パスワード地獄から解放される日

小川 誉久

2002/03/20

 みなさんは、個人用のユーザーID/パスワードをいくつ管理しているだろうか?

 改めてざっと調べてみると、筆者の場合は次のような結果となった。

ネットワーク/サービス
個数
Windowsドメイン(社内LAN)
3 *1
ISP
2 *2
ネット掲示板
3
無料メール/インスタント・メッセージング
1
オンライン・バンキング
1
オンライン・トレーディング
1
オンライン・ショッピング
8
Web情報サービス
10
21
筆者が個人で管理しているユーザーID/パスワードの数
*1:管理用ID、テスト・サーバ用IDを含む
*2:自宅使用のCATVインターネットとモバイル接続用

 表からも明らかなように、筆者の場合、「オンライン・ショッピング」や「Web情報サービス」を利用するためのIDが突出して多い。読者が掲示板のヘビー・ユーザーなら、各種掲示板サービスを利用するためのIDを多数持っていることだろう。

 ISPやバンキング、トレーディングなどは、どれか1つと契約すると、それらを集中的に使うことになるが、掲示板やWeb情報サービスなどは、気になるサイトに次々と手を広げやすいので、これらについては今後も増加の一途をたどるものと思われる。

 現状では、使いたいサービスが増える以上、IDが増加するのは仕方がない。しかし問題は、増え続けるユーザーIDの管理である。

 一般に、ユーザーIDやパスワードを安全に運用するためのポイントとしては、次のようなものがある。

  1. 個人情報から簡単に類推できるパスワードなどは付けない(例:誕生日や住所、電話番号など)。
  2. 辞書に載っているような単語をパスワードに使わない。途中に記号や数字なども含めて、なるべく長い文字列にする。
  3. ユーザーIDやパスワードのメモを残さない。
  4. パスワードは定期的に変更する。

 安全を第一に考えれば、どれもごもっともな内容である。しかし、数字や記号などを含めて、長い無意味な文字列をパスワードにしたとして、それを忘れずに暗記できる自信は筆者にはない。ましてや、定期的にパスワードを変更するなど論外である。結局、多少の工夫はするとして、「お気に入り」のパスワードを決めたら、それをあらゆる場面で使おうとするようになる。忘れっぽい筆者でも、1つだけなら何とか覚えておけそうだ。しかし現実は、この方針を許してくれない。

 現状では、サービスを提供する各社が独自にユーザー管理を行っており、ユーザーIDやパスワード文字列に対して、それぞれ独自のルールを適用しているからだ。例えば筆者が使っているオンライン・バンキングでは、パスワードのルールを次のように既定している。

「半角アルファベットと数字を組み合わせた6桁〜12桁の文字列。アルファベットのみ、数字のみは不可。記号も使用不可」

 さすがに銀行とあって、厳重なパスワード指定ルールである(とはいえ、なぜか記号は使えない)。かと思えば、筆者が利用しているオンライン・トレーディングでは、銀行のキャッシュ・カード同様、任意の4桁の数字をパスワードとして使っている。これ以外にも、「パスワードは6文字まで」とか「アルファベットのみ」とかルールは千差万別だ。残念ながら、1つのお気に入りパスワードを使い回すのは不可能である。

 サイトによっては、パスワードを忘れたときのためのヒントを登録できるところもあるが、パスワード文字列のルールがさまざまとあっては、どれだけ有効なのかよく分からない。これまで筆者も、この機能をあてにしたことが何度かあるが、残念ながら役に立った試しがない。

 このように現実は、「パスワード地獄」とも呼べる様相を呈しており、メモを残さずに多数のIDを管理するのは到底不可能だ。場合によっては、ディスプレイの脇に各種のユーザーID情報一覧を印刷して貼り付けている人もいるようだ。セキュリティを確保するという意味では「あってはならないこと」だろうが、気持ちは分からないでもない。あるいは、Webブラウザを使って認証を受けるなら、IEの履歴機能に頼るという方法もある(詳細は「Windows TIPS:IEのオートコンプリート履歴を削除する」を参照)。いずれにせよ、安全性という意味では大きく後退している。

