サイバーセキュリティー月間がやってくるそうなので、1Passwordへの偏愛についてまとめてみた
某諜報機関、もとい、ブログネタフルのコグレマサトさん(@kogure)の記事経由ですが、内閣サイバーセキュリティセンター(NISC)から『攻殻機動隊』と内閣サイバーセキュリティセンターがタイアップ!というニュースが入っています(PDFの資料)。
なんとNISCが攻殻機動隊とタイアップして、2/1-3/18のサイバーセキュリティー月間にさまざまな取組をおこなうのだそうです。今年は官民一体での取り組みになるので、セキュリティ関連の外郭団体と講談社、Production IG などのコラボレーションが行われるというのがキモで、その第一弾として応募した団体に先着でポスターの配布を行うとのこと。草薙少佐の肩に妖精のようにとまっている荒牧課長がかわいいこのポスター、会社などでいかがでしょうか?
考えてみれば攻殻機動隊は初出がなんと1989年。まだほとんどの人がOSというものを意識すらしていなかった時代から続いているコンテンツなのですが、パスワード、不正アクセス、ハッキングなどといったキーワードは物語と深く絡んでいっそうリアルに感じられるようになってきています。リリースのなかで、プロダクション I.G の石川社長がいいことを言ってます。
『攻殻機動隊 STAND ALONE COMPLEX』には荒巻というキャラクターが語る「スタンドプレーから生じるチームワーク」という非常に印象的なセリフがあります。現在のインターネットセキュリティを取り巻く環境はまさにこのセリフが当てはまる時代となったと感じています。インターネットの急速な普及、加えてここ数年に起こったスマートフォンの急速な普及は、われわれ一人一人にインターネットと向き合う高い意識と正しい知識を要求する時代をもたらしました。個々人が正しい知識を持ちインターネットと対峙(“スタンドプレー”)することにより、総体としての安全なインターネット社会(“結果としてのチームワーク”)が構築できるのです。今回のタイアップイラストをご覧になり、一人でも多くの方がサイバーセキュリティに興味を持っていただければ幸いです。
一人ひとりのユーザーが、セキュリティの最前線にいるということを自覚すること。それは個人のパソコンの中の資産だけでなく、社会を守ることにもつながります。実際、2015年になっても最も頻繁に使われる(脆弱な)パスワードは 123456 だという話題からウクライナの送電システムがハッキングで大規模に破壊された話題までをみていると、これは確かに真剣に考えるべきテーマなのです。
そこで、この際ですので私が実践しているセキュリティ関係の習慣について何回かにわけて紹介しておこうと思います。まずは私が愛してやまないパスワード管理ソフト、1Password です。
15桁以下のパスワードはもはや強いといえない現在、1000件のパスワードをすべて別のものを使ったうえで数字記号入りの20-30桁にし、すばやくそれを呼び出してスマートフォンにも同期するには、専用ツールを用いるのが最適です。それをいとも簡単にする1Password について、私が偏愛している7つのポイントについてまとめてみました。
偏愛1: パスワードだけではない! 1Password の管理するもの
1Password が管理するのはパスワードだけではありません。ID と パスワードの対であるログイン情報、任意のテキストをいれられるセキュアノート、クレジットカード情報、個人情報、ライセンスキーなどと多彩です。「こんなのいらないじゃないか」と思われるかもしれませんが、それぞれにかゆいところに手の届いた設定項目があるために、細分化がされているのです。
たとえばWiFi設定はこの通り。ベースステーションのパスワード、AirMac ID、ストレージがついているならそれのパスワードなど、ありがちな設定を一元管理できるようにあらかじめ項目が存在し、自由に消したり追加ができるわけです。もちろん、ファイルのようなものも添付ファイルとして保存可能です。
偏愛2:お気に入りフォルダで最も使うパスワードに素早くアクセス
1000個のパスワードを1Password で管理している私ですが、最も利用するのはせいぜい10個です。いつもいつもログアウトしてしまって不便なサイトや、Amazon、Google、iTunes のような利用頻度の高い場所もあります。これをお気に入りフォルダに入れておいて同期するだけで、どれだけ毎日の生活が楽になっているかわかりません。
