00:01
マイクロソフトの製品や技術を楽しく、分かりやすくお話しするPodcast番組、WoodStreamのデジタル生活です。
第604回目の配信になります。お届けしますのは木澤です。よろしくお願いします。
はい、今週もお行きいただきありがとうございます。
この配信はクラウドファンディングキャンプファイヤーのコミュニティにより、皆さまのご支援をいただいて配信しております。
今回、MSNさん、ホワイトカラーさん、はじめ合計10名の方にご支援をいただいております。ありがとうございます。
ご支援の内容に関しましては、この番組ウェブサイト、windows-podcast.comでご案内しております。
もしご協力いただけるでしたら、よろしくお願いします。
また、リスナーの皆さんとのコミュニケーション法として、チャットサイトDiscordにサーバーを開設しております。
こちら、Podcast番組、電気ウェブワーカーと共同運用しております。よかったら参加してみてください。
DiscordサーバーのURLは番組ウェブサイトにリンクがあっております。
さて、今日お話しするのは、パスワード管理の話をちょっとしたいなと思っています。
皆さん、いろんなウェブサイトとかで、メールでもSNSでも、例えばショッピングサイトでも、いろんなところでIDとパスワードの入力をされていると思います。
結構だいぶ今状況が良くなってきて、シングルサインオンというところで、例えばFacebookのIDだけでログインできるだとか、
これ例えばGoogleのIDでもそうだったりするんですが、あとは二段階認証ということで、Yahoo!なんかそうですよね。
Yahoo!にログインしようとすると、Yahoo!に登録している携帯電話にSNSで番号が送られてきて、その番号を入れるとログインできるとかね。
おかげで私もYahoo!のパスワードは何だったかって、覚えてないってことはないんですけど、そんな気にしなくなっちゃったっていうくらいなんですが、
そういったところもあるんですが、やはりまだ結構IDとパスワードを入れてログインするっていうのはかなり多いと思うんですね。
私の場合どうなるかっていうと、これね、これ私だけじゃないと思うんですけど、セキュリティ上の問題があるんで、私はこうしていますとはなかなか言えないんですよね。
こいつこういうパスワードの設定してるんだなっていうのを言ってしまうことになります。
わかってしまうことになりますね。
ちょっとそこはあまり詳しくお話でできないんですが、今どうやってるかっていうと、もう各サイト全て個別に設定をしてバラバラにしています。
一つ一つ違うんですね。それをほぼ覚えています。覚えているんですけども、中にはサイトによっては定期的に更新しなきゃいけないものがあるんですね。
例えば90日間で更新してくださいと、そういったものもありまして、そういうときは定期的に更新するんで、そこら辺をちょっといろいろ考えなきゃいけないというところで、悩みどこなんですよね。
正直言うと覚えきれないんです。今辛うじて覚えてるっていう、どうやって覚えてるかっていうのはまた秘密なんですけども、
結構管理がもうどうしようもなくなっちゃってるっていうところにありまして、
03:03
例えば新しいサービスが始まりました、新しいサイトに入りました、ユーザー登録します、このパスワードどうしようかなとかね、そういうのもよくあるんですよ。
一つ一つ増えていってて、ものすごい量になってしまうっていうところがあって、もう勘弁してくれという話をFacebookでもしてたら、
キズナさんパスワード管理ソフトとかね、いろいろあるんで使ったほうがいいんじゃないですかっていうことで、皆さんにもいろいろ教えていただきました。
最終的にはですね、トレンドマイクロのパスワードマネージャーというソフト、これ有料課金サービスで月275円だったかな。
あとはパッケージ版ということでね、3年版とか1年版とかっていう契約版も買うことができるんですが、
サブスクリプションサービスを使ってパスワード管理をそっちにやるようにしました。
ちょっとその話をする前にですね、じゃあこのパスワードって今どういうふうに推奨されてますかって話なんですね。
これは電子印象に関するガイドライン、NIST SP800-63-3、もしくはNIST SP800-63-Bというやつで見解が出されていまして、