 このようなパスワード地獄が発生するのは、ユーザー管理や認証を、サービスの主体者がそれぞれ独自に行っているためだ。このような状況を解消するための1つの方法として、シングル・サインオン(single sign-on)がある。シングル・サインオンでは、認証を集中的に行うサーバを中央に置き、ここでいったんユーザー認証を受けたら、ユーザー認証を前提としたあらゆるサービスを受けられるようにする。例えば、Windows 2000に用意されているActive Directoryは、Windowsネットワーク上でのシングル・サインオンを実現するためのディレクトリ・サービスである(Active Directoryに対応したメール・サーバやプロキシ・サーバなどを使えば、Active Directory認証を使ってこれらのサービスを利用できる)。

 このActive Directoryは、あくまで企業内のイントラネットを前提とするものだが、最近では、インターネット上でのシングル・サインオン環境に注目が集まっている。このうち1つは、マイクロソフトが提供するPassportサービスだ。このPassportサービスは、すでに同社が運営するMSNの一環としてサービスが提供されているが、将来的にはこれがさらにバージョンアップされてWebサービス対応になり、購読型の次世代アプリケーション・サービスとしてマイクロソフトが開発を進める.NET My Servicesの認証機能として中心的な役割を果たすことになる予定である。このMy Services以外のサイトでも、Passport対応を施すことで、Passportでの認証結果を使ってサービスを提供できるようになる。このようなマイクロソフトの動きに対し、Sun MicrosystemsやAOLなどが中心となり、Passportに対抗する認証機能を提供しようと、Liberty Alliance Projectと呼ばれる業界団体を設立した(Liberty Alliance Projectのホームページ)。

 これらの詳細を述べることは本稿の目的ではない。将来的にはインターネット上のシングル・サインオン環境が実現して、パスワード地獄から解放されたいと願う(もちろん、一元化された個人情報が根こそぎ盗まれるようなことがないという前提だが)。しかしその場合でも、認証サービスを提供するのは、現在いわれているようなPassportやLiberty Alliance Projectではないだろうと感じる。

 人々の生活がますますネットワークに依存するようになり、シングル・サインオンが不可欠な時代になったとすれば、認証サービスは、インターネットを使うためのエントランスとして機能することになる。つまりシングル・サインオンを実現するための技術は、極めて公共性の高い社会基盤として機能するわけだ。こうした社会基盤が、利益追求を第一とする私企業によって運営されるとは思えないし、そうあるべきでもないだろう。

 さる3月7日に開催されたSunのScott McNealy会長兼CEOの記者会見で氏は、マイクロソフトの.NETを「ウイルスを付加し、盗み、コミュニティをハイジャックする技術」と攻撃した(3月8日付けの@ITのニュース記事)。

 どうやらインターネットを舞台としたシングル・サインオンの将来は、次世代ネットをリードする2大競合企業によるネット戦略の真っ只中にあるらしい。

 パスワード地獄から解放される日はまだ先になりそうだ。 End of Article


小川 誉久(おがわ よしひさ)
株式会社デジタルアドバンテージ 代表取締役社長。東京農工大学 工学部 材料システム工学科卒。'86年 カシオ計算機株式会社 入社、オフコン向けのBASICインタープリタの開発、Cコンパイラのメンテナンスなどを行う。'89年 株式会社アスキー 出版局 第一書籍編集部入社、書籍編集者を経て、月刊スーパーアスキーの創刊に参画。'94年月刊スーパーアスキー デスク、'95年 同副編集長、'97年 同編集長に就任。'98年 月刊スーパーアスキーの休刊を機に株式会社アスキーを退職、デジタルアドバンテージを設立した。現Windows Insider編集長。

「Opinion」



Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間