はじめに
2024年9月現在、会社と個人の両方でパスワードマネージャーの代表格のひとつ、Keeper Security(以下、Keeper)を利用しています。使いだすと大変便利かつ安全なのですが、他の関係者や関係会社におススメすると、
- 「え!、本当に要るんですか~?」
- 「お金かかりますよね!?」
- 「石川さんは Microsoft Security 推しなのに、ID管理(IDaaSの)Entra IDだけじゃダメなんですか?」
様々な返しをいただきます。これらについては以下のように毎回回答しています。
- 厳格なパスワード管理をしないとワルモノにやられますよ、要るんです。
- 個人用で333円/月、企業用はいろいろなプランがありますが295円/ユーザー・月の価格感で高い安全性を手に入れらますが、高いですか?そして企業用だと「各ユーザーに無料の Familyプラン(5ユーザー分)」が付いてきますよ! おとくじゃないですか?
- Entra IDは、IDaaSで基礎としてもちろん使うんです。ただ、Entra IDのエンタープライズアプリケーションはSaaSアプリ連携もできますが、SAML認証など高度な連携機能があるものはそれでよいです。ただ大半の日本企業のSaaSはどうしますか? Entra IDのエンタープライズアプリケーションでもパスワード管理の連携もできますが、機能が限定的です。Keeperなどのパスワードマネージャーでは、弱いパスワードや使い回しのパスワードに対してチェック機能があります。 (etc etc)
こういった感じで説明に時間がかかります。Keeperに限らず、セキュリティの話をあまり知らない方に理解してもらうようにお話しするには時間がかかります。そこでこのQiitaに、パスワードマネージャーはKeeperに行きついた様々なポイントを書きます。
ご注意
- 本文では個人用、企業用の機能やライセンスによって違い等、細かいところはあまり区別せず混ざっていることがあります。
- 基本的な機能は個人用、企業用どちらも同じです。企業用だと企業内のユーザー管理や必要に応じて共有、ポリシーの適用などがあります。
- 内容や画面は2024年9月現在のものです。KeeperはSaaSなので今後様々なアップデートがあります(きっと)。
- 機能について詳しくは公式ドキュメント(Keeperドキュメントポータル | JP)をご参照ください。
厳格なパスワード管理は必要なのか?
セキュリティに関する啓蒙ガイドのひとつNISCさんの「インターネットの安全・安心ハンドブック」をみると、前半の「基礎を固めよう」でパスワードの話があります。
「総当たり攻撃を防ぐには、探り当てるまでに膨大な時間がかかるようにするのが一番の防御手段で、それには1 桁の文字の種類と桁数による組み合わせを増やします。」
とのこと。同ガイドでは
「... 英大文字小文字+数字+記号混じりで10桁以上を安全圏として推奨」
となっています。
サイバー犯罪者がパスワードを解読するのにかかる時間 - Keeperを参照し、以下の表では、文字数と複雑性の観点での推定時間を示します。
| 文字数 | 小文字のみ | 最低1文字の大文字 | 最低1文字の大文字+数字 | 最低1文字の大文字+数字+記号 |
|---|---|---|---|---|
| 5 | 即時 | 即時 | - | - |
| 6 | 即時 | 即時 | 即時 | - |
| 7 | 即時 | 1分 | 6分 | 6分 |
| 8 | 即時 | 22分 | 1時間 | 8時間 |
| 9 | 2分 | 19時間 | 3日 | 3週間 |
| 10 | 1時間 | 1ヶ月 | 7ヶ月 | 5年(NISCはここ以上を推奨) |
| 11 | 1日 | 5年 | 41年 | 400年 |
| 12 | 3週間 | 300年 | 2000年 | 34,000年 |
総当たりする所要時間を考えると、9桁以下や10桁でも文字の組み合わせに記号がないと、危険ですね。
尚、同ガイド「インターネットの安全・安心ハンドブック」には、第6章でパスワードに関することのみにフォーカスした章があり気になる方にはおススメです。
パスワードの使い回し禁止の人力は現実的?