これについて日本の政府の方でも、これ内閣のサイバーセキュリティセンターというところからインターネットの安全安心ハンドブックというのが出てるんですね。
これちょっと忘れてなければこの番組の方にリンク、この番組の概要のところにリンクを貼りたいと思います。
これはPDFファイルで展開されていまして、あと総務省の方からも国民のための情報セキュリティサイトということでガイドラインが出ています。
この中で安全なパスワード管理というページがありまして、これもちょっとリンクで貼っていきたいと思うんですが、
ここで書かれているのが非常に興味深いんですけど、これまでのパスワードの定期的な変更が推奨されていましたが、
2017年に米国国立標準技術研究所NISTからガイドラインとしてサービスを提供する側がパスワードの定期的な変更を要求すべきでない旨が示されたところです。
これがさっき言ったNIST SP-800-63という文書ですね。
また日本においても内閣サイバーセキュリティセンターNISCからパスワードを定期変更することなく、流出時速やかに変更できるパスワードを定期変更する必要はなく、流出時に速やかに変更できる旨が示されていますというところで。
これも先ほど言いましたハンドブックのところなんですが、このハンドブックも見るとPDFファイルのところに入っているんですけども、十分に複雑なパスワードで使い回しをしないものであれば、特に定期的に変える必要はありませんよと。
むしろ定期的に変えるためにパターン化してしまったりとか、逆にシンプルな単純なものにしてしまったりという恐れがあるので、逆にそこら辺のリスクの方が大きいですよと言われています。
といったところで定期的に変えるというのは私も何箇所かでやっていたんですけど、そういうことよりも自分が覚えられないくらい複雑なパスワードにしてしまった方がいいのかなと思っています。
06:11
さっき私が自分が覚えられるくらいということはパターン化されているわけですね、私の中でね。
これあんまり言っちゃいけないと思うんですけど。
でも結構皆さん多いと思うんですよね。覚えてるじゃないですか、皆さんね、パスワードね。
それが例えば大文字のAの小文字のZで数字の4でその後$が来てとか、そんなようなパスワードってあんまり設定することないと思うんですが、そういったところで逆にシンプル化して覚えやすくしてしまう。
例えば1箇所分かったらパターン化をしてしまう。
じゃあ他のサイトはここら辺を変えたら入れるんじゃないかと入れてしまうとかね。
そういったケースも出てくると思うんですよ。
私は工夫してますっていう方もいるんで話聞いてると、これ1箇所見られたら多分パターンで全部この人バレちゃうだろうなっていうケースもありますんで。
そこはすごい気をつけなきゃいけないかなと思いました。
一方、定期的に変更するっていうことについては考え方としてはパスワードが例えば盗み取られてしまって、そのまま気がつかないで変更したままっていうよりは定期的にでも変更して、一時的にはガードが取られちゃうかもしれないので危険はありますけれども、
何らかの形で変更したらもう利用できなくなりますんでね。
それも危険かな。
やっぱり変更した方がいいっていうことはあることはあるんですよ。
あとはその各サイトだとかサービスとか企業によっては更新を義務付けてるってところがありますんで、そこはもうそこにした方しかないかなと。
今それがいいかどうかっていうのはこういう風に意見が出るところなんで、考え方も変わってくと思うんですけどね。
そんなところで、各サイトで指定をされてる場合はちょっとそっちにした方しかないかなと。
さて、じゃあそのパスワード管理どうしましょう。覚えらんないですよね。
冒頭も言いましたけど、私にしか分からないようになってるんだけど、すごくパターン化されてるっていうか、
分かりやすくなってるんですよ、私にとってはね。だから覚えられるんですね。
ただもう一方、さっきも言いましたけど、覚えられないくらい複雑にしたいっていう。
じゃあそこら辺をどうしたらいいかっていうところで、もうこれもパスワードの管理ソフトというか管理サービスを使うしかないかなと。
いろいろ使うしかないかなって言いましたけど、私はそういうふうに思ったんですけどね。
ということで、利用してみようかということで、ちょっと今回サービスを利用し始めました。
