サイバー犯罪からあなたと会社を守るための、いまさら人に聞けないパスワード管理術

　近年は、さまざまなサイバー犯罪が、ニュースを賑わせている。なかでも多いのが不正アクセスによる個人情報の漏えいで、今年(2021年)3月には全日空および日本航空の一部会員情報(氏名、会員番号など)、昨年11月にはイベント管理アプリ「peatix」の会員情報(氏名やメースアドレス、パスワードなど)と、数十万件以上の事例も珍しくなくなりつつあるのが、現在の状況だ。

　もはや自分がどれだけ気をつけていても、いつ巻き込まれてもおかしくなく、なかにはすでに個人情報漏えいの憂き目に遭ってしまった人もいるかもしれない。こうした状況下で、個人でいますぐ取れて効果の高いセキュリティ対策と言えば、やはりパスワード管理の見直しだろう。

　繰り返し言われてきていることだが、パスワードの使い回しは避け、サービスごとに異なるパスワードを用いるのが1つ。さらに英数字や記号が混じった、一定以上の長さを持つパスワードを使用するのが鉄則だ。「1234」や「abc」など、連続する文字列を用いるのは御法度だ。

　もっとも、こうした原則は重々承知ではあるもの、いまに至るも手つかずという人は少なくないはず。何よりも、人によっては何百種類はあるかもしれないパスワードをユニークかつ複雑な文字列に置き換えたうえですべて記憶しておくのは不可能で、破綻しない管理方法があればぜひ知りたいという人も多いはずだ。

　本稿では、ブラウザの機能を活用し、負担なく強固なパスワードを管理する方法、そしてさらにセキュリティを高めるための2段階認証の使い方などを解説していく。

このフローチャートで「Yes」の項目がある人は、この記事を参考に、パスワード管理方法を改善するといいだろう

パスワードを毎回考えるのはもう嫌! だったらEdgeの機能を活用しよう

　パスワード管理をうまくできていない人には、3つのステップでパスワードの管理術を授けたい。まず1つは、ブラウザのパスワード生成機能を用い、新規に生成するパスワードについては、強力なパスワードを用いるよう習慣づけていくことだ。

　Webブラウザ「Microsoft Edge」であれば、複雑なパスワードを自動生成してくれる「パスワードジェネレーター」機能を搭載しているので、新たにパスワードを作成する時、それを利用するだけでよい。

　これらパスワードはEdgeに保存されるので、どれだけ複雑なパスワードであっても、またいくつあったとしても、1つ1つ覚えたり、手帳に書き留めたり、はたまたメモ帳やExcelなどに書き出して管理する必要もない。

Microsoft Edgeの設定画面にある「プロファイル」→「パスワード」で「強力なパスワードを推奨する」をオンにしておく

各種オンラインサービスで新規にパスワードを設定しようとすると、自動的に強力なパスワードが提案されるので、これを利用する

設定したパスワードはEdgeに保存され、次回から自動的に入力される

　さらにEdgeは、これら保存したパスワードの中から、過去に発生した漏えい事故に含まれるパスワードを見つけ出し、変更を促す「パスワードモニター」機能も搭載している。Edgeに保存したパスワードはこの機能のチェック対象になるので、見つかるたびに別の強力なパスワードへと置き換えていけば、リスクは自ずから低減される。

　なお、この機能はEdgeバージョン88から実装されているが、段階適用となっているので、使えるまでにもう少しかかる場合もある。

「パスワードモニター」機能を使えば、保存済みパスワードの中に既知の違反リストに含まれるものがあれば変更を促してくれる。これらはEdgeのアドレスバーに「edge://settings/passwords/PasswordMonitor 」と入力することで表示できる

スマホにワンタッチするだけで、PCのパスワード入力を省略できる「Microsoft Authenticator」

　2つめのステップは、こうした複雑なパスワードを保存し、PC以外でのデバイスでの運用も容易にする、いわゆるパスワードマネージャと呼ばれるツールを、手持ちのスマホに導入することだ。

　Microsoftが提供している「Microsoft Authenticator」は、もともとは後述する2段階認証のための無料のツールだが、最近Edgeなどと連携して動作するパスワードマネージャ機能も実装された。これをスマホに導入しておけば、前述のプロセスを経てEdgeに保存された強力なパスワードを、iPhoneやAndroidと同期し、手入力不要でのログインが可能になる。

Microsoft Authenticator。iPhone/Android用に無料アプリがリリースされている

Edgeで入力したパスワードがMicrosoft Authenticatorによって同期され、スマホでも利用可能になる

　これら同期はクラウド経由で自動的に行なわれるので、ふだんPCで閲覧しているサイトにスマホからアクセスしたとき、自動的にパスワードの入力を行なってくれる。同じサービスで複数のアカウントを所有している場合も、表示されるリストの中からユーザ名とパスワードの組み合わせを選ぶだけですむ。