パスワード長く記号も使おうはわかったよと、そして次の節が「使い回しはだめよ」です。使い回しがだめなら単に最後の文字だけ変える、これもだめです。
それが、だめなのはわかるのですが、わかりますが長くて複雑かつ使い回さないものは覚えられないですよね、私は電話番号という数値のみの10~11桁をよく使うものなら覚えられ、それ以上は厳しいです。
覚えられないパスワードは保管して、適時利用することが推奨されます。次の節でその方法について説明します。
「ノートに書く」? 必要に応じてノートを開く、そこに複雑な文字列がある... などがキツイという話は自明なので割愛します。そうするとパスワード管理=パスワードマネージャーでやりましょう、に行きつきます。
この図の下にあるように、過去のトラブル等がないものは確かに安心ですね。いろいろ調べてみるがよいです。同業界では、代表格のひとつLastPassのLastPass トラブル - Google 検索の話が有名です。
「パスワード管理ファイル」は本当に止めるべき
ExcelやGoogleスプレッドシートで、ID・パスワードをリストして管理すること、様々な企業でよく見聞きします。が、本当に止めたほうがいいです。そのファイル等にパスワードをかけてたって、そのパスワードの複雑性や桁数が甘々だったら悪者からするとないのと同じです。
Keeperのような暗号化されかつ手堅い手順でしかアクセスや共有できない 金庫(ボルト) をうまく企業内で活用することがよいと考えます。
Keeperの良いところ(主なもの)
ざっと思いつくところを書きます。
- 世界的にメジャーなパスワードマネージャーの1つ
- 日本のサポートがある。無料~有料までサポートレベルを選べる
- 誤動作が少ない
- パスキーなど高度な技術に対応している
- 企業向けのオプションを希望によって選択できる
- 企業契約をすると「各ユーザーに無料の Familyプラン(5ユーザー分)」が付いてくる で個人の環境改善もできる
- 企業内でロールやポリシーをきめ細かく定義できる
- Keeperのマスターパスワードの代わりにMicrosoft Entra IDのSAML認証を設置できる
- 価格がリーズナブル
- Breach Watchでダークウェブモニタリングをしてくれる
- UIが分かりやすい
- 営業さんが丁寧で親切
パスワードを覚えることからの解放
Keeperがあれば各SaaSアプリケーションのパスワードを忘れても大丈夫になります。しかも、よっぽどSaaS自体が弱いパスワードしか設定できないことを除けば、すべて厳格なパスワードです。Keeperのパスワード生成ツールがどのようなパスワードを作ってくれるかは、動画のとおりです。
登録されたパスワードの複雑性や使い回しがないか、チェックしてくれます。私は約500のサイトを登録していますが、ごくわずかのサイトだけがアラートで出ており、大半は強力です。
企業版の場合は、管理者であれば組織内ユーザーが同様にどの程度強力なパスワードを使っているか概要をつかめます(どのサイトにどのパスワードでといった詳細は管理者でも確認不可)。
そして各サイトでは、ほぼ自動でサインインしてくれます。
この機能はWindows PCだけでなく、Macやスマホ(iOS、Android)、タブレットでも利用可能です。使えないと厳しいですよね。
私が覚えているのは、Keeperに入るときのマスターパスワードだけで、かなり重要なので二要素認証に対応させています。企業で利用する際は、Microsoft Entra IDのようなIDaaSとSAML連携すれば、Keeperのパスワードも覚えなくてよいです。
便利と安全がいちどに来てくれて有難い限りです。
Keeperの二要素認証の設定
パスワードのマスターとなるKeeperがもしやられてしまったら大変。なので、Keeper自体にも二要素認証を設定することが大事です。このポリシーを組織で強制することもできます。
設定は、ユーザーがいる[ノード]を選び、[ロール]/[強制ポリシー]/[二要素認証]です。
二要素認証の方式のうちどれを許可するかを選定することもできます。
ユーザー側のは右上の名前から[設定]/[セキュリティ]です。
設定を外そうとしても、管理者から要求されているよ、とでて外せません。