ここで使うパスワードって、もう完全に自動生成ですね、私の場合。
もう自分でも覚えらんない。一瞬この文字が並んでるなっていうのはね、なんとなく設定上覚えるんですけども。
そんなような状況で、あとはどこからでも使えるっていうのが私の条件ですね。
Windowsマシンであったり、モバイルで持ってるMacであったり、あとスマートフォンですね、iPhoneだとか、あとiPadも持ってますんで。
そういったところから、どこからでも使えるってこと。
09:02
もちろんそのパスワードの自動入力もあるし、どのパソコンを使ってても、最低にiPhoneだけ持ってれば、どこかしらにログインできるような状態にしておくということで、いろいろと考えました。
結構皆さんからご意見いただいたんですが、結構やっぱり有名どころはワンパスワードですね。
数字の1って書いてパスワードってサービスですね。これワンパスワードってサービスで、これが390円ぐらいだったかな、400円弱だったと思うんですけども。
の月額サービスで、ここに置いてある情報を、例えば個人持ちのクラウドのストレージに置いて利用するとかね、そういった話は聞いています。
確かにワンパスワードで一回お試しでアカウントをいただいた、お試し用のキャンペーン版みたいなのをいただいたことあるんですけど、結局そのとき使ってなかったんですけど、そういったのもあるのと、
もう一つサービスとしては、トレンドマイクロですね、ウイルスバスターとか出しているトレンドマイクロがパスワードマネージャーというのを出していて、これも月額サービスです。
そういうのも出ているということで、そういうのもありますよということで、いろいろ意見いただきました。
もちろんそれ以外も実際調べると、オープンソースのサービス、一部機能を使うには有料になりますよというのもあるんだけど、基本無料で使えるサービスというのもあります。
個人的には無料でというのは嫌だなというか、大丈夫かなというところもありまして、結構有名どころなので大丈夫ですというふうに皆さん言っていますけどね。
あとはパスワード管理に関してはOSレベルとかで管理できているかなというのをちょっと見るとですね、
Apple製品をお使いの方はもう皆さんご存知だと思うんですが、iCloudのiCloudキーチェーンという機能があります。
これはMacでSafariでパスワードを入力したときに、これをコメントさせますかというと入ってやると覚えてくれるんですね。
それがiCloudベースでApple製品に全部使えるようになるんです。
だからMacでログインできたりすると、iPhoneとかiPadでもログインできる、わざわざ入れなくてもいいという、パスワードを入れなくてもいいという状況になったりするんですね。
逆にiPhoneで入ったらMacでも入れるとかね。
そういったところで、iCloudを使っている中では共有できる、しかも管理できるし、これはApple製品、個人情報を持たないということなので、Apple自身も中身を見れないというものになっています。
でもこれ昔言われたのが、便利だけどApple製品だけだよねっていうところなんですが、ここちゃんとMicrosoft対応しています。
Windows版、iCloud for WindowsというのをWindowsにインストールすると、いろんな情報を共有してくれるんですね。
iCloudの写真だとか文章だというのを共有してくれるんですが、その中でこういったキーチェーンというのも共有してくれるようになります。
これを入れるとWebブラウザのMicrosoft Edge、もしくはあとはChromeですね、これに拡張機能、エクステンションとしてiCloudのキーチェーンが入ってくれます。
12:11
ですから今はiCloudを使うとWindowsでもMacでもOKと、そういったところで普通に使う人はこれで用が足りてしまうんですね。
ですから今の話を聞いて、まず無料で試してみたいなという方は、iCloudを利用することとiCloudキーチェーンを使ってみるというのが方法の一つかなと思っています。
そこで私が利用したのはトレンドマイクロのパスワードマネージャーです。
これも基本的に何をやるかというと、パスワードを全部覚えてくれて、クラウドでデータを管理して呼び出したいときに呼び出せる。
