パスワードは“覚えるもの”という先入観はそろそろ捨てませんか？

　先日、「ITmedia エンタープライズ」の特集企画で、アイティメディアのセミナーでもよく登壇いただいている川口 洋氏にお話をうかがいました（この様子はあらためて記事が公開されるのでお楽しみに）。その中で、本論とは少々外れた内容で「中小企業ができるセキュリティ対策の第一歩は何だろう」というお話になりました。

●川口氏が推奨する、有料でも入れるべきソフトウェア

　川口氏はこれについて、とあるソフトウェアを全員に買ってあげることが有効ではないかと主張しました。それは「パスワード管理ソフトウェア」です。

　これには筆者も完全に同意で、全従業員の端末用に購入するソフトウェアといえば、かつてはウイルス対策ソフトウェアが主流でした。しかし今では「Windows」に標準搭載されている「Microsoft Defender」で既知のマルウェアはブロックできます。そこで代わりに「有料でも使ってもらいたい」ソフトウェアの代表格を挙げるとすれば、やはりパスワード管理ソフトウェアになると思います。

　おそらく、多くの読者は今も「パスワードの使い回し」から脱却できていないでしょう。もちろん筆者も完全には使い回しを排除できていません。セキュリティ識者の講演を聴いていても、かつては脆弱（ぜいじゃく）性を攻撃されて侵入されるケースが非常に多かったものの、やはり今問題になるのは「弱いパスワード」ではないかという意見が多くみられます。

　サイバー攻撃者は組織のシステムに侵入後、重要なサーバの管理者権限を奪おうと考えます。その際、弱いパスワードが使われていないかどうか、もしくはファイルサーバやメールボックスに「password.txt」といったパスワードそのものが書かれたテキストファイルがあるかどうかをチェックします。

　どんなに高価で多機能なソリューションを導入していたとしても、その管理アカウントが弱いパスワードで運用されていれば、まずそこから攻撃し、主要なセキュリティ機能をオフにされてしまうでしょう。そう考えると「パスワードをどう守っていくか」「弱いパスワードをどう排除していくか」は大きな課題であるはずです。

　これには企業の規模や業種、個人か法人かということも関係ありません。お金をはじめ、大事なものを守るパスワード自体を守っていかねばならないのです。

●パスワードを“覚える”という運用からいい加減に卒業しよう

　パスワード管理ソフトウェアをお勧めする最大の理由は、パスワード運用にパラダイムシフトを起こせるからです。パスワード管理ソフトがあればパスワードは覚えるものではなく、「ソフトに覚えさせるもの」になります。記憶するべきパスワードは劇的に少なくなり、1つあるいはゼロになるかもしれません。