頼むからパスワード管理ソフトよ流行れ　筆者が激押しするワケ

　先日、トレンドマイクロの方にフィッシングについて取材した際、個人向けPCでこれにどう対抗するかという話題になりました。かつて個人向けPCといえば、必ず「ウイルス対策ソフト」を購入し、今でいう“サブスク”の年間契約をするのが当たり前でした。しかし現在は、多くのセキュリティ識者が「OSに組み込まれたツールをオンにすることで、この機能を代替できる」と主張しています。

【画像】パスワード管理ソフトを筆者が激押しするワケ【全1枚】

　ただ、それはあくまで「ウイルス対策」部分のみの話です。既知のマルウェアであればOSに標準搭載された機能でほぼ守れるようになったものの、もはやPCの脅威はマルウェア以上に「詐欺」対策が重要です。その意味ではウイルス対策ソフトを提供していたベンダーたちも、10年以上前からその名称を「セキュリティ対策ソフト」と言い換え、フィッシングをはじめとする対策もカバーしています。

　その点ではOSやWebブラウザ標準では一部URLの警告などの標準機能は備わっていますが、セキュリティ対策ソフトベンダーも存在意義のある分野になっており、一概に「もう対策ソフトいらず」とは言い切れない状況です。

　そして、「個人的にお金を払ってでも使う」ことを推奨したいセキュリティ対策ソフトがあります。筆者が毎年のように「流行するだろう」と言い続けている、「パスワード管理ソフト」です。

●2025年こそパスワード管理ソフト元年に　メリットをあらためて解説

　パスワード管理ソフトについては、読者の皆さんも大まかには理解していると思います。SaaSの普及によってユーザーが利用するサービスが激増し、「パスワードを使い回さないようにしよう」という正論が全く通用しなくなっています。あるべき論がままならないのであれば、何とか運用でカバーし、ちょうどいい落とし所を見つけなければ、フィッシング被害は止まりません。

　そこで2025年も「パスワード管理ソフト元年」を目指すために、そのメリットをいま一度考えてみましょう。

　これまでも証券口座の認証情報が狙われ、多くの被害が発生していることはお伝えしてきました。この原因はいまだ不明ですが、恐らくは「フィッシング」による不正ログインだと想定しています。フィッシングの問題は、偽のWebサイトに誘導された後、利用者が本物かどうか区別できないことで、IDとパスワード、そして二要素認証のワンタイムパスワードや取引パスワードを入力してしまうことが原因として挙げられます。

　パスワード管理ソフトはパスワードを全て覚えてくれる、というメリットに加え、この現状を考えると最も有用な機能はIDやパスワード、ワンタイムパスワードを「正しいドメインに対してのみ」自動入力してくれることではないかと思います。パスワード管理ソフトはユーザー名やパスワードとともに「URL」も記録します。そのドメインが一致しなければ、そもそもパスワードを自動入力しないのが一般的です。

　フィッシング対策の問題は、利用者自身が偽のWebサイトと区別がつかないことですので、普段なら自動入力されているはずのパスワード欄が空欄だった、というのが大きなヒントになるはずです。この機能だけでもパスワード管理ソフトを利用する大きな理由になるでしょう。

　偽のWebサイトかどうか区別がつかない状態だと、その後の電話認証をはじめ、Webサイト側で用意した多要素認証などのセキュリティ対策も、中間者攻撃によって突破される可能性があります。

　かつてはSMSで「荷物が届かない」というメッセージのリンクから、銀行の偽のWebサイトに飛ばされるという不自然なフィッシングであっても成功してしまう事例もあるわけで、用心に用心を重ね、少しでも対策を講じることは重要でしょう。その意味でも、セキュリティに興味のある人だけではなく、興味がない人にもパスワード管理ソフトが当たり前になってほしいと思っています。

●パスワード管理ソフトの普及を阻む大きな課題

　パスワード管理ソフトは、多くのセキュリティ識者が対策として挙げる、大変有用なツールです。しかし残念ながら、国内で決め手となる製品がまだないというのが実情です。大手セキュリティベンダーも「総合セキュリティ対策ソフト」の中に機能として提供しているのですが、なかなか利用している人を聞きません。多くの方にとってはWebブラウザの標準機能として提供されているパスワード管理機能で十分ともいえるかもしれません。標準機能でも上記のようにドメインをチェックした上で自動入力をしてくれるため、フィッシング耐性は上がるはずです。

　ただ個人的には、パスワード管理ソフトをポケットマネーで購入することをお勧めしたいと思います。その理由は、自らがお金を出すことで、フィッシング対策に力を入れた、と「ジブンゴト化」できること。加えて、攻撃者が徐々にWebブラウザで保存したパスワードを狙い始めているという点です。よりセキュアな機能を持つ専用ソフトを、OSに依存せずに保管できることが筆者が個別のソフトを購入している理由です。

　個人的にはかなり前から「1Password」を利用しています。当然、この他にも無料、有料を問わずさまざまなツールが出ていますが、パスワードを保管するものだけに、パスワード管理ソフトの皮をかぶったスパイウェアなど、パスワード管理ソフトを狙う攻撃も想定されます。そのため、無名のツールは使いたくないというのが本音です。「それならどれがお薦めか？」と聞かれることが多いのですが、筆者もどれを薦めるべきか分からないのが本音です。その意味でも国内で決定版が定まってくれるとありがたいのですが……。

●パスワード管理ソフトを今すぐに使ってほしい人たち

　筆者としては、パスワード管理ソフトを今すぐにでも使ってほしい人がいます。

　まずは「システム管理者」。組織のシステム管理者がパスワード管理ソフトを理解していなければ、既に理解した人が社内でこれを使うと、立派なシャドーITになってしまいます。便利なものを使いたいのに使えないというのは、大きなストレスになってしまうでしょう。

　そのため情報システム部のシステム管理者こそこれを活用し、社内でもその便利な機能を利用できるよう、調整してほしいと思います。ただし、ポリシーとしてパスワード管理の保管庫を個人と組織と分けて運用せよ、という指示は必要かもしれません。

　次に「エンジニア」です。エンジニアはこのツールの有用性はしっかりと理解しているはずです。そしてエンジニアには、自分たちが作るサービスにおいて「パスワード管理ソフトを使っている人が、正しくその機能を活用できる」ように、調整してほしいと思います。中にはパスワード欄にペーストできないようにしたり、そもそもパスワード文字列に制限が加えられていたりするサービスがあります。自分たちがパスワード管理ソフトを使っているなら、一度自分のサービスでも挙動を確かめてみてください。

　最後は「経営層」です。経営層のパスワードは組織内においても最重要のものである上に、さまざまな経緯から不要な権限が適用されていることも多いという現状があります。その上、恐らくですが弱いパスワードが使い回されているはずです（完全に邪推ですが）。それを口頭で修正指示するのも重要ですが、一足飛びにパスワード管理ソフトを使いこなせるよう、マンツーマンで教えるのもありかもしれません。そうすれば、鶴の一声で全従業にライセンスをくれるかも……。

　パスワード管理ソフトは、もう少しメジャーなものになってもよいと常々感じています。多要素認証を義務化した証券会社も、金融業界と共にお金を出し合って、「利用者にはパスワード管理ソフトのライセンスを補助する」くらいしてもよいのではないかとも思います。ここでズバリと「これを入れろ！」と言いたいところですが、まずは目につく有名なツールを、試しに使ってみてください。思った以上の機能があり、ライセンスフィー以上の仕事をしてくれるはず。ぜひ、お試しください。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。