もしくはWebブラウザなんかはあらかじめIDとかパスワードの項目は入力をしてくれた後はOKとボタンを押すだけでいいという、ほとんどパスワード入力しなくていいということができる製品になります。
ここら辺の管理ソフトはWindows版とMacOS版、そしてiOS版とAndroid版というのが出ています。
この月額のサブスクリプションサービスもしくは1年版、3年版というものをパッケージで買うと、これ一つ買うだけでデバイスとしては無制限に使えます。
例えばiPhoneを数台持っています。Androidも数台持っています。Macもたくさん持っています。Windowsもたくさん持っています。
いるんですよね、そういう人ね。そういった方も実際1つのアカウントだけで使うことができます。
まずパスワードマネージャー自体には登録をしてあげないといけないのですが、この登録書とすると登録するところで一通り有名どころのサービスやウェブサイトがテンプレートとして置いてあります。
例えばTwitterやFacebookも入力しようとするので、Twitterのアカウントはこれです。パスワードはこれです。
TwitterのURLもあらかじめ用意されているので、それだけ入れたらパスワードマネージャーで使うだけということになります。
ここでパスワードを設定するのですが、あらかじめ自分で作っていたパスワードを入れ直しちゃうとあまり意味がないじゃないですか。
覚えなくていいというのは出てくるかもしれませんが、パターン化されてしまっただとか覚えやすくなっているというのは避けたいなというところで、この段階でパスワードを生成するということができます。
文字数はいくつですか、A文字は大文字小文字を入れますか、数字を使いますか、パーセントの$とかシャープとかの記号を使いますかとか、そういった指定ができて、
例えばこれを8桁だとか10桁だとか指定するとパスワードをそこで作ってくれます。
15:00
私は全部作り直しましたというのはあまり言っちゃいけないかもしれませんが、はっきり言って私もパスワードをどのパスワードになっているか覚えていられないというのは本当にそのような状況で、
パスワードを作り直したのですが、さすがに設定をし直さなければいけないわけですよね。
そこだけはちょっと面倒とは言えるのですが、1回だけなので各ウェブサイトに行って今までのパスワードはこれでした、新しいパスワードはこれですとかいろいろな方法がありますが、
例えば認証用のメールを送られてくるというのもありますが、そういったところで今順次パスワードを書き換えて複雑なものにしています。
ということで今パスワードマネージャーがないとログインができない、中にはメール認証でパスワードのリセットでできるのですが、
そういったところで設定を入れ直しているところです。ほとんどできるようになったかな。
もちろんウェブブラウザでエクステンションで入るので、例えばマイクロソフトエッジとかだとパスワードマネージャーのアイコンが上の方にあるので、
そこをクリックするとパスワードを自動入力するとかメニューが出てきているとか、
あとウェブサイトに行くとパスワードマネージャーが働いていてもパスワードを入れますよとかそういったことをしてくれます。
例えば従来のエッジでもそうだしサファリでもそうだったんですけど、そういったところをパスワードマネージャーが肩代わりをしてくれます。
ということでログインするとパスワードの文字列のところにはアスタリスがたくさん並んでいて、あとはOKボタンを押すだけということになっています。
あとエクステンションで表示できると言いましたけどもちろんそこはガードしてあって、マスターパスワードというのだけは設定してあげます。
これトレンドマイクロのアカウントと別にパスワードマネージャー用のパスワードというのは用意していて、それだけは覚えておかなければいけないです。
それでログインすることができますし、これWindowsの場合はキーボードとかで入力してできましたけど、
例えばiOSとかになるとフェースIDで解除できるんですね。
パスワードマネージャーのアプリ立ち上げるとパスコードで入力、パスワードで入力して解除することもできるけど、フェースIDで解除できるんですね。
あとは例えば私が持っているiPad Airの第三世代というのはボタンがあって指で認証するんですけども、指紋認証ですね。
