、オンラインにあったり、PCやスマホの中にあったりするのが現代です。電子データというのは、突きつめると、IDやパスワードや認証コードなど（アクセス情報）にかかっています。アクセス情報があれば、PCが起動できますし、サービスにログインできます。すると中身が全部読めたり、物を買えたりしてしまいます。

アクセス情報というのは、大抵なにかの文字列に依存するのが特徴です（典型例はIDパスワード）。現代人が、自分のファイルやお金やプライバシーを守ろうと思ったら、予想できない・長大な・複雑な・覚えられない文字たちを、山ほど管理するしかありません。

この、あなた自身を証明する文字列たちをきちんと管理できる、現実的なツールがパスワードマネージャーです。

パスワードマネージャーは、現代人のための「貴重品入れ」になってくれます。「お財布」といってもいいかもしれません。

この記事では、パスワードマネージャーとはどういうものか、メリットはなにか、安全なのか、などをまとめています。

なにか1つセキュリティ対策をすすめるなら・・・

経緯を少し書きます。私は弁護士向けのセキュリティをあれこれ考えてまとめたり、研修のご依頼を受けたりすることがあります。

ただ、セキュリティ対策といっても、現実問題としてはキリが無いくらい様々なポイントがあります。誰もがそれを網羅するというのは、実際上は不可能でしょう。

そこで「ポイントを絞り込みたい」と思い始めるのですが、「これだけはやって欲しいセキュリティ対策○選」みたいにすると、どうもゆるすぎて不安になってしまいます。

今すぐできて、具体的で、効果がしっかりある、そんな対策はないだろうか。「これをやると全然違う！」といって、ピンポイントで推せるような何かがないか？
それなりに長い間、頭を悩ませてきたのですが、自分の中で出てきた答えは、
　「パスワードマネージャーを使って下さい」
でした。

セキュリティ対策は色々あります。が、「パスワードマネージャーを使う」という対策は、1個だけで、広い範囲によい影響があります。

「パスワードマネージャー」と言われても、「何それ？」という方も多いと思います。
この手の話は、商品名で理解するほうが分かりやすいことが多いです。
もう分からなかったら、「1password」と思ってください。

以下がWebサイトです。

1Password - 家族、ビジネス、チームのためのパスワード管理ツール | 1Password

知識の多い方だと色々な比較ポイントが出てきますが、「よく分からない」というレベルの方にとっては、このサービスが一番無難で、間違いがないと思います。老舗、定番であり、機能も十分と思います。
（私はこの記事を書いても1password社からなんの利益も受けません。アフィリエイトも一切ありません。念のため。ほか、BitWardenなども有名です。私は1passwordユーザーです。）

パスワードマネージャーとは

1passwordの画面を使って、パスワードマネージャーについて説明していきます。こんな感じの画面になっています。（※公式サイトから借りてきたので英語ですが、日本語版もあります）

できることは非常にシンプルです。

その1　ID,パスワードを保存する（ほか、なんでも入る）

上の画像では、
・ユーザ名
・パスワード
が保存されています。
左側を見ると、アカウントがずらっと並んでいます。つまり、「ユーザ名とパスワードの組」とかその関連情報とかをどんどん保存していけるというわけです。
もちろん検索もできるようになっています。
パスワードのみ、とか、好きな文字列、とか、ファイルもある程度保存できます。

その2　自動で強力なパスワードを作る

1passwordがパスワードを自動で作ってくれます。
長さや使う文字を指定するだけで、勝手に安全なパスワードを生成してくれます。

この画面では20文字のランダムなパスワード（強力です）が作られています。
こういうパスワードは、手作業では到底作れないし覚えられませんが、パスワードマネージャーならクリック1つです。

ここで疑似体験もできます　1passowrd社の提供するパスワード生成サイト

Strong Password Generator | Best Password Strength | 1Password

その3　コピーしたり自動で埋めたり

パスワードをワンクリックでコピーできたり、Webサイトのパスワード入力欄を自動で埋めたりしてくれたりします。
パスワードを書き写したりすることは必要なく、ワンクリックでログインができます。

1passwordアプリなどで保存したデータは「特別に安全な方法」で、暗号化されて保存されます。あとで説明しますが、原理的に特別に安全だと言える理由があります。その安全な状態のデータが1password社のクラウドにも保存され、同期ができるようになります。