ユーザーは許可されている二要素認証の方式から1つしか選択できません。
認証アプリではQRの登録がでます。
Microsoft Authenticatorのような認証アプリで登録します。
右上の「+」から
「その他」からQRコードを読み込んで登録されます。
二要素認証を登録しているサイトが増えてきたら、右上の虫眼鏡の検索から
「Keeper」のように入れて絞りましょう。
Keeperの画面にこの30秒毎に変わるこの6桁コードを入れることになります。
Keeperの二要素認証登録時、「二要素認証コードの持続時間」では、登録するデバイス毎に二要素認証を聞く頻度を決めれます。こちらはWebアプリ、スマホアプリ、(企業用なら)管理コンソールでも同様です。
企業管理のデバイスであり生体認証など別な高度な認証がある、ということであれば「このデバイスでは次回から要求しない」を選べます。ここは各自、各企業でのポリシーで決めるところです。
(企業利用の場合)新しいデバイスは以下のようなデバイス承認が必要となります。
いろいろ手間だなぁと感じられることもあるかと思いますは、二要素認証があればIDに関する侵害の99.9%が防げるといわれています。安全性のために取り組みましょう。
Keeper以外の他のツールは?
これまでに利用してきたもの等の参考メモです。
Dashlane
Dashlaneは、日本語対応があり、UIもそこそこいいです。Keeperに乗り換えることになった点は以下です。
- 謎の不具合にあたることが体感上多く、サポート対応にも問題がありました。
- (たまたま?かもですが)今もホームページに「www.dashlane.com へのリダイレクト回数が多すぎます。」でつながらないですね... EdgeでもChromeでも。
- 管理画面の各種データの更新が遅い
- 日本の代理店がサポートを提供していますが、実際には海外のサポートに依存していました(2024年前半までの状況)。
Keeperが全く不具合がないとはいいませんが、頻度としてはDashlaneよりかなり低くかつ解決に至っています。
1Password
恐らくパスワードマネージャーで最もメジャーではないでしょうか。2018年にApple、全従業員に1Password提供へ - ITmedia NEWSの報道があったことも有名な理由のひとつと考えます。これまで試用等で時々使っています。
選ばない理由は以下です
- 日本語のサポートがない(2024年9月現在。Keeperは日本語のサポートあります)
- UI等が若干エンジニアやIT企業に受けやすく、ビジネスユーザーにはハードルが高い
Microsoft系
Entra ID エンタープライズアプリケーション
シングル サインオンとは - Microsoft Entra ID | Microsoft LearnにあるようにパスワードのSSOも登録できます。しかし、パスワードの使い回しチェック等はありません。
Microsoft Authenticator
認証アプリとしてメジャーですが、パスワード管理もできます。ただ、企業としてユーザーの利用状況管理等はないです。
Edge, Chrome, Safari,iCloud キーチェーン等
主に使わない理由はこちです。
- 企業利用の場合、ユーザーの利用状況管理がない
- マルチOSやマルチデバイスを考えるときつい
2024/9に出たiOS 18では、パスワード管理アプリ「パスワード」が出ました(iOS 18 - Apple)。確実にパスワードマネージの世界は、OS提供者も意識していろいろやってくるでしょうね。
私のiPhoneでは、iCloudのキーチェーンをオフにし、Keeperをオンにして使っています。
おわりに
パスワード管理をそこそこしかしていなかったな、という方は是非どこかのタイミングで見直していただきたいです。
また、現在他のパスワードマネージャーを使っている方でもし「〇〇の機能がちょっと...」などがありましたら、Keeperを検討いただくのがよいかと考えます。
丸い黄色のロゴがKeeperの目印です。
2023年頃は、東京駅の改札や新宿駅南口の看板でも目立っていました。
現在も時々新バージョンのものを見かけます。