iPadにパスワードマネージャーのアプリを入れても指でタッチして認証してログインできて中身が見れるということになっています。
そういった生体認証とも一緒にできるようになっています。
そのところで複雑なパスワードを作ってくれて、しかも全部覚えてくれて入力も手間も省くことができるというのがこの製品で、トレンドマイクロのパスワードマネージャーではそういったことができます。
他には機能としてモニタリングということで、例えば自分自身のメールアドレスだとか、銀行の口座番号とか登録しておくと、
18:10
それが例えばダークウェブというか、そんなのがネット上で使われていないかというのを監視してくれるというのがあるんですね。
銀行の口座はちょっと怖いのでやめていますけど、とりあえず私のメールアドレスを登録して、私のメールアドレスがどこかで勝手に使われていないかというのをチェックしてくれるようにしてもらっています。
あとはパスワードは今自動生成と言いましたけど、例えば自分で決めたいんだという方は決められまして、
パスワードの強度チェックだとか、複数のサイトで使い回しをしていないかというチェックもしてくれます。
そういった機能をこのトレンドマイクロのパスワードマネージャーには機能として入っています。
ここでお金を本当にかけなくてもいいのかなって、今まで長い間かけなくて済んでいたんですけどね、
さすがにちょっとやばそうだなというようなところが、私もパスワードに関しては思うところがいろいろありまして、
そういったサービスを利用してみようかなということで利用しています。
ただ、切り返すのが単純作業をポチポチやっていくというのもいい気晴らしになりますしね。
これこれでよかったかなと思っていますけど、すごく便利に使わせてもらっています。
いいですよ、いろんなサイトでこのパスワードはなんだったっけと悩むことがないですしね。
中にあるんですね、パスワードなんだっけと言っているうちに、
いやもうめんどくせえからここログインするのやめようという、そんなところもあったりしていたんですけど、
そういったのも全部解決していってですね、いろいろ使えるようになりました。
久々にアクセスするサイトなんてパスワードなんだっけってありますよね。
この前のバックスペースFMを聞いていて、
ゼンジさんが本番中にソフマップに久々にこの前何買ったか見てみたいってことを突然思って、
ソフマップにログインしようとしたらソフマップのパスワードを忘れたってやってましたけど、
私もああいうことよくあるんですね。
そういやソフマップってしばらくログインしてないですけど、
そんなところなんで、そういったところもパスワードのマネージャーがあれば管理してくれているので、
ちょっと便利に使えるかなとそんなふうに思っています。
ここら辺でセキュリティの話しちゃうと、いや木澤さんそれでもまずいんじゃないとかね、
いや今喋っていいのこういうことっていうとかね、いろいろツッコミどころ満載だと思うんですけども、
いろいろ正解もないっていうところもまた一つですし、
今こういうことをやってるけども、実はまた状況が変わるとかね。
それからさっき言った定期的にパスワード変えるなっていうのは昔は常識って言われてた。
むしろそうしてくださいと言われてたんですけども、途中から何もそうする必要ありませんよと。
むしろ複雑なパスワードにして、何かあったらすぐ変えられるような体制をとってくださいっていうのが
スタンダードになっていくというところもありますので。
状況は変わりますので、こういったセキュリティ関係は常に目を向けてですね、
その時々で対応していこうかなとは思っております。
21:00
そういうことで今回はパスワードの管理、
そして私が利用したトレンドマイクロのパスワードマネージャーについてお話をさせていただきました。
はい、第604回はパスワード管理とトレンドマイクロのパスワードマネージャーについてお話をさせていただきました。
基本的には私、紙に書いたりして残すことはないんですね。
ポストイットにモニターに貼っておくなんて、そんなちょっとお笑い話みたいなことはしないんですけども。
まあまあそんなところで、皆さんそれぞれちょっと気にする機会になったらいいかなと思いました。
はい、そういうことでまたいろんなネタを集めてお話したいと思います。またよろしくお願いします。