パスワードマネージャーのメリット

さて、こういうサービスを使うと一体何が違うのでしょう。

ポイント1　アカウント情報の確実な管理

非常にベーシックなところでは、IDとパスワードをソフトに覚えさせておくことができます。
一度覚えさせてしまえば、もう決して間違えなくなり、どんなに長いパスワードでも確実に管理できることになります。
これは利便性が向上するとも言えますし、パスワード管理がきちんと励行されるようになる、という意味では、セキュリティを向上させるとも言えます。

更にもう少し踏み込んだ効果や意義を考えてみます。

ポイント2　ログイン「メールアドレス」を間違えない

このサービスのアカウントを持ってたはずだということまでは分かっても、「メールアドレス何にしたっけ？」ということがありませんか？　
メールアドレスが分からないと、とりあえず思いつくアドレスを入れて、その結果新しいアカウントを重複して作ってしまう、というようなことが起きます。

実はこの問題は、「SSO」というものが一般化してから余計に困りものになっています。SSO（SingleSignOn）というのは、Googleアカウントとかを使ってよそのサービスにログインできる仕組みです。しかしこのSSO、あまりにも簡単にログインできすぎるために（クリックした瞬間にいきなりアカウントが作られるものが多い）、重複アカウントがいくらでも発生してしまいます。
気付かずにアカウントを持っているというのは、要するにそのデータが自分の管理下を離れるというのと同義です。パスワードマネージャーを使っていれば、そこに全てのアカウントのメールアドレスが保存されています。パスワードではなく、まず「メールアドレス」を確実に把握できます。

ポイント3　「現実的な」パスワード管理方法

遙か昔のパスワードは、6文字とか8字程度のものでした。「その人だけが覚えているキーワードで本人確認」というのがパスワードだとすると、パスワードという仕組み自体が、そもそもそのくらいの長さを想定して生まれてきたような気がします。
いまどきのパスワードはどうでしょう。少なくとも15文字以上、できれば20文字以上というのが期待される水準です（もう「8文字」は論外と考えてください）。しかも使い回してはいけません。
「使い回しを一切しない・20文字以上・ランダムで強力なもの」という条件で、何十個もパスワードを管理する現実的な方法と言えば、パスワードマネージャーということになってきます。

※注意：「パスワードは10文字以上にしなさい」などと書いてある文書が世の中にありますが、これは「ほんとうは、15文字以上とか言いたいけど、でもみんなできないよね・・・」という理由で、やむなく極めて遠慮がちな数字にとどめておられるというのが実態ですので、よくも悪くも真に受けないほうがよいと思います。

ポイント4　自分が情報を預けた先を一覧できる

今どきの方は、色々なサービスのアカウントを何十個も持っておられるのではないでしょうか。

「アカウントを作る」というのは、セキュリティ的な視点で言うと、「情報の預け先を増やす行為」です。どんなアカウントを持っているか分からないというのは、「自分の情報を預けた先が分からない」ということを意味するのです。

山ほどアカウントを作るこの時代に、自分の情報の預けた先を確実に管理しておく方法は？と言えば、パスワードマネージャーでアカウントを管理しておく（いつでも一覧できる）のが近道です。

ポイント5　アカウント以外のセキュリティ強化の幅が広がる：WiFi、暗号化用のパスワード

セキュリティを強化しようと思うと、色々なパスワードをしっかり強くしたり、覚えておく必要があります。たとえばこんな場面です。

・WiFiのパスワードを20桁以上の強いものにして、忘れずに管理したい。
・暗号化機能のあるUSBメモリを購入したが、パスワードを設定しておかなければならない。十分強いもので忘れずに。
・「これから半年ほどメールで書類をやりとりしたいので、事前に16文字のパスワードを共有しておきます」→その教えられたパスワードを、ちゃんと管理できるか？

ここに挙げたようなタイプのデータは、実はログインなどと比べても「攻撃」を繰り返しやすいため、パスワードはしっかりしたものでなければなりません。
ZIPファイルのパスワードを覚えられないから8桁にするといったやり方は、実は「台無し」で（破るのに1日もかかりません）、十分な長さにする必要があります。
そのパスワードが何種類も作られ、しかもそれを忘れてはいけないとなると、やはり現実的な方法はパスワードマネージャーでの管理です。

ポイント6　パスワードを忘れない人「だけ」が使える安全ツールへの道

世の中にはセキュリティを大幅に強化してくれる道具があります。ただし、その中には、「強力なパスワードを準備して、しかもそれを決して忘れない人だけが使える」というものもあるのです。
たとえばクラウドストレージの中では、sync.comといったサービスが強力な暗号化能力を持っています。ただし、「パスワードを絶対に忘れない」ことが大前提です。
パスワードマネージャーを使うことで、こういう「強力な」ツールが利用できるようになってきます。

