第3章 IDとパスワードの基本的な知識

IDとパスワードとは何か

悪いパスワードとは、他者に推測されてしまうもの。

よいパスワードの基準

よいパスワードの基準1「できるだけ長くしよう」~8文字以上はもう古い?~

よいパスワードの基準2「できるだけ複雑にしよう」~数字や記号を足そう~

よいパスワードの基準3「使いまわしをしない」~コアパスワード+サービスごとにキーワード~

パスワードチェッカーで堅牢度を調べてみよう

管理をするのは誰か ~子どもも自分のを管理する~

安全で使いやすい環境を構築しよう

3章のまとめ

3-1 IDとパスワードとは何か

 これまでIDとパスワードという言葉を使ってきましたが、一度定義を確認してみましょう。

 IDとはidentification(識別)の略で、システムの利用者を識別するために用いられる符号のことです。IDは、「ユーザー名」や「ユーザーID」と呼ばれることも多いです。一般的にIDはパスワードとセットにして用いられます。IDとは(ID用語辞典のページに移動します。)

 本サイトでは、「ユーザー名」や「ユーザーID」を便宜上IDと呼んできました。これからも、IDのパスワード以外の部分、つまり「ユーザー名」や「ユーザーID」の部分をIDと呼びます。

 よくわかる例は、銀行口座です。口座番号はIDで、パスワードは暗証番号です。
 私たちの日常で考えると、IDは家の住所であり、パスワードは家の鍵です。家にある大切なものを守るために、私たちは家に鍵をかけます。もし泥棒があなたの家にある大切なものを盗もうと思っていたらどうするでしょう。まずは、家の住所を調べます。住所は個人情報であるので私たちはなるべく住所が泥棒に知られないよう注意していますが、泥棒は尾行すればあなたの住所を特定することができるでしょう。しかし、泥棒はあなたの家の鍵がなければ簡単に侵入することはできません。この点を考えると、鍵の重要性、パスワードの重要性が感じられると思います。

3-2 悪いパスワードとは、他者に推測されてしまうもの。

 とても重要であるパスワードですが、悪い使われ方をされていることがあります。
 ソリントシステムズが発表した「日本人のパスワードランキング2021」による(ITmedia NEWSのページに移動します。)と、2021年に漏えいしたパスワード1位は「123456」で、2位は「password」、3位は「000000」でした。その他にもキーボードの配列を左からに縦に入力したもの(例:「1qaz2wsx」)や、人名やサービス名をパスワードにしたケースも見られました。

 ここで、悪いパスワードの代表例をまとめて紹介します。

  1. 「password」や「123456」など上記のランキングに入っているようなパスワード
  2. ユーザー名や生年月日、電話番号などの個人情報を含むパスワード
  3. 単語やフレーズをそのまま使用したパスワード(例: 「iloveyou」)
  4. 単一の文字列や数字のパスワード(例: 「a」、 「1」)
  5. シーケンス(順番に並んだ数字や文字)を含むパスワード(例: 「123abc」)
  6. 同じパスワードを複数のアカウントで使用している場合

 1~5のパスワードは、他人に推測されやすく、総当たり攻撃に対して脆弱であり、セキュリティ上のリスクを高める可能性があります。適切な長さと複雑さをもった他人から推測されにくいパスワードにすることが重要です。
 しかし、適切な長さと複雑さをもっていたとしても、安心というわけではありません。6にあるように同じパスワードを複数のアカウントで使用していると、一つのアカウントからパスワードが漏えいしてしまったら、他のアカウントが危険な状態になります。他にも、学校内でパスワードが連番になっている場合、学校外からは推測が困難かもしれませんが、学校内でなりすましが簡単に行えてしまうために悪いパスワードといえます。
 まとめると、悪いパスワードは、他者に推測されてしまうものであるといえます。推測されてしまう要因は、

  • パスワードの構成が安易なものだから
  • パスワードが個人や組織で同一や連番だから
逆に、よいパスワードは上記の2点を避けているため、他者に推測されにくいものであるといえます。

