はじめに
インターネットの利用が日常化する中、アカウントを安全に守ることはますます重要になっています。特にフィッシング詐欺の被害は増加傾向にあり、生成AIを悪用したフィッシング手法も巧妙化して、だれでも被害にある可能性があります。
そこで、現時点での自分のパスワード管理状況を客観的に評価し、さらにセキュリティを向上できるようなガイドラインを作成しました。セキュリティの強弱については私個人のざっくりとした主観に基づいていますが、おそらく多くの方から同意を得られると期待しています。これを参考に、手遅れになる前に、出来ることから、優先順位に従って、セキュリティを改善してみると良いでしょう。
アカウントセキュリティ強化ガイドライン
まずは、以下の表を使ってあなたが現在とっているアカウントセキュリティ方針がどのレベルにあるかを考えます。
そのレベルでの「セキュリティ強度」と「フィッシング詐欺耐性」に基づいて、現時点でどの程度のリスクにさらされているかが分かるでしょう。
以下の表は、アカウントのセキュリティ方針と、そこからさらに強度を向上させるためのアドバイスを示しています。
| 強度 | 耐性 | アカウントセキュリティ方針 | 説明 | アドバイス |
|---|---|---|---|---|
| -3 | 弱 | 共通のパスワード | 同じパスワードを複数のアカウントで使っている。パスワードが漏洩すると他のアカウントも危険に晒されます。パスワードが複雑で強力だとしても極めて危険。 | 全てアカウントに異なるパスワードを設定する |
| -2 | 弱 | 簡単な異なるパスワード | アカウントごとにそれぞれ異なるパスワードを使っている。異なるパスワードでも、簡単なパスワードでは不十分。 | 各アカウントに複雑なパスワードを設定する |
| -1 | 弱 | 複雑な異なるパスワード | アカウントごとにそれぞれ複雑な異なるパスワードを使い、メモ帳などで一括管理している。紛失を避けるためにメモ帳などに記録すると、メモ帳が漏洩した場合全てのアカウントが危険にさらされます。 | パスワードマネージャで管理する |
| 0 | 中 | 複雑な異なるパスワードをブラウザのパスワードマネージャで管理 | アカウントごとにそれぞれ複雑な異なるパスワードを、Chromeなどのブラウザ内臓のパスワードマネージャで管理している。ある程度安全ですが、家族共有が難しい ー 例えばいざという時に家族が資産にアクセスできない)。 | パスワードマネージャ・アプリで管理する |
| +1 | 中 | 複雑な異なるパスワードをパスワードマネージャアプリで管理 | アカウントごとにそれぞれ複雑な異なるパスワードを、クラウド同期対応のパスワードマネージャアプリで管理しいる。かなり安全ですし、Netflixなどの共有パスワードなどを家族と安全に共有できることなど利便性が増す。 | アカウントの2段階認証を有効にする |
| +2 | 中 | メールやSMSで2段階認証を有効にしている | アカウントに2段階認証の機能があるものは全て、メールやSMSを用いて有効にしている。安全性が飛躍的に高まりますが、「弱い2段階認証」なので、フィッシング耐性がやや劣ります。 | アカウントの2段階認証を認証アプリで有効にする |
| +3 | 強 | 認証アプリで2段階認証を有効にしている | アカウントに2段階認証の機能がある場合は、Google Authenticator, 1password などの認証アプリを用いて有効にしている。「強い2段階認証」なので、フィッシング耐性が高まります。ただし、ソフトフェアのみの認証なので、セキュリティが最強とは言えません。 | アカウントの2段階認証を認証アプリとセキュリティデバイスで有効にする |
| +4 | 強 | 認証アプリとセキュリティデバイスで2段階認証を有効にしている | アカウントに2段階認証の機能がある場合は、外部セキュリティデバイスと認証アプリを用いて有効にしている。非常に強力です。しかしパスコードをコピーする必要があるなど、利便性はやや落ちます。 | クラウドで同期できるアプリでパスキーを管理する |
| +5 | 強 | パスキーをクラウド同期アプリで管理 | アカウントにパスキーの機能がある場合は、1passwordやAppleキーチェーンなどの、クラウド同期できる認証アプリを用いてパスキーを有効にし、ログイン時に利用している。パスキーは安全性と利便性の両方が高まります。ただしクラウドで保存・同期するのでわずかにセキュリティがあります。 | デバイスのセキュリティハードウェアでパスキーを管理する |