Sync | Secure cloud storage that protects your privacy

パスワードマネージャーの安全性（1password編）

さて、ここまでがパスワードマネージャーを使う意義の話でした。次に疑問が出てくると思います。
「それは安全なのか？」ということですね。

なにせパスワードをまるごと預けますので、パスワードマネージャーの安全性は非常に重要になってきます。

結論的には、私は信頼に足るレベルに達していると考えています。
1passwordを前提に（他のサービスも似た枠組みです）いくつかの角度から検証してみます。

その1　市民権を得ているか？

セキュリティに関しては、「理論上はバッチリ」というだけでなくて、実績があるかどうかや、市民権を得ているかどうかも気にする必要が出てきます。対外的に自信を持って対策を説明できるかという点はどうしても重要になってきますので。

パスワードマネージャーに関しては、その利用は既に一般的になっていると考えられます。

1passwordを利用している企業として、IBM、Slackなどの名だたるIT系の大企業があります。

IBMが使っているものを一般企業が信頼して導入しても、怒られることはあまりなさそうだという期待は成り立ちます。

セキュリティ業界の権威の1つに、NIST（アメリカ国立標準技術研究所）があります。
NISTはパスワードマネージャーについては、

「それを明示的に推奨したNISTの文書は無いが、パスワードマネージャーは正しく使えばセキュリティを高める効果があるし、パスワードマネージャーを利用する人がいる前提で書かれたNISTの文書も存在している」（意訳）

という立場です。つまり、「推奨」まで踏み切っていないが、肯定的と捉えてよさそうです。

私が個人的に注目したものがあと2つあります。

(1)
auth0という、簡単に言うとログイン関連（認証）に特化した大手の事業者がいます。

その事業者がパスワード管理について、たった4ポイントにアドバイスを集約した短い資料を公開しています。
その3番目が、
「1passwordのようなパスワードマネージャーを使いましょう」
です。

By changing just a few behaviors, you can reduce the chances that your online accounts get breached.

— Auth0 (@auth0) October 8, 2021

認証を商売にされているところが、しかも4つしかない項目の1つで推奨するとなると、重みを感じます。
（ちなみに2番目のアドバイスは、「パスワードは少なくとも20文字以上にしましょう」です。）

(2)
githubという、その筋では超有名な開発者向けサービスがあります。
その説明書では、アカウントのセキュリティの項目に
「1passwordのようなパスワードマネージャーを使って、15文字以上のパスワードを作ってください」（意訳）
と書いてあります。

ITのプロ向けのサービスなので、日々ITのプロの目にさらされる記述です。そこで「パスワードマネージャー」とはっきりうたっているとなると、心強い感じがしますね。

その2　サーバーから漏えいしたり、不正利用されたりしないか

2つ目の問題は、1password社のサーバーからデータが漏えいしたり、不正に利用されたりするリスクはないのか？ということです。クラウドサービスだということは、たくさんのパスワードをそのまま1password社のサーバーに預けるということになるからです。

ここで重要なポイントになるのが、1passwordが採用する「エンドツーエンド暗号化」という枠組みです。（多くのパスワードマネージャーがこの枠組みによっています）
「エンドツーエンド暗号化」というのを意訳すると、「アップロードする前にパスワードをかけて、ダウンロードした後でパスワードを解除します。しかもパスワードは一切インターネット上にありません」ということです。この枠組みは、原理的に非常に安全です。

たとえば、GoogleDriveに非常に重要なファイルをアップするとします。「こればかりは大事なファイルなので、万が一のことがあったら困る」、と思ったらどうするでしょうか。1つの解決策はそのファイルにパスワード（十分強力なもの）をかけておくということです。そして、利用するときは、そのファイルをダウンロードして、パスワードを解除します。こうすれば、

・インターネット上で、パスワードが解除された状態が一瞬たりともない
・パスワードはインターネット上に無いので、仮にファイルが漏えいしても、パスワードはばれない

ということになります。

この話の重要なポイントは、
パスワードはあなたしか知らない　
　　→　サービス業者もパスワードを知らない
というところです。
もしサーバーが不正アクセスを受けて、極端の話あらゆるデータを抜き取られたとしても、従業員に悪意があったとしても、ファイルの中身は読まれないのです。

