安全なパスワードは、ビジネスを安全に保つために必須です。しかし、パスワードを保管する際、利便性とサイバーセキュリティは時として相反するものであり、その結果、パスワードの保管を怠ってしまう人が出てしまいます。チームメンバーが安全でない方法でパスワードを共有すると、最も安全なパスワード・ソリューションでも台無しになってしまいます。
本記事では、パスワードを保管する最適な方法をオンラインとオフラインに分けてご紹介します。
目次
パスワード保管ソリューションに求めるべきもの
理想的なパスワード保管ソリューションに求めるものを誰かに尋ねれば、おそらくセキュリティに関連する答えが返ってくるでしょう。セキュリティはもちろん第一に重要なことですが、次に「利便性」という言葉も出てくるはずです。
使い勝手が悪いパスワードボールト(保管庫)は、サイバーセキュリティの脅威にもなりかねないです。
安全なパスワード保管
パスワード保存の優れた方法において、セキュリティが最も重要な機能であることは間違いありません。例えば、TeamPassword はセキュリティが非常に重要視されており、TeamPasswordのホスティングプロバイダーは、SOC1 および 2、ISO 27001、などの多くのセキュリティ認証を受けており、それでアカウントの安全が守られています。
また、一般的に言うと、安全なパスワード保管には、保管されている他のパスワードにアクセスするためのマスターパスワードが最低でも必要です。オンラインではパスワードマネージャーで、オフラインだと、金庫やパスワード保存装置がそれにあたります。
便利なパスワード保存
誰だってパスワードを忘れて自分のアカウントにアクセスできなくなることは避けたいものです。たとえ金銭的な損失がでなくても、パスワードを思い出したり再設定している時間は非常にもったいないです。そうなると、人はパスワードを覚えやすくするため使い回すようになります。しかし、同じパスワードを使い回すとWeb サイトが1つでもハッキングされれば他のアカウントが全て危険にさらされる可能性があることから、大きなサイバーセキュリティのリスクとなります。
これは、パスワードの保存方法が不便であることによって引き起こされる、サイバーセキュリティリスクの始まりに過ぎません。そしてもう1つは、パスワード管理システムでチームでパスワードが安全に共有できない場合に、チームメンバーが社内メッセージや SMS、メールなど、安全でない方法を使用する可能性がある場合です。
また、不便さから生じる現実的な問題もあります。例えば、iCloud キーチェーンやブラウザ内蔵のパスワードマネージャーを使っている場合、接続されていない各デバイスにリストが部分的に残ってしまいます。iPhoneのアカウントにログインしようとしたときに、Chrome のパスワードマネージャーを確認するためにノートパソコンを開かないといけなかったなんて経験をしたことがある人もいるのではないでしょうか。
パスワードをオフラインで保存する方法
多くの人はパスワードを紙に書き留めています。パスワードを使い回すべきではないことはわかっていても、パスワードを100個(一人あたりの平均アカウント数)も覚えておくのは不可能なのでついつい書き留めてしまいます。これには大きなリスクもあります。
基本的に、パスワードの安全性はその紙切れと同じくらいになります。 パスワードをオフラインで保存する方法は他にもあります。
では、パスワードをオフラインで保存する一番いい方法と一番やってはいけない方法を見ていきましょう。
パスワードをオフラインで保存する最悪の方法
パスワードをオフラインで保存する際に最もやってはいけない方法は、モニターに付箋を貼ることです。オフィスで働くなら絶対にやっていはいけない行為です。
「クリアデスクポリシー」と呼ばれることもありますが、従業員は、お手洗いに行くときや休憩室でコーヒーを飲むときなど、席を離れるときはいつでも自分のデスクからビジネス上の機密情報をすべて取り除くように教え込まれるべきです。パスワード、ノート帳、USBメモリなどを取り除いてデスクトップのパスワード画面に戻ることで、ビジネスの安全性が上がります。
パスワードをオフラインで保存する最善の方法
パスワードをオフラインで安全に保管する方法は2つあります。1つ目は、アナログな方法ですが、金庫の使用です。紙に書かれたパスワードは、紙そのものと同じ安全性しかないため、そのバックアップを金庫に入れることは、オフラインのパスワード保存プロセスにセキュリティが追加される実用的な方法です。
2つ目はハイテクなソリューションになりますが、オフラインのパスワード保存装置の使用です。このような物理的なデバイスには何種類かあり、コンピュータとインターフェースするものもあれば、完全に分離しているものもあります。
