インターネットのアカウント管理
高見知英
SIDE BEACH CITY.の内部をお伝えするSBCast. Ch2。
今回はアカウントというものについて、インターネットのアカウントというものについてということでお話をしていきたいと思います。
お話、フィーネさんと杉山さんにお越しいただきました。よろしくお願いいたします。
フィーネ
よろしくお願いします。
高見知英
よろしくお願いします。
まずはインターネットのアカウント。いろんなグーグルアカウントとかApple IDとかマイクロソフトアカウントとかいろんなものがありますが、
これについて、自分はこうしてるぞとかこういうところを気をつけたほうがいいぞとか、
杉山 由朗
言っておきたいことは何かあったりしますでしょうか。まず杉山さんから。
実は最近ログインできないっていう相談をすごく受けたんですけど。
正直有償のそのツールが良いとも限らないですね。
最近は前提として皆さんいろんな方法でメモとか書いてらっしゃる方もいろんな書いたりとか、
あと物理的なメモとパソコンのメモ、あとパスワード管理ツールとかいろんな方法とられてらっしゃる方いらっしゃるんですけども。
いずれにも仕事で使えないというケースを最近よく耳にします。
とにかく確実にこれなら大丈夫だっていうのは一回皆さんのほうで考えていただくといいかなっていうのは最近思っておりました。
高見知英
意外と業務用のアカウントとかもわかんなくなっちゃうことがあるというか。
杉山 由朗
そうなんです。最近すごい多いですね。
高見知英
フィーネさんどうですか。
フィーネ
仕事ではないですが、アカウントを使い分ける場面っていうのは同じサービスのアカウントを複数使い分ける場面ってちょこちょこあるとは思うんですけれども。
ちょうどSBC.がまさにそうで、個人用のマイクロソフトのアカウントとSBC.のマイクロソフトアカウントの2つを僕は持っている。
その人も使ってはいるんですけども、Teamsどっちへログインするのみたいなやつでたまに遭難すると言いますか、迷子になったりはしてますね。
あれ?あれ?って言いながら頑張ってSBC.のTeamsに参加してます。
高見知英
結構そういうのはありますよね。
個人でも行きがかり上複数のアカウントを持っているとか、そういうサービスって結構あるんじゃないのかなっていうふうには思いますし。
特にあんまりパソコンスマートフォンに慣れてらっしゃらない方だと、パソコン用のGoogleアカウントとスマートフォン用って別のじゃないといけないんじゃないの?って複数個作っちゃって、
後でどっち使ってるのかわかんなくなるなんてことも結構あったりしますし。
基本的には自分がわかってる場合を除いて一個にして留めたほうが、迷子になりづらくて安心だよっていうようなことは結構自分のパソコン相談とかの受け付けではよく言ってるんですけども。
やっぱりそうとも言ってらんないっていう事態が今は増えてきたのかなっていうふうには思います。
本当にそれこそ、先ほどのいろんな団体の専用のアカウントとか、団体で接続をする用のアカウントとか、そういうのになってくると、もう分けざるを得なかったりするってことがあると思います。
アカウントの使い分け
杉山 由朗
そうなんですよ。分かりづらくないみたいな。
高見知英
自分は基本的に、例えばパソコンだったら、パソコンのインターネットブラウザってプロファイルっていって、設定をまるごと分けることができるような機能が多かったりするので、そのプロファイルごと分けるようにはしている。
メインの自分用のブラウザのプロファイルと、SIDE BEACH CITY.の活動する用のプロファイルと、それ以外の活動する用のプロファイルっていうのを全然別々のものに分けることによって。
この画面のときは、自分の操作しかしないインターネットのSIDE BEACH CITY.のことをしたいときは、別のブラウザプロファイルを立ち上げるっていうふうにルールとしてやってるので、ある程度区別つけやすくなってますけども、
それでもやっぱりたまに迷っちゃいますね。
杉山 由朗
難しいですね、アカウントの管理っていうのは。
昔だと、オープンID…ちょっとオープンの場合では古いかな。
シングルサインオンっていう表現で、1個のアカウントで複数のサービス入れるとか、いろいろ工夫したりするサービスもあったんですけども、
うまくログインできないと結局1個ごとのサービスにIDとパソコンをセットしなきゃいけないとかで、結局使い方変わんなかったりすることもあるので。
難しいですね。
高見知英
特に本当そうですよね。今ってそういう、例えばどこかの他のサービスでGoogleのアカウントでログインみたいな、そんなのもあったりするので、
今は自分はどれを使えばいいんだってわかりづらくなってしまって、今まで以上に増えてきたのかなって思います。
これも用語によってオープンIDって言われたり、OAuthって言われたり、みんな呼び方全然違うんで、どれが本当なのってわかんなくなってくるようなものだったりすると、
いろいろと増えてきたなって思います。
杉山 由朗
難しいですね。
フィーネさんは管理するツールとか使われてらっしゃるんですか?