偏愛3:iCloud / Dropbox 経由の同期、あるいは WiFi 経由の同期の手堅さ
1Password は他のサービスと違って、暗号化されたパスワードのファイルは手元で管理します。クラウド上での管理はしていませんので、セキュリティが破られて一気に流出ということはありません。
同期のためには iCloud / Dropbox にそのパスワードファイルを置くわけですが、これはもちろんリスクがある一方で現実的な方法です。パスワードを一網打尽にしたいと思っている人はまず iCloud / Dropbox のセキュリティを破ってから、さらに 1Password ファイルにとりかからないといけませんから、ハードルが高いわけです。
もちろん、iCloud / Dropbox にパスワードファイルを置かずとも、ローカル WiFi 同期のみを使って iOS / Android デバイスとパスワードを同期させれば一切クラウドにデータを置く必要はありません。
偏愛4: 管理と共有を楽にする Vault (ヴォールト)機能
Vault (ヴォールト)とは金庫のことです。1Password ではパスワードを複数の Vault に分割したうえで横断して利用することが可能です。Vault には共有機能もありますから、さまざまな目的に使えます。
たとえば職場のパスワードは家庭に持ち込みたくないのでVaultをわけておくこと、2番めのVaultのみを同期させて持ち歩くものとそうでないものをわけること、家族と同期するVaultを作ること、1Password を利用している知り合いにVault経由でセキュアノートを送信することなどができます。
偏愛5: ジェネレーターの柔軟性と2段階認証対応
パスワード生成機能は、パスワード管理ソフトとしては当然の機能ですが、私は特に1Password のそれが気に入っています。文字列長の指定、大文字・小文字の指定といった点は当然として、間違えやすい 1 と l が混ざるのを避ける、数字や記号の数、発音できる文字列の生成、区切り文字の柔軟さなどが、すばやく指定できます。
これは iOS / Android アプリでもそうですので、出先でパスワードを作る際も「とりあえず6文字の弱いパスワードにしておこう」などという必要がありません。最初から最高にセキュアなパスワードで開始して同期させればよいわけです。
偏愛6: スマートフォルダと自動監視・セキュリティ検査機能
いくら強力なパスワードでも、流出してしまえば終わりです。そして、たとえ自分が流出させなくても、利用している利用しているサービスのセキュリティが破られるケースだってあるわけです。
そんなとき、1Password Watchtower は報告されているパスワード流出インシデントに基いて、もし変更の必要があるパスワードがあるならユーザーに対して警告を発してくれます。Heartbleed のときなどは、このWatchtowerで検出された警告で1Password が真っ赤になって驚いたことがあります。
また、1Password のパスワード監視機能も、古いパスワードや重複したものを常にモニターしているのでモニターしているので少しずつ重複を管理し、古くて削除すべきアカウントを知るのに手間をかけさせません。
偏愛7: 1Password for Teams でパスワードを職場で統一管理
最後に、去年秋に登場したあたらしい機能、1Password for Teams が小規模のチームや会社におけるパスワード管理をとても楽にしてくれて期待しています。たとえば開発チームで共有しなければいけないデータベースパスワードの管理、チームから人が去った場合の再設定と権限管理、そういった面倒な作業を一つのコンソールでできるようになるのです。
まとめ
最近ではアプリ内でも1Password を呼び出してパスワードを入力できるようになっているものが多く、今後ますます増えてくるのではないかと思います。
もちろんパスワード管理ソフト、サービスは1Password だけではありません。一日に何度も使い、好みがわかれる場所でもあるでしょう。でもだからこそ、私は1Password を多少過剰に愛さずにはいられません。もう何年も私の毎日を助けてくれた相棒なのですから!
良くも悪くも、「個人のサイバーセキュリティー」はいまのところパスワードの管理から始まります。それを最強のものに維持しつつ、手間を最小限にする1Password はなくてはならないツールなのです。