| +6 | 強 | パスキーをセキュリティデバイスで管理 | アカウントにパスキーの機能がある場合は、YubiKeyやGoogle Titanなどの、セキュリティデバイスを用いてパスキーを有効にし、ログイン時に利用している。現時点で最も高いレベルのセキュリティを確保していると言えます。 | 現時点で最も安全な状態です |
セキュリティ強度は「0」が最低限あるべきアカウントセキュリティ方針です。この方針は特に費用も掛からずに今すぐにでも達成できる状態です。もしマイナスの管理方針に当てはまる場合は今すぐにでもアドバイスに従って行動しましょう。プラスの状態でも、例えば銀行や金融系のアカウントなど機密性が高いものについてはより強力なセキュリティを設定することをお勧めします。
自分の状況に応じたアドバイスを参考にして、少しずつセキュリティを向上を目指しましょう。
優先順位にもとづいた「今すぐできること」
以下は、すぐに実行できるセキュリティ改善策を優先順位をつけて整理したものです。簡単に実践できるものから始めて、段階的にセキュリティを強化していきましょう。
1. 2段階認証の設定
仮にパスワードが簡単であったり、複数アカウントで使い回しされているなど脆弱な状態でも、2段階認証を設定するだけでセキュリティが飛躍的に向上します。メールやSMSを使った2段階認証はフィッシング耐性がやや落ちますが、設定しないよりは遥かに安全です。可能であれば、認証アプリ(Google AuthenticatorやMicrosoft Authenticatorなど)を使用することでさらに強化できます。
やり方:主要なアカウント(銀行、メール、SNSなど)から設定を開始してください。設定は数分で完了し、大きな効果が得られます。
2. パスワードの使い回しをやめる
パスワードの使い回しをしていると、一つのアカウントが漏洩した際に他のアカウントも危険にさらされます。これは、漏洩が自分の操作ミスでなくてもサービス側のセキュリティ不備で起こり得るためです。特に重要なアカウント(銀行、メール、クラウドストレージなど)は、それぞれ異なるパスワードを設定します。複雑で長いパスワードを選びましょう(例: 12文字以上でランダムな文字列)。
やり方:パスワードマネージャ(LastPass、1Password、Dashlaneなど)を利用すると、複雑なパスワードを管理しやすくなります。ブラウザのパスワードマネージャを利用するのも悪くありません。ただこの場合、ブラウザのプラットフォームにロックインされるという不便が生じるかもしれません。
3. パスキーの導入
パスキーは最新のセキュリティ技術で、非常に強力かつ利便性が高い方法です。2段階認証を省略できることもあり、手間を大幅に削減できます。パスキーはデバイス内のセキュリティチップで保護され、ハードウェアベースの強力なセキュリティを提供します。パスワードを記憶する必要がなく、フィッシング詐欺への耐性も非常に高いです。
サービスがパスキーに対応している場合、設定を有効にするだけで利用可能です。パスキーの設定は、既存のパスワードや2段階認証と合わせて使うことができます。普段のサインインにパスキーを使う習慣を作れば、フィッシング詐欺に騙されてパスワードを誤って渡してしまうような事故が減ることが期待できます。Microsoft, Amazon, GoogleやApple ID、一部の金融機関などがすでに対応しています。
高リスクのサービスから始めよう
私たちはたくさんのオンラインサービスを使っていますが、利用するサービスの重要性に応じて、セキュリティ向上の優先順位を決めましょう。
| 分類 | 例 | 説明 |
|---|---|---|
| 高リスクのサービス | 銀行口座、クレジットカード、健康情報、オンラインショッピングなど。 | 認証アプリやパスキーを提供しているサービスを優先的に選びましょう。SMSやパスワードリセットのみのサービスは避けるべきです。 |
| 中リスクのサービス | SNSやメールサービスなど。 | 2段階認証(特に認証アプリ対応)が利用できること。パスキー対応であればさらに安心です。 |
| 低リスクのサービス | 一時的に使うアカウントや情報量が少ないサービス。 | パスワードリセットのみでも問題ない場合がありますが、可能であれば2段階認証を利用してください。 |
一度に全て改善するのは無理なので、高リスクのアカウントから見直すとよいでしょう。SNSは特に「なりすまし被害」にあわないようにセキュリティの高い方法を有効にしておきましょう。最低でも2段階認証を有効にしましょう。
パスワードに関するベストプラクティス
パスワードを安全に管理するには、以下のポイントを押さえることが重要です。
-
パスワードの使いまわしは厳禁