3-3 よいパスワードの基準

 よいパスワードとは、他者から推測されにくいものであるということが分かりました。では、具体的にどんな要素が必要なのでしょうか。

 ここでは、IPA(独立行政法人 情報処理推進機構)の例(IPA 独立行政法人 情報処理推進機構のページに移動します。)を紹介します。
 IPA とは、独立行政法人情報処理推進機構の略称であり、日本の情報処理に関する研究開発や標準化、情報セキュリティの推進、人材育成などを行う組織です。IPAは、日本政府の行政機関ではありますが、独立した法人として運営されています。そのため、政府機関のように政治的な影響を受けず、中立的な立場から情報処理の発展を支援することができます。

 IPA は、安全なパスワードについて4つのポイントを提示しています。

  1. 最低でも10文字以上の文字数で構成されている。
  2. パスワードの中に数字や、「@」、「%」、「”」などの記号を混ぜている。
  3. パスコードの内のアルファベットに大文字と小文字の両方を入れている。
  4. サービスごとに違うパスワードを設定している。

 まとめると、安全なパスワードにするためには、

  1. できるだけ長く
  2. できるだけ複雑で
  3. 使いまわしをしない
ことが重要な要素であることが分かります。この3つの要素についてそれぞれ考えて見ましょう。

3-4 よいパスワードの基準1「できるだけ長くしよう」~8文字以上はもう古い?~

 よいパスワードの1つ目の基準は、「できるだけ長く」です
 パスワードが長ければ長いほど、他者に推測がされにくくなります。もし悪意ある他者があなたのパスワードを総当たりで解読をしようとしたとき、パスワードが長ければ長いほど時間がかかります。
下にパスワードの文字数と解読時間の関係(セキュマガのページに移動します。)を提示します。

使用する文字の種類 6 桁 8 桁 10 桁 12 桁 14 桁
アルファベットのみ 400 ミリ秒 22 分 1 ヶ月 300 年 80 万年
*アルファベットは、大文字と小文字区別します。

 もしあなたがアルファベットのみで8桁のパスワードを作ったとします。そのパスワードを悪意ある他者が解読をしようとすると、22分で解読がされてしまいます。一方、10桁にすると解読に1ヶ月の時間がかかります。文字数を増やすとパスワードの安全性が増すことが分かります。できるだけ長いパスワードを作ることが大切です。

 今までパスワードの設定をするときに、8文字以上のパスワードを要求された経験があると思います。これは、IPAが以前に示していた指針の影響が大きいと考えられます。しかし、現在IPAは10文字以上のパスワードを推奨しています。なぜでしょうか。
 それは、パスワードの解読技術が発達したからだと考えられます。パスワードを解読しようとする悪意ある他者のコンピュータが以前よりも高性能になって、解読のスピードが速くなりました。  一例を挙げると、2011年ではアルファベットのみのパスワード8文字の解読時間は約17日でした。(早稲田大学 情報化推進レター 第24号 2011年9月 巻末コラム「パスワードはなぜ8文字以上にするのか」より)現在は、上の表で示したように、22分まで短くなっています。解読時間が1/1000以下になっているのです。この数字は、悪意ある相手のコンピュータの性能によって大きく変化してくるので正確なものとは言えません。しかし、コンピュータの技術が日々進歩しているため、今後はより解読の時間が短くなると考えられます。8文字以上あるから安心だと、昔の知識に頼っていてはいけません。コンピュータの進歩に合わせて私たちのセキュリティ対策も進歩させていきましょう

3-5 よいパスワードの基準2「できるだけ複雑にしよう」~数字や記号を足そう~

 よいパスワードの2つ目の基準は、「できるだけ複雑に」です
できるだけ複雑なパスワードを作るためには以下の方法が一般的です。

  1. 数字を足す。
  2. 記号を足す。
  3. アルファベットに大文字と小文字の両方を入れる。
 アルファベット以外の文字を足すことで使用できる文字数が増え、パスワード解読の総攻撃への耐性が向上します。アルファベットだけだと26文字の組み合わせですが、大文字と小文字の両方を使うと52文字数の組み合わせ、0から9を足すと62文字の組み合わせ、さらに記号を足すと93文字の組み合わせになります。

 先ほどの項目で、パスワードが長ければ長いほど安全性が高まることがわかっていただけたと思います。しかし、長すぎるパスワードは覚えるのが大変です。覚える文字数は少なくしながら、かつ複雑なパスワードにするために、数字や記号を組み合わせましょう。

