セキュリティの
学び場

パスワードマネージャーとは

パスワードマネージャーとは、複数のWebサービスやアプリケーションの個々の認証情報（IDやパスワードなど）を手間を減らしつつ、安全に管理するためのツールやサービスです。

ユーザはパスワードマネージャーにWebサービスやアプリケーションとそれらで利用する認証情報を保存します。保存された情報は「マスターパスワード」というパスワードマネージャーを利用するためのパスワードで暗号化されます。そしてWebサービスやアプリケーションにログインする際などに、ユーザがパスワードマネージャーにマスターパスワードを入力することで、認証情報は復号され利用できるようになります。

パスワードマネージャーは主に２種類に分けられます。一つは認証情報をローカル環境に保存するローカルホスト型。そしてもう一つはネットワーク上に保存するクラウド型です。また、企業内の利用も見られるようになりましたが、個人で利用される場合が多いのも特徴です。

なぜパスワードマネージャーの利用が重要になってきたのか

インターネットの発達とともに、多くのWebサービスやアプリケーションを利用する機会が増え、今ではそれらを個人で複数利用しているのは当たり前になりました。すると、利用するWebサービスやアプリケーションが増えるにつれて、それらで利用する認証情報も増えてきました。筆者である私がプライベートで管理している利用サービスと認証情報の組み合わせを数えてみたところ26個ありました。数の違いはあれども、皆様も複数の認証情報を管理していると思います。

特にパスワードの管理は手間がかかります。パスワードは複数の文字種を使い、推測しづらい文字列かつ12文字数以上を求められることが一般的になりました。また最近の個人情報や認証情報の漏洩事故の多さを考慮すると、同一パスワードを複数のWebサービスやアプリケーションで使い回すのも避けるべきとIPAは発表しています。

パスワードマネージャーはこのように管理するのが大変になった認証情報を、簡単にかつ安全に管理したいという要望を解決することができます。

パスワードマネージャーのメリット

パスワードマネージャーを利用するためのマスターパスワードのみを覚えておけば、利用するWebサービスやアプリケーション毎に認証情報を覚える必要がなく、認証情報を手間が少なく、安全に管理することができるのがパスワードマネージャーの大きなメリットですが、他にも以下のようなメリットがあります。

• 入力フォームへの自動入力や自動ログイン機能が使える
• 新しく認証情報を設定する際に、強度の高いパスワードを自動作成してくれる（提案のみで実際に利用するかは自分で選べる）
• クラウド型であれば複数の機器で情報を共有できる
• 認証情報だけでなく、名前、住所、電話番号、クレジットカード情報などの個人情報も保存することができ、適切な入力フォームで利用できる

パスワードマネージャーのデメリット

反対にパスワードマネージャーにも以下のようなデメリットが存在しています。特に昨年末に発生したメジャーなパスワードマネージャーの情報漏洩事件は、改めてユーザに対してパスワードマネージャーのデメリットについて深く考えるきっかけを与えました。

• パスワードマネージャー自体が一つのWebサービスやアプリケーションであるため、脆弱性が存在する可能性がある
• マスターパスワードを忘れてしまうと保存した認証情報を復号できなくなる
• クラウド型の場合、データを保存しているクラウドが攻撃を受けて情報漏洩が起こる可能性がある
• ローカルホスト型の場合、データを保存している機器を紛失する可能性がある
• 使いやすく多機能なパスワードマネージャーは有料の場合がある

まとめ

数多くのWebサービスやアプリケーションを利用するユーザにとって、認証情報の管理を手助けしてくれるパスワードマネージャーは間違いなく有益な存在です。

利用する場合はローカルホスト型やクラウド型といった認証情報の保存場所の違いや有する機能の違いなど、個々のパスワードマネージャーの特徴を把握しつつ、自分にとってメリットが多いものを選択することをお勧めします。また、パスワードマネージャーを利用したとしても、これまで通り認証情報を適切に管理する意識を持つことが大切であることは変わりません。