昨今オンライン化が進み、アプリやWebサービスを使う機会が増えています。IDとパスワードを入力し、ログインして利用するものが多いですが、セキュリティの観点から同じパスワードを使いまわすべきでないことは皆さん知ってると思います。
そこでパスワードの管理や生成可能なパスワードマネージャーが必要になってくるわけですが、いざ、パスワードマネージャーを利用しようと思って調べてみると、ものすごくたくさんの製品やアプリが出てきて、どれにすればいいのか悩みますよね。
今回のブログでは、パスワードマネージャーを選ぶ際にどのようなポイントで判断すればいいのか解説していきます。どれが自分に向いているのか決める参考にしていただけると嬉しいです!
最初に
今回のブログでは、そもそもパスワードマネージャーを使うべきか、のような不毛な議論はしません。そういうのは他のブログなどで情報を探してもらえればと思います。
また、コストについての話もしていません。
なぜならフリーソフトから有償ソフトまで様々なものがあるので、機能も千差万別で、機能が同じではないものをコストだけで比較するのは無意味だからです。
具体的な製品紹介も対象外とします。
考慮すべきポイントはなにか、という話だけをします。
OSで考える
まず、最初に、当り前ですが、自分が使うOSのタイプを考えないといけません。
Windowsなのか、Macなのか?
スマホしか使わないとしても、AndroidなのかiPhoneなのか?
当り前のようですが非常に重要で、OSのタイプが合わないと、どんなにいい製品でも使いようがありません。例えば、パソコンからスマホまで全てApple製品で固めているという方なら、Macのキーチェーンというアプリを使う選択肢もあります。ですが、ここにWindowsのPCが入ってくると、単にアプリだけでは解決しません。
Windows用のiCloudソフト、ブラウザはChromium系を使う必要がありますし、そこにAndroidが入ってくると(AppleユーザーがAndroidをサブデバイスにするケースは少ないと思うのですが)さらに話がややこしくなります。そこまでややこしいことをするくらいなら、マルチOSを想定した製品を使った方がいいと思います。あるいは、全てのデバイスをAppleで固めるか。
データの保管場所から考える
次にデータの保管場所のタイプです。
大きく分けると
- クラウド型(クラウド+ローカル型も含む)
- ローカル型
という区分になります。
クラウド型
その名の通り、全てのデータをクラウドに保管するタイプです。ベンダーの用意したクラウド上のセキュアな領域でデータを一元管理するもので、データを取り出すときにクラウドと通信してIDやパスワードを表示します。
また利用したデータを端末内に保存する、ローカルデータ+クラウド型というものがありますが、これもクラウド型に含めます。これは、ローカルにあるデータを使うものの、データの本体はクラウドにあり、パスワードの更新や新規IDの追加時、もしくは定期更新を行い、アップデートするものです。データ侵害に対しては、ローカルデータを暗号化することで侵害から免れるようになっているものが大半です。
このタイプは、複数の端末でパスワードを利用するとき、データ更新時に全ての変更がマスターデータに反映されます。そのためデータに齟齬が生じないという利便性がありますので、複数端末で同じデータを使う場合に非常に役に立ちます。
ローカル型
ローカル型は、PCやスマートフォン自体にID・パスワード情報を保存するタイプです。データベースはインストールされている端末にのみあるので、常に1対1の関係になります。
ただし、データベースをファイルにすることで他の端末に持ち出すことも可能なものも多いので 他の端末で利用する場合には、そのデータの移動が必要になります。 当然、データが自動的にシンクロすることはないので、どこかで新しくデータを追加した場合、 それを他の端末で使うためには、データのマージ作業が必要になります。
かなりめんどくさいので、所持する(パスワードマネージャーを利用する端末)が一つだけという人以外にはお勧め出来ません。
機能面から考える
パスワード生成機能
パスワードマネージャーを使う理由としては、まず、複雑で覚えづらいパスワードを使い回さずに使う必要がある、ということが挙げられるでしょう。 複雑で覚えづらい(解析しづらい)パスワードを使い回さずに使う、と言うことが、IDとパスワードのみで認証されるシステムを守るための第一歩だからです。 しかし、人間の考えるランダムには限界があるので、自分でデタラメなパスワードを考えているつもりでも、なんらかの共通点が出て来てしまいます。
そこで役に立つのがパスワード生成機能です。 桁数、記号の有無、大文字小文字の有無、そういった条件を指定することで、自分の規則性とは無縁なパスワードが生成出来るので、ついついパスワードに規則性が生まれるとか、似たようなパスワードを使い回すこともなくなります。
