企業で利用するパソコンやサービスにおいて、セキュリティ管理はとても重要だ。

多くの企業は認証などで、パスワードに依存していることが多いはずだ。Windowsにしても業務用アプリやクラウドサービスにしても、最初に必ずサインインが必要になる。しかし、企業でパソコンを使うエンドユーザーの立場で見れば、このパスワードは悩みどころだ。覚えやすさや使い勝手を求めれば、安易で脆弱なものになるし、逆にランダムなフレーズにしてしまうととても覚えられない。

パソコンでは古典的に用いられている方法ではあるが、そんなパスワードについて改めて考えてみたい。

いまだにパスワードが「123456」な人々が驚くほど多い

パスワードが要求される場面は身の回りにあふれている。パソコンにサインインするとき、VPN接続するとき、メールやクラウドサービスを利用するときなど、パソコンを利用していると、あらゆる場面でパスワードを入力する機会が訪れる。

ではパスワードはどうやって決めているだろうか。

パソコンや業務用アプリ、社内サービスなどでは、あらかじめIDとパスワードが管理者から支給され、それを使ってサインインするケースがほとんどだろう。ただそのままではランダムに生成された非常に覚えづらい文字列のため、普段自分が使っているものなど、覚えやすいものに変更しているはずだ。

まずはパスワードを設定する際に最低限覚えておくこと、特に使用すべきではないものについてまとめる。

• 0123やpassword、IDと同じなど非常に単純なもの（adminやrootなど機器のデフォルトのものは論外だ）
• 単語やキー配列にちなんだもの。パスワードアタックで狙われやすい
• 家族の名前や誕生日、記念日など個人情報として入手しやすいもの

以上はごく当たり前なことで、心得ている人が多いと思う。しかし驚くことに、この手のパスワードを設定する人があとを絶たない。セキュリティは重要だと承知しつつも、ついつい覚えやすさを優先したり、入力の煩雑さを避けたりしたいのだろう。

ではどういうパスワードがいいのだろうか？　よく要求されるのは以下の通り。

• 最低でも8文字、できるだけ長くする
• 大文字／小文字、数字などをまぜ、場所もなるべく不規則にする
• 記号類が使えるのであれば入れる

これらをベースに、推測されにくいフレーズと数字や記号を組み合わせて作るのがいいとされている。総当たりで試されても、必要となるパターンが増えるため解析に時間がかかるというのが理由の一つだ。しかし覚えやすいのに規則性がないフレーズを考えるのは、とても難しいだろう。

もうひとつ重要なのは、パスワード設定だけでなく、パスワード管理だ。

複数のサービスで同じパスワードを使い回すのはご法度。どのサービスも同じパスワードなら、複雑なものを1つ考えて覚えればいいので、使う側はラクだ。最近ではIDにメールアドレスを使うパターンが多いので、一度パスワードが流出してしまうと、別のサービスでも芋づる式に不正アクセスを許す結果になる。これは極めて危険だ。

とはいえ、人間がパスワードを覚えられるのは、数個が限界だろう。しかもそれがランダムな文字列だとおそらく無理で、ある程度覚えやすいフレーズになるはず。そうなると、セキュリティ的に強固かというと断言し難い。

ブラウザーが覚えてくれるから……で安心はできない

覚えにくいパスワードでもある程度対応できるのは、クラウドサービスや社内システムにログインする際、パスワードをブラウザーに覚えさせる方法だ。1度ログインすれば、オートコンプリート（自動入力）で、次からはパスワードが入るため、支障なく利用できる。複雑でランダム性のあるパスワードをサービスごとにパスワードを使い分けるのも容易になるはずだ。

ただし、これにも欠点がある。

サインインした状態でパソコンを使われてしまった際、ブラウザーを起動するだけで簡単にサービスにアクセスできてしまう。またブラウザーの設定などを見れば、ドメインとパスワードの生み合わせを簡単に確認できてしまうのだ。パスワードを保管する仕組みは暗号化して管理されているので、簡単にはわからないようにはなっているが、ログインした状態で利用中のパソコンを盗まれたり紛失して、不正に使われてしまったら、情報漏えいを防ぎようがない。

