恥ずかしながら、つい最近まで同じパスワードを複数のサービスで使い回していました。「危ないのは知っているけど、管理が面倒で……」という、ありがちな言い訳です。IT系の仕事をしているのに、自分のセキュリティは後回しにしていました。よくある話だと思います。
重い腰を上げてパスワード管理を見直したので、きっかけから導入の手順、実際に使ってみた感想まで、詳しく書きます。同じように「やらなきゃ」と思いつつ先延ばしにしている人の背中を押せたらうれしいです。
見直しのきっかけ
知り合いの会社がフィッシング詐欺に遭いました。取引先を装ったメールのリンクをクリックして、ログイン画面(偽物)にIDとパスワードを入力してしまいました。そのパスワードが他のサービスでも使い回されていたため、メール、クラウドストレージ、ECモールの管理画面と、芋づる式に複数のアカウントが乗っ取られました。
被害額は聞いていませんが、復旧に2週間以上かかったそうです。その間、メールも使えず、顧客とのやりとりもストップしました。業務がほぼ停止した状態です。IT関連の会社だったので、信用面のダメージも大きかったと聞いています。
他人事ではないと、心の底から思いました。自分も同じことをしていたからです。銀行のネットバンキング、Gmail、楽天RMS(ECモールの管理画面)、freee(会計ソフト)、AWSのコンソール。ほぼ同じパスワードを使い回していました。一つ漏れたら全部終わりです。しかも自分は会社の代表なので、顧客データや取引情報にもアクセスできてしまいます。リスクの大きさに今さら気づきました。
パスワード管理ツールの選定
パスワード管理ツールを導入することに決めました。候補をいくつか比較しましたが、最終的に1Passwordを選びました。月額約400円(個人プラン)です。
選んだ理由はこのあたりです。
- Mac、iPhone、Chrome拡張のすべてに対応していて、デバイス間の同期がスムーズです。在宅ワークではMacで、外出先ではiPhoneで使うので、同期の速さは重要でした
- 生体認証(Touch ID / Face ID)でロック解除できます。マスターパスワードを毎回入力する必要がないので、ストレスがありません
- 家族プランがあります。月額680円で5人まで使えます。妻のアカウントも一緒に管理することにしました
- セキュリティ監査機能(Watchtower)があります。漏洩したパスワードや、弱いパスワードを自動検出して警告してくれます。導入直後にスキャンしたら、3つのサービスでパスワードが漏洩リストに載っていて冷や汗が出ました
候補にはBitwardenとLastPassもありました。Bitwardenは無料プランが充実しているのでコスト重視ならおすすめです。オープンソースなので透明性も高いです。ただ、自分はUIの使いやすさと家族共有の手軽さで1Passwordにしました。LastPassは過去にセキュリティ事故があったことが気になって、候補から外しました。
移行の手順と実際にかかった時間
移行はこんな手順で進めました。
- 1Passwordをインストール(Mac、iPhone、Chrome拡張の3つ)しました。初期設定は15分くらいで終わりました
- 重要度の高いサービスから順にパスワードを変更しました。まず銀行、次にメール、そしてSNSとECモールの管理画面です
- 新しいパスワードは1Passwordの自動生成機能で作成しました。20文字以上、英数字と記号を混在させた、自分では絶対に覚えられないパスワードです
- 1日5〜10サービスのペースで更新しました。毎日30分くらいの作業です
- 約3週間で、使っているすべてのサービス(数えたら約80個ありました)のパスワードを更新完了しました
正直、面倒でした。特に「パスワード変更」の画面がサービスによってバラバラで、どこから変更するのか探すだけで時間がかかります。でも、やり始めたら意外とリズムよく進みました。1日目は5サービスしかできませんでしたが、3日目には10サービスできるようになっていました。コツがつかめると早いです。
3週間の手間で、今後のセキュリティリスクが大幅に減ると思えば、十分な投資です。今は覚えているパスワードはマスターパスワード1つだけです。それ以外はすべて1Passwordに入っています。ログインするときは、1Passwordがブラウザ上で自動入力してくれます。むしろ以前より楽になりました。
二段階認証も設定した
パスワードを変更するついでに、重要なサービスには二段階認証(2FA)も設定しました。パスワードが漏れても、二段階認証があれば不正ログインを防げます。
- Google:必須です。仕事のメールもドキュメントもGoogleドライブもここに入っています。ここを乗っ取られたら業務が完全に止まります
- Amazon:クレジットカード情報が紐づいています。不正購入のリスクを防ぎます
- 金融関係(銀行、freee):お金に直結するサービスは全部設定しました