ブラウザアドイン
パスワードマネージャーをWebサイトで使う上で必須ツールとも言えるのが、ブラウザアドインです。ブラウザによってアドインだったり、拡張機能だったりと名前は変わりますが、機能としてはただ一つ、表示されているWebサイトのアドレスから、そのサイトに適したIDとパスワードを選択して必要なフォームに入力してくれるものです。
これが無いと、自分でパスワードマネージャーから必要なIDとパスワードを探してきてコピペを繰り返すことになりますので、非常にめんどくさいです。ちなみに、一部のブラウザにはパスワード管理機能が内包されているものがありますが、概ね、専用のパスワードマネージャーよりは機能的に劣るものになります。
生体認証
スマホ版でもPC版でも言えることは、パスワードマネージャーのロックを解除するのにパスワードを入力するのは非常に面倒くさく、また、大きな矛盾を感じるということです。
最近のスマホにはまず生体認証がついていますし、ラップトップPCにも生体認証機器がついているケースも増えましたし、デスクトップPCでも、それほど高い投資をせずにUSBタイプの生体認証を追加することが可能です。
ですので、パスワードマネージャーにも生体認証によるロック解除機能は欲しいところです。
エクスポートとインポート
幸運にも、一番最初に使い始めたパスワードマネージャーがあなたにジャストフィットすればいいですが、 残念ながら一定期間使った後で機能面やコスト面でやはりニーズに合わなかったので別のものを使いたいと思うことはごくごく自然なことです。
そういったとき、今のパスワードマネージャーから新しいパスワードマネージャーにデータが移行出来ない場合を想像してください。 あなたは、今のIDとパスワードを全て手入力で新しいパスワードマネージャーに移動しないといけません。 そんなゾッとするような作業からあなたを解放してくれるのは、エクスポートとインポート機能です。
エクスポートとは文字通り、パスワードマネージャーから、専用の、あるいはcsvなどの汎用のファイル形式でデータを外部へ持ち出す機能で、 インポートとは、そのデータを自ソフトで利用できるように読み込んでくれる機能です。
製品毎の互換性の問題があり、全ての組合せが100%問題無く使えるわけではありませんが、 製品によっては、他の製品の独自ファイル形式のまま読み込んでくれるものもあり、この機能の有無、互換性のあるなしは非常に大きな要因になります。
そのほかに考えるべきこと
サポート
この文章を読んでいる人は、恐らく日本語を母語している人が多いと思うので、何らかのトラブルに遭った時のサポートも日本語で受けたいという人が多いと思います。 特にパスワードマネージャーでアプリが開けない、などのトラブルが起きたときには一刻も早いトラブル対応を求めたいですし、 その際、英語のQ&Aを見ていられないという人もいるかも知れません。
残念ながら、純国産のパスワードマネージャーというのは非常に選択肢が難しいので、日本語でのサポートセンターがある、 あるいは日本語でサポートをしてくれる製品を選ぶと言うことになると、自ずと選択肢が限られると思います。 経験から言うと、グーグル翻訳程度の英語でもサポートはしてもらえますので、 無理に日本語のサポートを前提にする必用はないかもしれませんが、あくまでも個人の好みです。
アップデート
最期に、不正アクセスに対応するためのツールであるパスワードマネージャーにも、当然ではありますが、ソフトウェアである以上脆弱性が発見される場合があります。 この時の対応についても留意しておく方がよいでしょう。
最近は、商業ベースではないソフトウェアでも更新してくれることは珍しくなくなりましたが、 やはり、ソフトウェアの恒常的なアップデートがリリースされることは必須と思われます。 さらにいうと、自分で更新情報を追っかけるのは大変なので、更新の通知機能は欲しいですし、 もっといえば、フルオートで勝手に更新しておいてほしいものです。
他のソフトウェアでも同じですが、特にセキュリティに関するツールであるパスワードマネージャーには、セキュリティに対する積極的な配慮が欲しいところです。
まとめ
以上、パスワードマネージャーを選ぶ際に確認するポイントの中で一般的なものを挙げてきました。恒常的に使うものだけに操作感とかが非常に重要になってきます。お試し無償期間があるものが多いので、コスト的には気に入らないから変えるというのはアリだと思いますが、一旦パスワードマネージャーを使い出すと、他のソフトに移行するのは大変だったりするので、試用をはじめる前に、以上のような項目に留意して候補を絞り込んでいただければと思います。
なお、セキュリティ対策についてちょっとした相談先が欲しい、という方に弊社ではアドバイザリーサービスがございますので、宜しければご検討ください。
セキュリティに関するちょっとしたお悩みごとはございませんか?
無料相談も承りますので、ぜひお気軽にお問い合わせください。