このような流れをもう少しエレガントに自動的に処理しているようなサービスは、「ゼロ知識暗号化」（エンドツーエンド暗号化）を採用しているという風に呼ばれます。

話を戻すと、1passwordでは最初に一つ「マスターパスワード」を決めます。

・マスターパスワードは、1password社のサーバーに送られません
・1password社のサーバーに預けるデータは、全てマスターパスワードを使って暗号化されます
・だから、1password社は預かっているデータの中身を一切読むことができません。
・万が一、サーバーがハッキングを受けてデータを奪われたとしても、その中身は読むことができません。

※厳密には、「シークレットキー」という追加データも併用されています。　
英文ですが、1password社のブログでこのあたり詳しい説明もあります。

この「エンドツーエンド暗号化」が、データ保護の核の部分と言えます。そして信頼性の高い方法です。
※やや余談ですが、私自身は、サービスを選ぶときに、ゼロ知識暗号化を実装しているかどうかは必ずチェックします（条件が許せばそれを選ぶ）。

その3　アプリから漏えいしたりしないか

実際に1passwordを利用するのはPCやスマホということになります。すると、アプリやブラウザからデータが漏えいしないか？という疑問が出でくると思います。
この点は重要なところで、実際問題、1passwordに入っているデータが漏れるとすると、サーバーから漏れることは考えにくく、むしろこのルートが懸念材料となります。

基本的な対策は、大前提として一般的なデバイス保護をきちんとやるということになってきます。
（デバイス保護は、本来それだけで1本の記事になるテーマですので、以下では関係する部分の要点を書いておきます）

◆PC版アプリ・Chrome拡張
・PC再起動後に1passwordアプリを起動するときは、マスターパスワードの入力が必要になる→マスターパスワードを知らなければ起動できない仕組み
・アプリ起動時に、WindowsHelloでの認証（PINまたは生体認証）を要求できる
・ブラウザからデバイスの認証の解除ができるので、遠隔ロックできる

→PCのスリープからの復帰と、1passwordの起動とがほぼ同じ条件（WindowsHello）となるので、デバイス保護が重要になります。
PCのPINは、英数字で長いもの（15文字以上のパスフレーズ方式（※）推奨）にしておいた上で、普段は顔認証や指紋認証でログインできるようにしておくのがお薦めです。（4桁の数字でPCも1passwordも起動できるというのは、高リスクです）
もちろん、PCを紛失・盗難されないように日々慎重に管理します。

※WindowsならBitLocker、MacならFileVaultも是非適用しましょう。

◆iPhone版アプリ
・iPhone再起動後に1passwordアプリを起動するときは、マスターパスワードの入力が必要になる
・アプリ起動時には、毎回FaceIDを要求するように設定ができる（パスコードでは不可）
・ブラウザからデバイスの認証の解除ができるので、遠隔ロックできる

→PC同様にデバイス保護が重要になりますが、パスコード不可・FaceID（顔認証）必須という設定が可能なので、一段安心感が高まります。
スマホのPINも、PC同様に、英数字の長いもの＋生体認証がお薦めです。
もちろん、スマホも紛失・盗難されないように日々慎重に管理します。

※android版は調査していませんが、似た仕組みだと期待します。

◆ブラウザ版（PC,スマホ）
・10分程度でロックされ、再ログインにマスターパスワードが毎回必要となります。
→マスターパスワードが知られない限り安全です。

とりかかりましょう

ここまで、パスワードマネージャーの有効性と、安全性について説明してきました。
実際に利用をスタートするときにポイントになるのは、「マスターパスワード」です。

先ほど説明したように、「エンドツーエンド暗号化」は、
　パスワードがなければ絶対にデータを元に戻せない
仕組みになっています。つまり、マスターパスワードを忘れてしまうと、完全にデータを喪失することになります。
※複数のデバイスにアプリを入れている場合、どれかを起動することができればマスターパスワードの復旧は可能です。

完全にランダムな文字列は現実的ではないと思いますので、「パスフレーズ」方式をおすすめします。
いくつかの単語を連結するようなやり方ですね。
マスターパスワードを十分強いものにするということが大切ですので、20文字以上を目標にして作るのがおすすめです。

パスフレーズについて参考サイト

「パスワードは複雑さより長さが大切」　FBIが指南

二要素認証も是非忘れずに設定して下さい。

この記事を参考に、DX時代の貴重品入れ「パスワードマネージャー」を是非活用してください。