GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

[Windows10] 3つのポイントで説明するクラウドサービス利用時のパスワード管理

2019/06/25

1.jpg

パソコンのOS別シェアの調査によると、2018年9月時点で世界で最も利用されているパソコン用OSは Windows 7 で約40%、そして最新版OSである Windows 10 が37%でこれを追っています。Windows 8.1が不評だったのとは対照的に、Windows 10は幅広く受け入れられていることもあり、Windows 7の第一位の座を Windows 10が抜くのはそう遠くないと見られています。

では、Windows 10でクラウドサービスを利用する場合に、どのような点に気を付けてパスワード管理を行えばよいでしょうか。以下でご紹介します。

 

 

クラウドサービス=ほぼブラウザからのアクセス

2.jpg

まず、Windows 10上でクラウドサービスを利用する際に、最も気を付けねばならないアプリケーションは、Google Chrome, Firefox, Internet Explorerなどの「ブラウザ」です。クラウドサービスのほとんどは、アプリケーションをパソコンにインストールせずに、ブラウザから利用するためです。

ブラウザからクラウドサービスを安全に利用するためには、まずはブラウザが最新版となっているかどうかを定期的な確認をお勧めします。多くのブラウザでは、自動的に最新版がリリースされていないかを確認し、もし最新版がリリースされている場合は、ダウンロード・自動でインストールされるように設定されています。しかし、もし何らかの理由で最新版がインストールされない設定になっている場合は、古いままのブラウザのバージョンを利用している、つまりセキュリティの穴が放置されていることを意味し、危険です。

以下では、日本で最も多く利用されているWindows 10のブラウザである、Google Chrome (以下 Chrome)を例にご説明します。

Chromeの右上の設定ボタンから、

  • 「ヘルプ」→「Google Chromeについて」

と進むことで、現在のバージョンの確認、ならび最新版になっているかを確認できます。

3.PNG

もし最新版が適用されていない場合は、この時点で自動でダウンロードが開始され、その後Chromeを再起動して、最新版を適用できます。Chromeの再起動は数秒~十数秒で完了し、Windows 10自体の再起動は不要です。

次に、最新版のブラウザを利用するのと同じくらい大切なのが、最新版のWindows10を利用することです。Windows 10も、Chromeなどのブラウザと同様に、自動でWindowsのアップデートがないかどうかを自動で確認し、もし更新内容があればダウンロード、インストールされる仕様となっています。

4.PNG

ただし、何らかの理由でアップデートされていないことがないよう、定期的に確認しましょう。確認方法は以下の通りです。

  • 「Windowsボタン」→「設定アイコン(歯車)」→「Windows Update」

更新プログラムの適用後は、Windows 10自体の再起動を求められる場合と、求められない場合があります。再起動は、数十秒で完了する場合もあれば、数分~数十分かかる場合もありますので、再起動を行うタイミングにはご注意ください。

 

 

Windows 10で安全にクラウドを利用する、パスワードに関する3つのポイント

では、Windows 10から安全にクラウドを利用するための、パスワードの3つのポイントについてお知らせします。

1.ブラウザにパスワードを保存しない

5.jpg

各ブラウザには、ユーザーの利便性を高めるために、一度入力したパスワードをブラウザ自体に保存する機能があります。しかし、このブラウザにパスワードを保存する機能は危険性が高いのです。

例えば、最も利用されているブラウザであるChromeでは、設定画面から全てのパスワードを平文(目で見てわかる文字列)で確認できてしまいます。パスワードを表示させるのに必要なのは、Googleアカウントのパスワードだけです。

つまり、Chromeにパスワードを保存する設定にしていると、万が一Googleアカウントのパスワードが漏えいした際、Windows 10パソコンから「Chromeに保存されているパスワードが全て抜かれる」可能性があるのです。

自動でパスワードを入力してくれる機能を使うと、ID・パスワードを覚えている必要がなくなるため、とても便利ではあるのですが、大変に危険でもあります。

よって、ブラウザにパスワードを保存しない設定に変更することで、この問題を回避できます。Chromeに関する詳しい確認方法、設定変更方法についてはこちらの記事をご覧ください。

・関連記事
 危険!Chromeの機能でID・パスワードを保存していませんか?

 

2.SSL非対応サイトで情報を入力しない

6.jpg

現在、大手サイトのほとんどでは「サイトの全てのページがSSL暗号化に対応」、もしくは「ユーザーが情報を入力・送信するページはSSL暗号化に対応」しています。しかし、まだSSL暗号化に対応していないサイトが残存しているのが事実です。

ちなみに、サイトを表示するサーバー側に「SSL証明書」と呼ばれる証明書を導入していれば、安全な「SSL暗号化対応サイト」、導入していなければ安全でない「SSL暗号化対応非対応サイト」となります。

では、Chromeを例に、SSL暗号化に対応したサイトと、そうでないサイトをどのように見分けるかを確認してみましょう(以下では、Windows 10 64bit版上で、Chromeバージョン 70.0.3538.77を使用)。

 

SSL暗号化対応サイト (https)

7.PNG

SSL暗号化対応サイトにアクセスすると、ブラウザ上のURLが表示されるアドレスバーには “https://...” と表示され、鍵がロックされたアイコンが表示されます。この表示は、表示しているサイトがSSL暗号化されたサイトで、サイトとの通信は暗号化されていることを示します。


SSL暗号化非対応サイト (http)

8.png

逆に、SSL暗号化に対応していないサイトにChromeでアクセスすると、アドレスバー上に “i” という丸いアイコンと、その後に「保護されていない通信」という注意書きが表示されています。


