ITサービスを利用する際、パスワードは欠かせない。複雑なパスワードを設定しないとセキュリティの強度を維持できないにもかかわらず、覚えなければならないパスワードは増える一方だ。セキュリティの専門家はどのように対処したのだろうか。
パスワードはIT関連のサービスを利用する際に必要な仕組みだが、サイバーセキュリティの専門家からは忌み嫌われている。広範囲に使えるセキュリティ機能が他にないため、しぶしぶ受け入れられているだけだ。
「パスワードは大嫌いだ。あまり役に立たないのに長く使われてきただけだ」とNetenrichのクリス・モラレス氏(CISO《最高情報セキュリティ責任者》)は言う。
パスワードは悩みの種だが、デジタルプラットフォームの大部分はなおもパスワードの上に成り立っている。サイバーセキュリティの専門家はいらいらするようなパスワードをどうやって利用しているのだろうか。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米国立標準技術研究所(NIST)はパスワードを次のように扱っている。
・強力なパスワードとパスワードマネジャーの組み合わせを忘れてはならない
「Cybersecurity Dive」は、過去数カ月間にわたってCISOやセキュリティに関心のある経営者、脅威情報アナリストに対して、パスワードをどのように利用しているのかを質問してきた。7人のサイバーセキュリティ専門家のおすすめを紹介する。
シコルスキー氏はPalo Alto Networksの一部門Unit 42のCTO(最高技術責任者)兼バイスプレジデントであり、脅威インテリジェンスに関わっている。
シコルスキー氏はパスワードマネジャーを使用しており、全面的に依存している。
「『Netflix』のアカウントや銀行口座のパスワードを全く覚えていない。ランダムに生成された長いパスワードだからだ。たとえ頭に銃を突き付けられたとしても、私にできるのはパスワードマネジャーのロックを解除することだけだ。正しいパスワードを知らないため、それを教えることはできない。だからパスワードを使いまわすこともないし、誰かがリセットして悪用することもない」(シコルスキー氏)
同氏はパスワードの他に多要素認証も使っている。多要素認証に対応しているサービスでは全てを有効にしているそうだ。
クリス・モラレス氏はNetenrichのCISOだ。「パスワード文字列はどれもひどいものだから、私は覚えていない」(モラレス氏)
モラレス氏はMicrosoftのスマートフォンで2要素認証アプリケーション「Microsoft Authenticator」を使用している。もうパスワードを使うのは嫌なのだそうだ。
「2023年末までにパスワードと決別したい。私は全てのアカウントで常に2要素認証を設定している。私の個人アカウントや仕事のアカウントなど全てで2要素認証を用いているのだが、利用できない場合もある」(モラレス氏)
ジャヤ・バロー氏はRapid7でCSO(最高セキュリティ責任者)を務めている。
「私はパスワードマネジャーというソフトウェアが登場した最初期から使っているユーザーの1人だ」とバロー氏は述べる。約10年前にさかのぼる利用歴がある。「私は個人的にも職業人としても常に偏執的であり、それはこの仕事に伴うものだと思う」(バロー氏)
2012年にプロフェッショナルサービスからCSOに転身して以来、バロー氏はハードウェアやパスワード、データの保存方法について、かなり慎重になってきた。
「私が防御態勢を維持するために採ってきた対策は、セキュリティに関心のない人が実行するのは必ずしも容易ではなかったが、もう慣れてしまった」(バロー氏)
マシュー・プリンス氏はCloudflareのCEO兼共同創業者だ。
コンテンツ配信ネットワークとセキュリティサービス企業のトップという立場で、同氏はゼロトラストネットワークアクセス製品「Cloudflare Access」を使う際、パスワードを管理するKeeper Securityのサービスと物理的なパスキーを併用している。
「今では自分自身の会社の業務全てをこのやり方で管理しており、私生活でもそうしている。携帯電話を取り出して送られてきたテキストメッセージを探したり、パスワードを覚えたりするよりも、ハードキーで認証されたパスワードマネジャーを使う方がはるかに簡単で優れている」(プリンス氏)
チェスター・ヴィシニェフスキ氏はSophosの応用研究部門でフィールドCTO(最高技術責任者)を務める。
「私は『YubiKey』のトークンを携帯しており、あらゆることに使用している。パスワードはオープンソースの管理ツール『Bitwarden』に保存している。Bitwardenが好みだが、Bitwardenのクラウドサービスは使っていない。その代わり、独自にホストされた私だけのインスタンスを持っており、自分で管理している。WebブラウザのプラグインとBitwardenを組み合わせて使うことで、適切な場所にパスワードを自動入力できる。YubiKeyはBitwardenをアンロックする際に用いている」(ヴィシニェフスキ氏)
情報セキュリティのベテランであるヴィシニェフスキ氏は、物理的なパスキーが適切に採用されれば、サイバーセキュリティの強度とユーザーエクスペリエンスに画期的な変化をもたらす可能性があると述べた。YubiKeyのようなパスキーは、別のトークンを必要としないものの、「残念ながら実装面で少し複雑な点があり、そのために普及が遅れるかもしれない」と述べた。
ジョン・ドワイヤー氏はIBMのセキュリティ研究組織IBM X-Forceの研究責任者だ。
「パスワードマネジャーを使っている。だが、クラウドベースのものではない。暗号化されたHDDにバックアップされたローカルなパスワードマネジャーを使い、常に携帯している。パスワードマネジャーでクラウドサービスを使用するリスクを私はまだ受け入れていない。だから、常にパスワードのストレージにアクセスするために手作業が必要だ。この方法には欠点もある。もしHDDやパスワードのライブコピーにアクセスできなくなった場合、パスワードを忘れて使えなくなってしまう」(ドワイヤー氏)
クリス・ナイジェル氏はOktaの米国におけるCSOだ。
「パスワードマネジャーは知識要素や資格情報を管理するための優れたツールだ。私自身も使っており、両親用にも導入した。異なるシステムを管理する際、非常に便利だ。私生活で使用する多くのアプリケーションがあり、利便性のためにそれらもOktaに入れているが、個人とビジネスを混在させることに抵抗がある人も多いので、両方の選択肢を用意している」(ナイジェル氏)
専門家7人のうち、ほぼ全員がパスワードマネジャーを使っていることが分かった。より安全な多要素認証システムと組み合わせるよう努力していることも分かった。ただし、全面的にパスワードマネジャーを信じてはいない。何人かがコメントしているようにパスワードマネジャーの保存先として(漏えいの危険性を否定できない)クラウドサービスを使うことは避け、ローカルに保存していた。ユーザーエクスペリエンスは劣化するが、セキュリティを優先した形だ。
出典:How 7 cybersecurity experts manage their passwords(Cybersecurity Dive)
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。