フィーネ
管理するツールで言うと、アカウントの管理だったらBitwardenっていうパスワードマネージャー使ってますね。
杉山 由朗
私、KeePassなんです。
KeePassっていう。
オープンソース系のプログラムが見えるやつで、それ使ってるんです。
Bitwardenとブラウザーでしたっけ?
フィーネ
あれはアプリとブラウザーのアドオン両方ありますね。
杉山 由朗
いくつか使い分けてBitwardenになったんですか?
フィーネ
最初はLastPassっていうのを使ってたんですよ。
杉山 由朗
LastPass、はい。
フィーネ
かつて有名だった。
杉山 由朗
いろいろありますね。
フィーネ
今も生きてるのかな。いろいろあって。
やらかしが何回かあったので。
杉山 由朗
わかる。
フィーネ
悲しいことが何回かあって、不安になったので乗り換えようといって、
1PasswordとBitwarden、全部似たようなサービスなんですけど、どれがいいかなと思ってたのに、
パスワード管理ツールの選択
フィーネ
Bitwardenが比較的料金がお手頃で、かつ堅牢そうだった。
コード自体はオープンソースでやっているっぽいので、
あと何だったら保存先を自分が管理するサーバーに移せる。
これは自分でサーバー管理できるので逆に危ないんですけど、
できるっていうのでBitwardenに乗り換えたって感じですね。
杉山 由朗
私の場合は、やっぱりIDとパスワード盗まれちゃうとどこにでも繋がっちゃうじゃないですか。
フィーネ
そうですね。
杉山 由朗
パスワードを管理するデータベースに鍵ファイルを別に用意して、
その鍵ファイルがないと開かないようにしてるんですけど、
私の場合、どちらも暗号化しておいて、
さらに鍵ファイルももう一個暗号化するんですよ。
鍵ファイルはパスワードのデータベースを開くときだけ一瞬解除して、
すぐ複合解除を取るようにしてるんですけど、
結構そのあたり、さっきのサーバー自分で管理するのが大変って話だったんで、
昔もそれを感じてるので、
逆にそこはクラウドサービスを活用して、
自分自身の持ってる暗号化ツールを使って暗号化をかけた上で保存してます。
高見知英
そこのあたりもパスワードの管理についても、
みなさんこれがいいよっていう言い方がみんなバラバラなので、
じゃあどれを信じればいいのかっていうようなことになってしまいがちなんです。
やっぱり共通するのは少なくとも一つの言葉だけ使っちゃうと、
みなさんが類推できちゃうので。
やっぱり一番よくないのは本当に誕生日だけとかだったりするんですけども。
周りの人の誕生日だけでもみんな知ってる人だと推測ができちゃうので。
だからそんなに意味がないというのはあったりしますし、
最低限本当に単語を使うにしても何種類かの単語を混ぜておくとか、
そういうような語呂合わせにするとか、
そういうような形でいくつかの類推をするのが難しくなるような、
そんなパスワードの作り方をした上で、
それをしかも何個か組み合わせられるようにしておくとか、
そういうふうにしておくと、いざ忘れたときも思い出しやすくなりますし、
いいですよっていうのがありますね。
アカウントの重要性とパスワード
杉山 由朗
そういった意味だと、東京大学さんだったと思うんですけど、
最低30桁ですよね。
最低30桁、32桁まで。
フィーネ
覚えられん。
杉山 由朗
自分の名前でもいいらしいです。
専門用語が出ちゃうんですけど、
総語当たり攻撃っていう名称で、
例えば1から1って入れるところをスタートして、
次に2とかで、
その後0とか100とかって、
だんだん長くしていく攻撃を総語当たりみたいな、
ちょっと技術的にもちょっと違うんですけど、
技術的には総語当たりってそういう攻撃ですけど、
だいたい攻撃者って30桁とかだと破れないらしくて、
推進してても難しいって言われていて、それで30桁。
高見知英
でもそのやり方すごくいいですよね。
例えば本当にパスワードとして単語といくつかの組み合わせで、
合計20文字とか、
20文字いくかどうかわからないですけど、
そのくらいの文字数があったとしても、
もう一つ付け足して最後に自分の名前を入れるとか、
最後に自分のアカウントの名前を丸ごと入れてみるとか、
それするだけでも結構文字数が多くなる。