このサイトとの通信は暗号化されていないため、ユーザーがサイト上から自分のID・パスワード・個人情報などを送信すると、通信内容が傍受されて情報が漏えいする危険があります。

SSL暗号化に対応していないサイト上から、情報を入力・送信しないようにしましょう。

 

3.アメリカ国立標準技術研究所 (NIST) のガイドラインに従う

9.jpg

「パスワードは使い回してはいけない」「パスワードは何文字以上必要」といったパスワードに関する一般的な注意事項、守るべき指針については、アメリカ国立標準技術研究所 (NIST) という組織が作成しています。

NISTは定期的に「アメリカ政府向けのガイドライン」として、情報セキュリティに関する通達文書を出しています。あくまで「アメリカ政府向けのガイドライン」であり、「アメリカの民間企業」「海外の政府や民間企業」はこのガイドラインに従う必要はありません。

しかし、このガイドラインが極めて網羅的な内容となっているため、世界中で幅広く参照・利用されており、事実上パスワードの作成や運用に関する世界標準のガイドラインとなっています。

 

パスワードに関して守るべきガイドライン

10.jpg

このNISTのガイドラインには、パスワードについて以下のような内容が記載されています。

  • パスワードの文字数は、利用者が設定する場合は8文字以上。管理者が設定する場合は6文字以上。
    • なお、「英大文字、小文字、記号、数字を全て使う」といった複雑性を要求する必要はない
  • 次のパスワードは使うべきでない。
    • 過去に漏えいが確認されたパスワード
      • ちなみに、過去に漏えいしたことのあるパスワードか、そうでないかは こちらのページ でパスワードを入力して確認可能
    • 辞書に書かれている単語・フレーズ
    • 文字の繰り返しならび、順番通り並べた文字列
      • 一例として、順番通りの数列やその繰り返し“12345678”, “12341234”など
      • 順番通りのアルファベットやその繰り返し “abcdefgh”, “abcdabcd”など
      • キーボードの順番通りの文字列 “qwertyui”, “qazwsxed”など
    • 利用するシステム名やユーザー名から特定できる文字列
      • Facebookを利用する際に、パスワードに”facebook”という文字列を含める
      • IDが”hanako”という文字列があるサービスで、パスワードに”hanako”という文字列を入れるなど

 

パスワードガイドラインから外れた内容

11.jpg

ちなみに一般的に幅広く信じられている以下の情報は、既に不要であるとNISTは明言していますので、こちらは守って頂く必要はありません。日本における情報セキュリティに関する監督官庁である総務省でも、これらは既に必要ないと明言されています。

  • パスワードを定期的に変更する(強制変更)
    • 定期的な変更は「行うべきでない」とされました
    • 現在もまだ、90日経過したら変更、180日経過したら変更というように、変更を要求してくるサービスがありますが、今後は減ってくると思われます
    • 例外は、パスワードが漏えいした際で、この際にはパスワードを強制的に変更させるべきとされています
  • 秘密の質問を利用する
    • 秘密の質問は利用すべきでないとされました
    • まだ秘密の質問を利用しているサービスはありますが、各サービスのシステム改修の際に秘密の質問を廃止するなど、徐々になくなっていくと思われます

なお、NISTのガイドラインにはパスワードに関してかなりの文量が割かれていますので、ご興味のある方はこちらの解説記事をご覧ください。

・関連記事
 世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

 

 

企業・組織は「トラスト・ログイン(旧 SKUID)」でWindows 10端末のパスワードを一元管理

12.jpg

ここまでご覧になって、1つ大きな疑問を持たれる方がいらっしゃると思います。「ブラウザにパスワードを保存しない場合、どこに保存すればよいのか。全てのパスワードを使い回さずに記憶するのは無理だろう」と。

この解決策として、Windows 10上のブラウザに各種クラウドサービスのパスワードを保存するのではなく、「パスワード管理クラウドサービスに、各種クラウドサービスのパスワードを預ける」という方法があります。これは、IDaaS (Identity as a Service、アイダース) と呼ばれるサービスで、多くの企業で導入が進んでいます。そして、NISTガイドラインでも「パスワード管理ツールの利用」について言及されています。

パスワード管理の強化は、「ユーザーの利便性低下」と「セキュリティの向上」がトレードオフになるのが一般的でした。つまり、「より強固なパスワード」「より強固な運用」を情報システム側が追求すると、ユーザーは不便を強いられ、場合によっては生産性が低下する。また、情報システム部門の側からしても、高いセキュリティを追求すればするほど、ユーザーをサポートするためのヘルプデスク人員を増加しないといけない、という状況になっていました。

しかし、当社のサービス「トラスト・ログイン(旧 SKUID)」を含めたIDaaSでは、利便性とセキュリティ向上は衝突しません。「ユーザーはワンクリックで各種サービスにログインできて便利」になりますが、情報システム側は「Windows 10端末上にパスワードは保存しないのでセキュリティが向上」します。また、多くのIDaaSは非常に簡単に利用できるため、ヘルプデスク人員を増強しなくても対応可能です。つまり、IDaaSにより、利便性とセキュリティの両方を高めることができます。

また、組織のどの従業員がどのシステムにアクセス権があるか、そしていつどのクラウドサービスにアクセスしたかを一元管理できます。このため、情報漏えいや不正アクセスといった問題があった際の監査対応にも適しています。

「トラスト・ログイン(旧 SKUID)」は基本機能を無料で利用できます。よって、コストをかけずにWindows 10のクラウド利用時のパスワード対策を行いたい企業には最適な製品です。一部の有償オプションも1ユーザーあたり月額100円から利用できます。ぜひ新規登録頂き、利便性とセキュリティを両立させたWindows 10のパスワード管理向上を体感ください。

カテゴリー
記事一覧