　これらはブラウザが搭載しているパスワード保存機能とよく似ているが、単体のアプリとして提供されるので、ブラウザ経由でのアクセスに限らず、一般的なアプリを用いたログインにも対応する。ブラウザのパスワード保存機能に比べて、より広範囲をカバーできるというわけだ。

　同期可能な台数に制限はないので、複数台のスマホを所有していたり、スマホに加えてタブレットを所有している場合も、それぞれについてMicrosoft Authenticatorを導入しておけば、パスワードを手入力する必要はなくなる。

また、新しくスマホやタブレットを購入し、まっさらな状態でアプリのインストールを始める場合も、最初にMicrosoft Authenticatorをインストールしておけば、長年使ってきたデバイスと同じ感覚で、いきなりさまざまなアプリやサービスにログインできる。

iPhoneでの利用手順を見てみよう。任意のサービスのログイン画面にアクセスし、フォームにタップするとAuthenticatorに保存されているユーザ名が表示されるのでタップする

Authenticatorが起動。Face IDによる認証が実行される

Authenticatorに保存されているユーザ名とパスワードが自動入力される。あとは「ログイン」をタップするだけ

Authenticatorによる自動入力を行なうには、iPhoneの設定画面のパスワード→パスワードを自動入力で、デフォルトの「キーチェーン」のチェックを外した上で「Authenticator」にチェックを入れる必要がある

Androidでは、同じく設定画面でシステム→言語と入力→自動入力サービスで「Authenticator」を選択しておく

　ちなみに、これまでGoogle Chromeを使っていて、パスワードはChromeで管理している場合も、エクスポートツールを使えば、このMicrosoft Authenticatorにまとめて取り込める。これを機にまとめて移行するのも1つの方法だろう。

まずはスマホ版のGoogle Chromeで、「設定」→「パスワード」から「パスワードをエクスポート...」を選択。表示されるメニューをタップする

Microsoft Authenticatorをインストール済みであれば、実行可能なアクションの1つとして「Authenticator」が表示されるのでタップ

認証が行なわれたのちChromeのパスワードがインポートされ、Authenticatorで利用可能になる

今や常識!?の「2段階認証」をMicrosoft Authenticatorで使いこなす

　前述のとおり、このMicrosoft Authenticatorのもともとの機能は、2段階認証のワンタイムパスワードコードを発行する機能だ。

　最近では、多くのサービスが不正なログインを防ぐために2段階認証を採用しているが、ショートメッセージやメールで認証コードを送信する方法だと、ネットワークに接続できなければ受け取る方法がなく、自分自身が長時間ログインできない状態になりかねない。

　また短時間とは言え、認証コードを平文で送信するため盗聴のリスクもある。認証コード自体、何時間にもわたって有効な場合も少なくないなど、セキュリティの観点からは好ましくない、形だけの2段階認証になってしまっているケースもあるのが困りものだ。

　その点、Microsoft Authenticatorであれば、時間ベースのワンタイムパスワードコードを使ってログインが行なえる。30秒という短い間隔で再発行されるので、悪意ある第三者が背後からパスワードコードを覗き見し、その場を離れてからログインする、いわゆるショルダーハッキングへの対策にもなる。

　またこれらワンタイムパスワードを参照するには、スマホへのログイン時、さらにMicrosoft Authenticatorへのログインと、二度にわたる生体認証をクリアしなくてはいけないため、安全性は極めて高い。また、Microsoftのサービスだけでなく、GoogleやFacebook、GitHubなど、時間ベースのワンタイムパスワード標準をサポートする多彩なサービスに対応する。

Microsoft Authenticatorは2段階認証機能を搭載。Microsoftのサービスだけでなく、GoogleやFacebook、GitHubなど、時間ベースのワンタイムパスワード標準をサポートする多彩なサービスに対応する

ワンタイムパスワードは30秒で書き換わる。パスワードの左側に表示されるタイマーからも分かるように、これは残り「3秒」の状態

時間が過ぎると新しいワンタイムパスワードに書き換わる

ここでは例として、Microsoftアカウントにおける2段階認証の設定方法(PC)を紹介する。まずはMicrosoftアカウントの「設定」→「セキュリティ」で、追加のセキュリティの中にある「2段階認証」をクリックして有効にする