アカウントごとに個別のパスワードを設定しましょう。同じパターンを使うのもリスクが高いため避けてください。 -
最強のパスワードは「長くて意味不明な文字列」
パスワードマネージャの「パスワード生成機能」を使えば、覚えるのが不可能なほど安全なパスワードを簡単に作成できます。自分で適当に作るよりも信頼性が高いです。 -
覚える場合は「長さ」を重視
暗記が必要な場合、複雑さより長さを優先しましょう。辞書にある言葉をランダムにつないだ「パスフレーズ」は覚えやすく、十分安全です。 -
パスワードマネージャを活用
パスワードマネージャを使えば、パスワードの管理が楽になり、セキュリティリスクを大幅に減らせます。
パスワードの強化はアカウントの安全を守る第一歩です。特にパスワードマネージャの導入を検討してみてください。
2段階認証の「弱いもの」と「強いもの」の違い
前章で説明したとおり、2段階認証(2FA)はアカウントのセキュリティを大幅に向上させる便利な機能なので、今すぐに設定できるオススメの対策です。しかし、同じ2段階認証でも大まかに「弱い2段階認証」と「強い2段階認証」に分けることができます。以下に違いとそれぞれのメリット・デメリットを解説します。自分の利用状況やリスクに応じて、「弱い方法」からでも始めて、徐々に「強い方法」へ移行してみましょう。
弱い2段階認証:メールやSMSを使う方法
ログイン時に、登録したメールアドレスや電話番号に送られてくるコードを入力します。設定が簡単で、ほとんどのサービスで利用可能です。メールやSMSを受け取るだけなので、初心者でも迷うことなく使えます。
- メリット: ないよりも安心・安全です。パスワードが漏洩しても、このコードがないとログインできません。
- デメリット: 詐欺師が電話番号を乗っ取る(SIMスワップ)という攻撃でで、SMSコードを盗まれる可能性があります。また、メールやSMSが届くのが遅く、イライラすることがありますし、海外など特定の状況でSMSが受信できない場合は不便です。
強い2段階認証:認証アプリを使う方法
Google AuthenticatorやMicrosoft Authenticatorなどのアプリが、30秒ごと(60秒ごと)に新しいログインコードを生成します。
オフラインでも利用可能(SMSやネット環境不要です。仕組みは同期した時計とあらかじめ合意した秘密の鍵にあります)。アプリを乗っ取るのは難しいため、安全性が高い。
- メリット: SMSに比べて格段に安全。
- デメリット: アプリを紛失した場合、バックアップコードが必要なので、それをどこかに安全に保存する必要がある。
さらに強い2段階認証:ハードウェアキーを使う方法
専用のセキュリティデバイス(例: YubiKey)をPCやスマホに接続し、生体認証などを用いてログイン認証を行います。物理的なデバイスで認証するため、フィッシング詐欺に非常に強い。
- メリット: 最も高いセキュリティレベル。パスワード不要の「パスキー」としてもかまいません。
- デメリット: デバイスを購入するコストがかかる。デバイスを紛失した場合に手続きがやや面倒かもしれません。
オンラインサービスのサインインセキュリティを評価しよう
オンラインサービスは本業のサービスの質はもちろん重要ですが、ログイン・サインインする方法などのセキュリティ機能も考慮すべきでしょう。
おおまかに以下のログイン方法が提供されているかどうかを基準に評価します。
| 評価 | ログイン方法 | 説明 |
|---|---|---|
| C | パスワードリセットのみ | 最低限の安全性しか提供されていません。2段階認証がないサービスはリスクが高く、利用を避けることを検討しましょう。 |
| A- | メールかSMSベースのみの2段階認証 | 最低限のセキュリティを提供しますが、SIMスワップ詐欺には注意が必要です。 |
| A | 認証アプリ対応2段階認証 | より安全で使いやすい。認証アプリ対応のサービスはフィッシング耐性が高く、評価ポイントです。 |
| A+ | パスキー対応 | 最も高いセキュリティを提供します。パスキー対応のサービスは安全性だけでなく利便性にも優れており、特に個人情報が重要なサービスで推奨されます。 |
最低でも「メールかSMSベースのみの2段階認証」が提供されていることが期待したいです。それすら設定されていないサービスで、機密性の高い種類のサービス(例:銀行)を利用したい場合は他社のサービスを検討すべきでしょう。
まとめ
オンラインサービスのセキュリティ環境は常に変わり続けています。技術の進歩は同時にハッカーの技術の進歩でもあるので、常にアップデートしていくことが大切です。