それによって類推をしづらくする、
総語当たり攻撃を特にしづらくするっていうのは大きいのかなと思います。
例えば最後の文字が抜けているだけでも、
総語当たりって言うと結構大変になりますし、
じゃあそのときに付けてる名前が何なのか、
例えば自分だったら高見知英なのか、知英なのか、高見なのか、
それとも組織名なのか、SIDE BEACH CITY.とかの名前なのかっていうと、
みんなパターン多すぎて、
なかなか総語当たりでできるものではない。
結局これって、実際のリアルな防犯対策と一緒で、
泥棒に諦めさせることっていうのが結構重要になるので、
やっぱりそのためには、
単純に名前長くするだけでも効果あるのかなって思いますね。
杉山 由朗
昔はよくパスワード変えろって言われてましたけど、
途中からパスワード変えろじゃなくなったんですよね、
それから長くしろっていう。
フィーネ
そうですね。複雑なものにして長くしろって言われてますね。
杉山 由朗
やっぱり複雑なものにすると、みんなメモっちゃうのでやめろっていう話らしいですね。
フィーネ
それから頻繁に変えるとやっぱりメモっちゃうからやめろとか、
単純になっちゃうからやめろって話がありましたね。
覚えやすいやつとかそっちのほうに転がっちゃうじゃないですか。
杉山 由朗
私も人間なんで、そこはなんていうか、分かるところですよね。
フィーネ
それはそうとしか言いようがない。
最近だとパスワードレス認証とか出てきたじゃないですか。
ログインしようとした時に、自分が持っているスマートフォンに通知が来て、
それでログインしますかしませんかって聞かれるやつとか。
なんか徐々に普及の兆しを見せつつあるので、
もしかするとパスワード32桁を考える戦いから解放されるかもしれませんね。
今度はスマートフォンを盗まれると大ピンチっていうのがついてくるんですけども。
高見知英
なんかそこにいろんな仕組みが今増えてはいるので、
でもそれぞれに対応する。
今、このサービスはパスワード認証なんだ、
このサービスはメールアドレス認証なんだ、
このサービスは携帯電話の認証なんだ、
それぞれ全部使い分けの大変なんですけども。
基本は文字を見ればわかるっていうのが多いので、
そこはある程度柔軟に対応する知識を持ってもらうっていうのが大事になってくるのかなと思いますし、
自分たちもそういう情報を出していければいいなっていうふうには思いますね。
杉山 由朗
フィーネさんがおっしゃったとおりで、端末を盗まれたらどうしようっていうのはありますよね。
実際にAndroidスマートフォンにロックダウンモードっていうのが搭載されたときには話題になったんですよ。
ロックダウンって、普段だと指紋認証とか顔認証とかスマートフォンいろんな機能ありますけれども、
指紋とか生体系認証を使えなくしてパスワードを求めるようにする認証で、
どこで使われるのかなっていうのは想像が少ないんですけど、
それがあるってことは、例えば無理やりこれを開除するみたいなことを強要されてる状況ってことですよね。
だから刑務所の中、職質されてる、裁判じゃなくて尋問されてるときとか、
無理やり開除されてないみたいな。
フィーネ
そういう法的なもので、もっと怖い人たちに囲まれているときとかですよね。
杉山 由朗
そういうときのための機能なのかなっていうのは、出たばかりのときに話題になってたのを今でも覚えてます。
高見知英
やっぱりそういうロックの機能が何であるのかっていうのを知っておくっていうのも大事だなと思いますし、
それを何であるのっていうのを、手掛かりをこちらから発信していくっていうのも大事なんでしょうねっていうふうに思いますね。
今回はこのぐらいで終わりにしていければと思います。
新しい認証方法の普及
高見知英
アカウントの重要性については、こちらからもいろいろと定期的に情報等も発信していければいいなと思いますので、
ぜひこちらで興味ある方は見ていただければと思いますし、
自分たちの団体に入っていただく形で学んでいただいてもいいのかなというふうに思います。
というところで、今回のお話はこれぐらいで終わりにしていきたいと思います。
フィーネさん杉山さん、どうもありがとうございました。
フィーネ
ありがとうございました。
高見知英
ありがとうございました。