 数字や記号、大文字と小文字を使用することでどれだけパスワードが複雑になるかを、先ほど提示したパスワードの文字数と解読時間の関係(セキュマガのページに移動します。)を拡張してみましょう。

使用する文字の種類 使用できる文字数 6 桁 8 桁 10 桁 12 桁 14 桁
アルファベット(大文字、小文字区別)のみ 52 文字 400 ミリ秒 22 分 1 ヶ月 300 年 80 万年
アルファベット(大文字、小文字区別)+数字 62 文字 1 秒 1 時間 7 ヶ月 2000 年 900 万年
アルファベット(大文字、小文字区別)+数字+記号 93 文字 19 秒 2 日 52 年 40 万年 40 億年

 例えば10桁のパスワードで考えてみましょう。アルファベットの大文字と小文字を組み合わせると、解読に1ヶ月かかります。それに数字を足すと解読に7か月かかります。さらに、記号も足すと解読に52年かかる計算になります。文字数を増やすだけでなく、使用する文字の種類を増やすことで複雑なパスワードを作成することができます。

3-6 よいパスワードの基準3「使いまわしをしない」~コアパスワード+サービスごとにキーワード~

 よいパスワードの3つ目の基準は、「使いまわしをしない」です

 あなたは、パスワードの使いまわしをしていないでしょうか。覚えるのが難しいからといって、プライベートで使用しているパスワードを仕事でも使っていないでしょうか。

 これまでは、単体のパスワードについて、よいパスワードの基準を紹介してきました。しかし、どれだけ強固なパスワードを作ったとしても、複数のサービスでパスワードを使いまわしをすると、パスワードの強度が下がってしまいます。実際には、複数のサービスを利用し、複数のパスワードを管理しなければならない人がほとんどではないでしょうか。

 パスワードを使いまわす問題点を挙げると、

  1. パスワードが漏洩した場合の被害拡大
  2. パスワードの推測が容易になる
  3. パスワード変更の負担が増加する
などが考えられます。
 パスワードの漏洩は、自分が気を付けていてもサービス側の問題で起こることがあります。もし一つのサービスで使っているパスワードが漏洩してしまった場合、パスワードの使いまわしをしていると、簡単にパスワードが推測できるため他のサービスに簡単にアクセスできてしまいます。さらに、漏洩したパスワードを変更する場合、使いまわしているサービスごとに変更しなければならないため大きな負担となります。

 パスワードの使いまわしをせずに複数のパスワードを使うにはどうすればよいでしょうか。ここでは、

  1. コアパスワード+サービスごとキーワードを設定する
  2. パスワードマネージャーを使う
を紹介します。

  1.  コアパスワード+サービスごとキーワードを設定するとは、コアパスワードにサービスごとのキーワードを少し付け足すことで、パスワードの単純な使いまわしを防ぐ方法です。

     下の例で考えて見ましょう。
    コアパスワードを「ETFmiee@2023」とします。
    サービスごとのキーワードを

    • Microsoft Teams「MSt」
    • Google「GGl」
    • Amazon「Amz」
    とします。
     これらを組み合わせると
    • Microsoft Teams「ETFmiee@2023MSt」
    • Goggle「ETFmiee@2023GGl」
    • Amazon「ETFmiee@2023Amz」
    となります。この方法を使うと、本人が忘れにくい形を維持しつつ、パスワードの単純な使いまわしを防ぐことができます。
  2.  パスワードマネージャーは、複数のIDやパスワードを登録することができるソフトウェアです。Microsoft EdgeやGoogle Chromeなどのブラウザに搭載されていることで使用している方もいるのではないでしょうか。
     パスワードマネージャーを使うことで、多くのパスワードを暗記したり、紙に記録したりする必要がなくなります。また、自動入力にも対応しているパスワードマネージャーだと、自動でIDやパスワードを入力してくれてとても便利です。

 以上のような方法を使ってパスワードの使いましをなくしていきましょう。

3-7 パスワードチェッカーで堅牢度を調べてみよう

 ここまでは、安全なパスワードのための三つの要素、

  1. できるだけ長く
  2. できるだけ複雑で
  3. 使いまわしをしない
を学んできました。

 ここでは、パスワードチェッカーでパスワードの安全性を調べたいと思います。パスワードチェッカーとは、パスワードについて、組み合わせと解読時間を調べたり、実際のパスワードの解読時間をチェックしたりすることができるツールです。

