2017年11月22日

「パスワード使い回し」8割超 不正ログインのリスク大きく

セキュリティ・コラム by MM総研所長 中島洋

 パスワード――ネットワーク社会に生きる者としては悩ましい問題である。大学や企業ではパソコンの利用や社内システムにアクセスする際のパスワードについて「一定期間ごとに変更する」ことを勧め、あるいは義務としているところもある。とりわけインターネットのサービスに会員登録する時にいちいちパスワードを変え、かつ一定期間ごとにそれを変更する、というのはほとんど不可能である。覚えきれない。では、実態はどうだろうか。

トレンドマイクロ社の「パスワードの利用実態調査 2017」(調査対象515人)によると、各種のWebサービスを利用する際に同じパスワードを使っているユーザーは85.2%と、8割を超える高率であることが明らかになった。ただ、前回2014年調査では使い回しのユーザーの率は93.1%だったので、やや改善しているが、とはいえ、「なおリスクの高い水準にある」とトレンドマイクロは指摘している。
(トレンドマイクロのサイトは、こちら

さらに細かく見ると、「1種類のパスワードでほぼすべてのWebサービスを利用している」というのが15.5%、「2-3種類」が最も多く41.4%、「4-5種類」は17.7%、「6種類でほぼすべてのサービス」が10.7%で、「利用するすべてのWebサービスで異なるパスワードを設定」は14.8%に止まっている。前回に比べて「2-3種類」は56.4%から41.4%に大きく減り、「4-5種類」は前回の12.0%から17.7%への増加。「すべてで異なる」も6.9%から14.8%に伸びているので、全体として異なるパスワードを使う種類の数ははっきりと増加傾向にある。

筆者は20以上のWebサービスを利用して、パスワードは7-8種類を使っている。インターネットを使い始めのころに指導を受けた一定期間で変更させる、というルールを一部、実行しているが、全部のパスワードを定期的に変更するというのはなかなか難しい。

パスワードの使い回しの理由(複数回答)はトップが「異なるパスワードでは忘れてしまう」(69.7%)、「異なるパスワードを考えるのが面倒」(45.3%)、「使い回してもリスクはないと思っている」(11.8%)と、筆者と同様の理由が大勢を占めているようだ。

それでは忘れてしまいがちなパスワードの管理方法はどうしているか。

「手帳やノートにメモする」が最も多く44.7%(前回調査44.2%)、「覚えて置く」が26.4%もいるが、前回調査の36.5%から大きく下がっている。「携帯電話のメモなどに保存」は16.0%から19.8%に増えている。「紙などには書き留めない方が良い」と指導されたが、パスワードの種類が増えれば「覚えて置く」というのは難しい。

ただし、最近、新しいツールが出ているのを発見した。1つのマスターパスワードを設定すると、複数のID/パスワードを管理できるツールがある。オフィスは今までのままだが、自宅のパソコンではこれを利用することにした。また、「複数のパスワードを自動的に生成する機能」もあるそうだ。こうしたパスワード管理ツールを利用するのも今後のセキュリティ対策として検討する必要がある。とはいえ、それで完全に安全か? と問われれば、もちろん、万全とは程遠い。そもそも各サービスのパスワードが単独で破られるリスクは存在するし、1つが破られても他のサービスに被害が広がらない、というリスク縮減が期待できるだけである。

パスワードはいわば部屋のドアのカギだが、同一のパスワードを使わない、ということは部屋ごとにカギを変える、ということだ。どこかの部屋のカギが破られるということを防ぐものではない。やはり、情報はドアのカギが破られるということを前提に防御を考えることが肝心である。

ZenmuTech からのコメント by CTO 友村清

 パスワードの使い回しは今に始まったわけではない。昔から多くの人がパスワードを使い回していた。どうして、使い回しをするのか? パスワードは人の記憶に頼っているため、覚えやすく、使いやすいパスワードを選択しがちである。では、パスワードを無くしてしまえば解決するのではないか? ということで、近年、パスワードレス認証技術(FIDO:Fast IDentity Online)が注目を集めており、NTTドコモやヤフーなど多くの企業が研究開発を進めている。

このパスワードレス認証に秘密分散技術を利用することで、単なる本人認証だけでなく、デバイスの個体認証を含めた多要素認証によるパスワードレス化も夢ではない。

ZENMUから始まる未来は、こちら

Inquiry
Inquiry

Request documents
Request documents

CONTACT

Inquiries

Feel free to contact us.
Online seminars are also held as needed.