- ECモール管理画面(楽天RMS、Yahoo!ストアクリエイター):顧客の個人情報があります。ここが漏れたら信用問題です
- Cloudflare、AWS:自社ツールのインフラです。ここを乗っ取られたらサービスが止まります
二段階認証のコード管理は1Passwordに統合しています。Google Authenticatorなどの別アプリを使う方法もありますが、1Passwordに統合したほうが管理が楽です。ログイン時に自動でコードをコピーしてくれるので、手入力の手間もありません。
3ヶ月使ってみた感想
導入から3ヶ月経った時点での率直な感想です。
ログインが圧倒的に楽になりました。パスワードを思い出す必要がありません。ブラウザの拡張が自動で候補を出してくれるので、ワンクリックでログインできます。以前は「あれ、このサービスのパスワードなんだっけ」と悩む時間がありましたが、それがゼロになりました。地味ですが、毎日の積み重ねで考えると大きいです。
新しいサービスへの登録が楽になりました。以前は「またパスワードを考えなきゃ」「覚えられるパスワードにしなきゃ」と面倒でしたが、今は1Passwordの自動生成ボタンを押すだけです。3秒で終わります。しかも20文字以上のランダムなパスワードなので、セキュリティ的にも安心です。
Watchtower機能が便利です。定期的に「漏洩したパスワードがあります」「弱いパスワードがあります」と通知してくれます。導入時に3つの漏洩が見つかったのは前述のとおりですが、その後も別のサービスで漏洩が検出されたことがあり、すぐにパスワードを変更できました。能動的に漏洩情報をチェックする習慣がなかった自分にとって、自動で検出してくれるのはありがたいです。
唯一の不安点があります。1Passwordのサーバーがダウンしたら全サービスにログインできなくなるリスクです。ただし、1Passwordはローカルにもデータを暗号化して保存しているので、オフラインでも使えます。万が一に備えて、マスターパスワードとリカバリーキーは紙に書いて自宅の金庫に保管しています。デジタルとアナログの二重管理です。
パスワード管理以外にやったセキュリティ対策
パスワード管理の見直しをきっかけに、他のセキュリティ対策も見直しました。
フィッシング対策。メールのリンクは原則クリックしません。銀行やECモールからのメールは、メール内のリンクではなく、ブックマークからアクセスする習慣をつけました。スタッフにも同じルールを共有しています。
定期的なバックアップ。重要なデータはGoogleドライブと外付けSSDの二重バックアップです。ランサムウェアに感染しても、バックアップがあれば復旧できます。月に1回、外付けSSDにバックアップを取っています。
ソフトウェアの自動更新。macOSとブラウザの自動更新をONにしました。セキュリティパッチは早く当てるほど良いです。「今度更新しよう」と後回しにしていたのをやめました。
家族のパスワード管理も見直した
自分のパスワード管理を見直したついでに、家族のアカウントも整理しました。妻のGoogleアカウント、Amazonアカウント、ネットバンキングも、同じパスワードを使い回していました。
1Passwordの家族プラン(月額680円、5人まで)に切り替えて、妻のアカウントも管理下に入れました。妻はITに詳しくないので、最初は「面倒くさい」と言っていましたが、Touch IDでロック解除できること、ログイン時に自動入力されることを見せたら「前より楽じゃん」と納得してくれました。
子どもたちのアカウントはまだ少ないですが、将来的には家族全員のパスワードを1Passwordで管理する予定です。セキュリティは「家族の誰かがやられたら全員に影響する」ものです。自分だけ対策しても、家族が使い回しをしていたら意味がないのです。
セキュリティ対策は「やらなかった後悔」が大きい分野です。何も起きなければ「やらなくてよかったかも」と思いますが、一度でも被害に遭ったら取り返しがつきません。知り合いの被害を目の当たりにして、その怖さが身に染みました。パスワード管理ツールの導入は、保険と同じです。月400円で、事故のリスクを劇的に下げられます。しかも保険と違って、毎日のログインが楽になるというおまけつきです。投資対効果で考えたら、これほど確実にリターンが得られるセキュリティ投資はないと思います。先延ばしにしている人は、この記事を読んだ今日が始めどきです。
まとめ
パスワード管理の見直しは、面倒ですがやる価値があります。月400円で、セキュリティ事故のリスクが大幅に減ります。しかもログインが楽になるおまけつきです。3週間の移行作業で、今後何年もの安心が手に入ります。まだパスワードを使い回している人は、知り合いのような被害に遭う前に対策してください。「いつかやろう」と思っているなら、今日がその「いつか」です。1Passwordでなくてもいいです。Bitwardenでも、Appleのパスワードマネージャーでもいいです。とにかく使い回しをやめることが最初の一歩です。