パスワードチェッカー
組み合わせと解読時間について
 組み合わせの数を調べることができます。パスワードで使う文字の種類と文字数を組み合わせると、何通りあるのか調べることができます。
 例えば、

  • 文字の種類…英小文字のみ
  • 文字数…8字
だと、2088億2706万4576 通りになります。
 これを、
  • 文字の種類…数字、英小文字、英大文字、記号
  • 文字数…8字
にすると、6095兆6893億8541万816 通りになります。
 数字・記号・大文字を使用することで解読されにくい暗号になることが簡単にわかります。
 さらに、解読時間も調べることができます。解読時間は、組み合わせ÷計算回数で求めています。
 例えば、PlayStation 5の計算時間100億回で考えてみると、
  • 文字の種類…英小文字のみ
  • 文字数…8字
の2088億2706万4576 通りの組み合わせは、20秒で解読される計算になります。
 これが、
  • 文字の種類…数字、英小文字、英大文字、記号
  • 文字数…8字
になると、解読時間が7日1時間19分28秒 になります。
 このように、組み合わせと解読時間を使うことで簡単に解読時間を調べることができます

 以上のように、パスワードチェッカーを使用すると、パスワードがどれだけ解読されにくいかが数字で実感することができます。

 ただし、このようなパスワードチェッカーを使用する際は、実際に使っているパスワードをそのまま使わないことは覚えておく必要があると思います。本サイトのパスワードチェッカーは安心していただけますが、悪意のあるサイトでは、パスワードを収集している可能性があるかもしれません。
 実際に使っているパスワードを調べたい場合は、適度に変更をしていただくことをお勧めします。

3-8 管理をするのは誰か ~子どもも自分のを管理する~

 ここまでは、IDとパスワードの定義、悪いパスワードとよいパスワードの要素、またパスワードチェッカーを使って安全性の確認の方法を学んできました。

 ここでは、IDとパスワードの管理の考え方について学んでいきたいと思います。

 よいパスワード、つまり推測されにくいパスワードを考えると、パスワードは複雑になります。しかし、複雑なパスワードを多く覚えることは困難です。複雑なパスワードが覚えられないと、使いまわしが発生してしまい、組織全体のセキュリティを低下させてしまいます。他にも、パスワードを付箋で書いて端末に貼ってしまっている場合が起きるかもしれません。
 つまり、全体のセキュリティを考えると安全性と使いやすさのバランスを考えてセキュリティ環境を構築することが大切になります。

 安全な学校のセキュリティ環境を整える上で、私たちは、管理するのは大人だけではなく、子どももと考えることが大切だと考えています。
 どれだけ堅牢なセキュリティ対策をしても、それを使用する人が育っていないと安全性が保てません。学校という組織で考えると、子どもは教えられなければセキュリティ対策の正しい知識はありません。子どもにはしっかりとセキュリティ対策のやり方を教育する必要があると考えられます。さらに、子どもを教育する教師が正しいセキュリティ対策をしていない場面が、散見されます。組織の管理者は、セキュリティ対策がしっかりと実行できるよう、大人も子どもも研修・教育をする必要があると考えられます。

 子どもが自分でIDとパスワードを管理できる教育の方法を考えなければいけません。それは、将来を生きる子どもたちにとても重要なことではないでしょうか。
 社会ではデジタル技術が発達して、私たちの生活のあらゆる場面で使用されています。スマートフォンを使う子どもは多くいます。クラウドが前提の時代で、複数のIDとパスワードを使用している子どもは多くいるでしょう。
 子どもがIDとパスワードを自分で管理できるようになることは、社会を生きる上で大切なことの一つだと考えられます。学校は、社会に出る前の練習の段階だと考えて、正しい管理の方法を教育することが大切です。学校のセキュリティ環境を適切に整えることで、子どもたちに正しい管理の方法が身に付きます。