続いて、スマホにインストールしたMicrosoft Authenticatorアプリを開き、画面右上の「＋」マークをタップ

「アカウントを追加」画面が表示されるので「個人のアカウント」をタップし「Microsoftアカウントでサインイン」をタップする

Microsoftアカウントのサインイン画面が表示されるので、アカウントを入力して「次へ」をタップする

サインインの承認に必要な2桁の数字が表示されるので、同じものをリストから選んでタップする

以上でMicrosoftアカウントの承認は完了。最上段に新しく「Microsoft」が追加された

タップすると2段階認証のためのワンタイムパスワードが表示される

　さらにMicrosoftアカウントとの組み合わせで使う場合、このMicrosoft Authenticatorの2段階認証は、ワンタイムパスワードを使うことなく、スマホで「承認」ボタンを押すだけで済むので、手間がかからないのが特徴だ。

Microsoftアカウントは他サービスと違い、最上段に「パスワードレスが有効」というオプションがある。これが有効になっていれば、認証ボタンだけでのサインインが可能になる

Microsoftアカウントとの組み合わせで使う場合、ワンタイムパスワードを使うことなく、スマホで承認ボタンを押すだけで済む

　なおこのMicrosoft Authenticatorに保存された2段階認証のサイト情報は、クラウドでバックアップされているので、スマホの機種変時に2段階認証のサイトの再登録を強いられることもない。うっかりアプリを削除しても、サイト側の2段階認証を解除しなければログインできなくなってしまう恐れもない。

Windows Helloの顔認証や指紋認証でパスワード入力から解放!

　ところでこの2段階認証、万一スマホ自体が使えない状態であればどうするか。一般的なサービスであれば、それぞれが用意しているサブの認証方法を用いることになるが、Microsoftアカウントであれば「Windows Hello」を用い、PC側の顔認証や指紋認証を用いてサインインすることも可能だ。

　これならばスマホが手元にない場合や、バッテリ切れで起動できない場合、あるいは紛失・破損などのトラブルでスマホ自体が使えない場合も、強固なセキュリティと利便性を兼ね備えたサインインが行なえる。

　Windows PC上で作業している場合、スマホを取り出してAuthenticatorを起動する必要がないぶん、むしろこちらのほうが手軽だろう。Windows Hello の生体認証は強固な暗号化が大きな特徴なだけに、セキュリティ面でのメリットも大きい。臨機応変に使い分けるとよいだろう。

Windows 10の設定画面から「アカウント」→「サインイン オプション」を開き、「Microsoftアカウントに Windows Hello サインインを要求する」をオンにすることで、Windows Helloを用いてのサインインが可能になる

Windows Helloで用いるサインインは、顔認証や指紋認証、PINなどが選択できる。必要な方法が未設定のままであれば、この時点で個別に設定しておく

Microsoftアカウントでのサインイン画面。下段に「Windows Hello またはセキュリティ キーでサインイン」というリンクが表示されているのでクリック

指紋リーダーなど、PCに搭載されている生体認証ツールを使っての2段階認証により、パスワードなしでのログインが可能だ

　以上のように、信頼性の高いMicrosoft AuthenticatorとWindows Helloを柱に、セキュリティの強化を図っていくのは、現在個人で取れるセキュリティ対策として、実に賢い方法と言える。PC周りのセキュリティを高めたいが、複雑なパスワードの管理や、ログイン操作が億劫だという人は、Windows Hello対応機を利用することをお勧めする。

　さらにそれ以上のセキュリティを手をかけることなく実現したいというユーザー/企業には、「Secured-Core PC」という存在もある。こちらについては、別の記事で解説しているので、ここでは詳細は割愛するが、購入して箱から開けた時点で、Windowsが最強のセキュリティ設定にされており、昨今増えているUEFI(BIOS)を狙った攻撃からも身を守ることができる。Secured-Core PCの購入問い合わせ窓口も下記に記しておくので、そちらも参考にしてほしい。

　昨今、自宅でテレワークを行なうにあたっては、プライベートでPCを使っている時とは異なる、強固なセキュリティが要求される。これまでずっと先送りにしていたパスワードまわりを見直すには、絶好の機会といえる。先送りにする理由はなにもなく、一念発起してトライしてみてはいかがだろうか。

Secured-Core PCの購入問い合わせ窓口はこちら。

・せっかく導入するなら「ホンモノ リモートワーク」にしませんか？ | 大塚商会(otsuka-shokai.co.jp)

・オリックス・レンテック | ホンモノリモートワークの導入はオリックス・レンテックにおまかせ | ORIX Rentec Corporation

・「ホンモノ リモートワーク」のご紹介 | シネックスジャパン株式会社 (synnex.co.jp)

・ホンモノリモートワーク｜SB C&SのIT-EXchange(it-ex.com)

・iDATEN(韋駄天)｜ ホンモノリモートワーク

・ホンモノリモートワーク | 横河レンタ・リース株式会社 (yrl.com)

・せっかく導入するなら「ホンモノ リモートワーク」にしませんか？ | 株式会社リコー (promo.ricoh)