モバイルワークの機会が増え、会社の外にパソコンを持ち出すケースが増えてきている。つまりパソコンのサインインを強化したり、盗難対策のソリューションの導入が求められている。このうちサインインの強化に関しては、まずは生体認証の利用がセキュリティ的にもエンドユーザーに負担を掛けないためにも適切な方法だろう。

Windows 10のサインインはPINへ

ちなみにWindows 10では、パソコンのサインインはパスワードではなくPIN（数字の入力）の利用が推奨されている。スマートフォンでは以前からPINが採用されており、パソコンでも共通の操作性を採用した形だ。

PINは最低4桁の英数字で設定するため、一見するとパスワードよりセキュリティ的に脆弱なものに思えるかもしれない。しかしこのPINはデバイス（ここではパソコン）に紐付けられたもので、デバイスのサインインにのみ使われるものとなる。仮にPINが盗み見されたり、漏洩したとしても、悪用するためには、そのデバイスを盗まなければ意味をなさない。単純なぶん、銀行のATMのように数回間違えたらロックするといた仕組みもとれる。このあたりを考慮したもののようだ。

一方でWindows 10のパスワードは、個人であればマイクロソフトのアカウントと紐付けられており、企業ではドメインに参加するためにも利用する。つまりパソコンにサインインする際、パスワードを盗み見られると、ほかのパソコンからでもサインインができてしまうことがある。結果、情報漏えいの危険性が高まるのだ。

ただ、パソコンを紛失した際、PINでは推測がしやすい面もある。生体認証のほうが破られる可能性は低くなるだろう。

セキュリティを高めるためには複数要素を組み合わせるのが最適と言われている。多要素認証と言われるもので、一般的にはパスワードと生体認証、あるいは携帯電話の番号や物理的な認証端末などを組み合わせて安全性を高めるものだ。具体的には以下の3つ──ユーザーの知識（パスワードやPINなど）、ユーザーの所持しているもの（ICカードや携帯電話のSMS認証など）、そしてユーザー自身の生体情報（指紋や顔、静脈など）のうち、複数を組み合わせて認証する。

生体認証でよりセキュアにするソリューション

さて、Windows Helloの使用には注意点がある。

それは「サインインオプション」が選べることだ。仮に指紋認証によるサインインを設定していても、パスワード、PINなどのサインイン方法を設定していると、画面を切り替えて別の方法でサインインできてしまう。

これはどういう意味かというと、指紋認証を使うのであれば、少なくとも設定するパスワードは文字数が長く、複数の文字種を利用し、覚えにくい、より強固なものに設定しておく必要がある、ということだ。

一方Windows Helloの弱点を解消し、社員が利用するパソコンのユーザー認証を一元管理できる企業向けのソリューションもある。ディー・ディー・エスの多要素認証基盤「EVE MA」は、指紋認証だけでなく顔認証や静脈認証、ICカードなどといったさまざまな認証をサポート。Windowsのサインインはもちろんだが、業務アプリケーションの認証でも、これらの認証を使う方式に切り替えて利用できる。

Windowsのサインイン画面も、独自のものに置き換わるため、サインインオプションを表示させず、指紋認証でのみしかアクセスできなくすることが可能だ。また、認証情報を一元管理できるので、新規にパソコンを導入した際でも、その都度、認証登録し直す必要はない。1度登録した認証情報をパソコンと紐付けるだけで利用できるのも特徴だ。

面白いのは、共有パソコンでも利用者を共通のIDに紐付けるだけで認証の仕組みを取り入れられる点だ。代理認証機能も用意されているので、共通IDでログオフせずにそのまま利用でき、かつ誰が利用しているかのログは残るのでセキュリティ性も確保できる。

この連載ではVAIOの企業導入や企業活用をテーマにしているが、VAIO Proにこのようなソリューションを導入する場合も、キッティングサービスが利用できる。あらかじめ設定しておき、納品後すぐに利用できるわけだ。指紋認証と一緒にソリューションを併せて導入する際には、一度相談してみることをお勧めする。

セキュリティ確保のためにも、いま一度パスワード設定を確認しつつ、パスワードを使った認証が本当に適切かどうかを改めて考えてみる機会を持つべきだろう。企業であれば、指紋認証が搭載されたパソコンを導入したり、各種ソリューションと組み合わせて利用することを検討してみてはいかがだろうか。