 子どもにセキュリティを教育するためには、下の三つの要素が重要だと考えられます。

  • 自分だけが知っている状態にする。
  • パスワードを自分で決める。
  • 危険な状態への対処法を知る。
 よいパスワードは、他人から推測されにくいものだと学びました。つまり、自分だけが知っていることが大切です。他の人に安易に知られないように、友だちに教えたり、付箋に書いて端末に貼ったりしてはいけません。
 発達段階に応じて、保護者の協力を得ることもよいでしょう。小学校低学年など、自分で覚えることが困難な場合には、保護者にもパスワードを知っていてもらい家庭でパスワードを忘れてしまった場合に協力してもらうことは有効でしょう。

 自分のパスワードを自分で決めることは、主体的にセキュリティを守れる子どもを育てる上で大切です。与えられた乱数のパスワードを覚えることを負担に感じる子どもは多いでしょう。しかもそれが複数あるとなおさらです。
 他者から推測されにくいパスワードを考える上で、自分ルールを作ることが有効です。自分のコアパスワードを自分で考えることで、他者から推測されにくく、忘れにくいパスワードを作ることができます。自分のパスワードを決める際には、パスワードチェッカーを使用して、安全性をぜひ確かめさせてください。

 適切な管理をすることと同様に、危険な状態になったときに、どう対処したらよいか子どもが知っていることも大切です。
 パスワードを忘れてしまって端末が使えない。他人にパスワードが知られてしまってなりすましをされるかもしれない。そんな場合は簡単に起こります。その際に、しっかりと担任の先生に報告するなど、危険な状態になったらどうしたらよいか子どもが理解していなければいけません。
 大切なことは、パスワードを変えずに守ることではありません。危険な状態をそのままにせず、安全な状態にすることが大切です。パスワードを忘れた子ども、パスワードを書いた紙をなくした子どもがいたら、しっかりと報告ができるようにしましょう。

3-9 安全で使いやすい環境を構築しよう

 大人が、IDとパスワードを管理する上で大切なことは、安全性と使いやすさのバランスだと考えられます。

 セキュリティ対策をする上で、安全性は一番大切なことです。子どもたちが安全に使用できるよう適切な方法を教育していかなければいけません。
 特に管理者は、子どもも大人も安全に使用できるよう適切な環境を構築しなければいけません。組織の規模、子どもの発達段階に応じて具体的に考えることが大切です。
 子どもの指導にあたる大人は、子どもがIDやパスワードを忘れてしまった際に、負担なく報告できるような関係を作ることも重要でしょう。パスワードを変えないことを重視してはいけません。危険な状態になったら、即変更することを重視しましょう。

 使いやすい環境を構築することは、セキュリティ全体として考えたときに重要です。
 多くのサービスを使用し、多くのIDやパスワードを管理しなければいけない状態になると、なりすましやパスワード忘れが発生する危険性が高まります。パスワードの使いまわしが発生する可能性も高くなります。
 ICT環境の担当者は、組織の人が負担なく使用できるかという視点をもって環境を整備しましょう。また、複数のツールを使用する際には、シングルサインオンなどのツールを使用して負担を減らす方法も考えましょう。
 子どもの指導にあたる大人は、子どもが適切にセキュリティ対策を実行できているか教育をすることが大切です。子どもが負担なく使える方法を教育しましょう。子どもが管理の方法を分からないと負担は大きくなりますが、管理の方法を学べば負担が減ります。子どもに教育をすることが、使いやすい環境の一つだと捉えて子どもの指導にあたりましょう。

 安全性と使いやすい環境について考えてきました。全体的なセキュリティを考えると、安全性と使いやすさのバランスをどう捉えるかが大切になってきます。

 最後に以下に示す視点を用いて、自分の環境について考えて、変更するとよいことを続くテキスト欄に書いてみてください。

  • 管理することが多く、子どもの負担になっていないか
  • シングルサインオンなどの使いやすいツールはないか
  • 子どもは危険な状態になったらどうすればよいか知っているか
  • 子どもは自分の情報を管理する方法を知っているか

第3章のまとめ

 この章では、次のことを行いました。

  • IDとパスワードの定義を確認した。
  • パスワードの悪い例を確認した。
  • よいパスワードの要素を学んだ。
  • パスワードチェッカーを使ってパスワードの安全性を確認した。
  • IDとパスワードは、大人だけでなく子どもも管理することが大切だと学んだ。
  • セキュリティ環境の構築には、安全性と使いやすさのバランスが大切だと学んだ。