その一例として、拇印読み取り機能が搭載された USB スティックがあります。何百ものパスワードをデバイスに保存でき、拇印を使ってデバイスのロックを解除するまで、デスクトップには表示されません。もうひとつの例は、ラベルメーカーや電卓のようなものです。マスターパスワードを使ってデバイスのロックを解除し、新しい認証情報(ユーザー名とパスワード)のセットを表示または追加することができます。このようなデバイスは、他のデバイスとインターフェースしたり、インターネットに接続したりすることはできないということで、事実上、ハッキングされることはありません。
ただし、金庫やオフラインのパスワード保存装置を使うのは不便であることに注意してください。そもそもオフラインのパスワード保存とは、重要なパスワードを忘れたり、オンラインのパスワード保存システムが故障した場合に備えて、バックアップのパスワードリストを作成することであり、理想的には、それらの方法は使わず、アカウントにアクセスできなくなった場合に備えて存在するものなのです。
オンラインでパスワードを保存する方法
パスワードをオンラインで保存する場合は、暗号化されていることを常に確認すべきです。暗号化とは、データを保護する方法であり、たとえ犯罪者の手に渡ったとしてもそれを読み取ることができないようにするものです。
ここでは、パスワードのオンライン保存における一番いい方法と一番やってはいけない方法を見ていきましょう。
パスワードをオンラインで保存する最悪の方法
パスワードのオンラインでの保存における危険な方法については、以前にも説明しました。その方法がすべて、オンラインでのパスワード保存においてよくない方法であるのは、暗号化されていないからです。もし誰かがその文書にアクセスすれば、パスワードにもアクセスできてしまいますからね。では、パスワードを保存する場所として特に悪いものを2つご紹介します。
1.メールや SMS メッセージにパスワードを保存しない
メッセージやメールを誰かが開くことができれば、その人はパスワードにアクセスすることができます。さらに、メールアドレスは、2FA(二要素認証)による本人確認や、紛失したパスワードの検索に使われることが多いため、メールはパスワードを保存する場所として特に危険なのです。
2.パスワードをメモやオンライン文書に保存しない
Google Sheets は、パスワードをすべて保存しておける魅力的な場所です。リンク、ユーザー名、パスワード、サービスの利用料金、いつ登録したかを表にして整理するのは簡単ですし、そのファイルへのアクセスはチーム内の人と共有できるので便利です。また、ドキュメントの編集や閲覧には共有が必要なので、セキュリティの面でも安心です。
ただ、もし誰かがあなたのメールアカウントにどうにかしてアクセスできてしまったら、メールアカウントに直接パスワードを保存するのと同じように、暗号化はされていません。そうなると、ハッカーはすぐにアカウント情報をすべて見ることができ、それを悪用することができますよ。
デスクトップであろうとノートパソコンやモバイルデバイスであろうと、ノートはどれも同じくらい安全ではありません。また、それは他のチームとの認証情報の共有もしにくいため、従業員は Slack、SMS、メールなどの安全でない方法で他の人とパスワードを共有することになります。
パスワードをオンラインで保存する最良の方法
パスワードマネージャーは、パスワードをオンラインで安全に保存する唯一の方法であり、それには携帯電話やブラウザに内蔵されているパスワードマネージャーや、TeamPassword のようなサードパーティのパスワードマネージャーがあります。
また、専用のパスワードマネージャーだと、すべてのデバイスで使えるのでパスワードを全部一箇所でまとめられることから、セキュリティ面でもさらに貴重なものになります。さらに、TeamPassword だと、同僚と安全なパスワードの共有ができます。
ただ、Chrome のパスワードマネージャーや iCloud のキーチェーンには、パスワードを安全に共有する方法がないため、セキュリティの総合的な価値の多くを失うことになります。同僚がテキストやメールを使ってパスワードを共有する場合、より良い選択肢がないため、ログイン情報が流出したままになってしまうのです。
TeamPassword はパスワードをオンラインで保存する最適な方法です。
オンラインでパスワードを保存する最適な方法を選ぶ際には、「利便性」も「安全性」も重視すべきです。便利な機能があれば、チームで誰かがメールや SMS でパスワードを共有してセキュリティ被害を回避することができるでしょう。
TeamPassword を使えば、パスワードを安全かつ簡単にオンラインで保存および共有することができます。クラス最高のセキュリティ対策ツールを活用することで、全ログイン認証情報の保護ができるうえ、チームメンバーのアカウントへのアクセスを個別に管理することから、安全な連携が実現します。
早速14日間の無料トライアルにサインアップして、TeamPassword をぜひご体験ください。
