2017年10月18日開催 初心者向け 共用サーバのセキュリティセミナー セッション資料（公開版） 管理すべきパスワードが増え続ける今日、改めてパスワードの重要性と、どのようにパスワード管理をレベルアップしていくべきかについてお話させていただきました。

1. パスワードの重要性について
（公開版）
初心者向け 共用サーバのセキュリティセミナー
エバンジェリストチーム 林 雅也2017/10/18

2. 自己紹介
• さくらインターネット
• 技術本部
• UXデザイングループ
• エバンジェリストチーム
• コミュニティ世話役
2
林 雅也 (@haya2_)

3. アジェンダ
1. パスワードを取り巻く状況
2. パスワード管理の重要性
3. パスワード管理のヒント
4. パスワード以外の道への期待
3

4. 1. パスワードを取り巻く状況
4

5. アンケート
あなたが管理しているパスワードは
いくつありますか？
～10？
～100？
～500？
～1000？
1000以上？
5

6. パスワード無限増殖時代
•銀行のATM
•Eメール
•ネットサービス
•クラウド時代
6

7. レンタルサーバーを一つ契約するだけで・・
• 会員としてのパスワード
• レンタルサーバーサービスとしてのパスワード
• メールアドレスごとのパスワード
• データベースのパスワード
• メーリングリストのパスワード
• CMSのパスワード…
7

8. 追い詰められる利用者
• パスワードを付箋に書いて貼るのはNGです
• 生年月日、電話番号はNGです
• 8文字以上、いや10文字以上！
• 英数大文字小文字記号も入れて！
• パスワードの使い回しはダメです！
• 最近パスワードが変更されていないようですね
定期的な変更をお勧めします！
8

9. パスワード管理がややこしくなる要因
• 複数人でパスワードを共有
• 覚えやすいものにしないと現実的に業務回らない…
• 端末と人の対応
• 共有端末
• 一人の人が複数の端末、環境からアクセス
9

10. どうしたらいいのー！
破たんに向かうパスワード管理
• どんどん増えるパスワード
• 全部一緒にしておくのが一番ラク、だけど・・
• 全部一緒はもう無理・・
• 使い回しはダメ、という時代に
• サービスによってパスワード強度のポリシー様々
• サービスによって使える文字種別様々
10

11. 2. パスワード管理の重要性
11

12. パスワード管理にかけるべきコストは？
• パスワードを管理するのは、まったく生産的ではない
ので、できるだけコストかけたくない。
• わかります。
• しかし、パスワードが悪用されるリスクがどれだけあ
るか、また悪用されることでどれだけ大変なことにな
るか、と比較して考える必要があると思います。
12

13. レンタルサーバ事業者視点で見て
• 毎日ユーザーさんのサーバー乗っ取られてます
• その大多数は、脆弱なパスワードが設定されているこ
とに起因するもの
• 今のネットはどれぐらい危険なのか？
• 以下のようなアタックは既に日常茶飯事に
• ssh へのアタック
• WordPress へのアタック
13

14. パスワードが悪用されて困るのは誰か？
• 自分
• 自分と会社
• 自分と友達(SNS)
• 自分とネット
14

15. 「ネットに迷惑がかかる」とは？
• サイト改ざん
• サイトにアクセスするだけでマルウェア（ウイルス）をダウンロードさ
せるスクリプトが仕込まれる
• データ削除
• コンテンツが失われる
• 踏み台にして迷惑行為
• スパムメール送信
• DoS攻撃
• 他のサーバーへのアタック
• 迷惑な書き込み
15

16. • 初心者の方向けに、いろいろリスクがあることを理解
していただくために、ちょっと大げさな言い方になっ
ている部分もありますが…
• パスワード管理しないと、色々大変なことになる、パ
スワード管理は重要です、ということをご理解いただ
ければと思います
16

17. 3. パスワード管理のヒント
17

18. パスワード管理をレベルアップ！
経験とスキルとアイテムでパスワード管理上級者になろう！
18

19. パスワード強度レベル
• レベル１
• 数字4ケタ（生年月日等）
• レベル２
• 英数8文字以上
• レベル３
• 記号も
19

20. パスワード管理レベル
• レベル１
• 全部同じパスワード
• レベル２
• ゴロ合わせ
• 固定文字列＋可変文字列セット
• レベル３
• ランダムな文字列
20

21. 脆弱なパスワードを設定しない
• 人気のあるパスワード
• 分かりやすすぎるもの
• 例： password、 Password!1、 123456
• アカウントと同じもの
• 例：Hayashi884/Hayashi884
21

22. パスワードの優先順位
• どんな情報が登録されているか
• クレジットカード情報
• パスワードをどこで入力する必要があるか
• 外出先で入力しなければならないシチュエーションは？
22
優先度の高いものから着手

23. どれか一つを選択、あるいは組み合わせで
色々な管理方法
• 紙に書く
• ブラウザの機能
• OSの機能
• パスワード管理ソフト
• パスワード管理サービス
23

24. パスワード管理ソフトの例
• 秀まるおのホームページ(サイトー企画)－パスワード
総合管理
http://hide.maruo.co.jp/software/pwinte.html
24

25. パスワード管理サービスの例
• パスワードマネージャー - トレンドマイクロ
https://www.trendmicro.com/ja_jp/forHome/pro
ducts/pwmgr.html
• LastPass|パスワード マネージャ、自動フォーム入力、
ランダム パスワード ジェネレータ、安全なデジタル
ウォレット アプリ
https://www.lastpass.com/ja
• 1Password
https://1password.com/
25

26. 現実的な妥協点は？
• 家から出ない
→家から出る
• 全部同じパスワード使い回し？
→パスワード管理ソフトでパスワード使い回しを減らす
• 複数の端末で外出時も認証必要？
→パスワード管理サービス
26

27. 4. パスワード以外の道への期待
27

28. 二段階認証
• 携帯にショートメッセージでコードを送って認証
• 二要素認証
• 多要素認証
• TOTP
28

29. 2段階認証設定画面例：Google
29

30. 2段階認証設定画面例：さくらインターネット 会員ログイン
30

31. さらなるセキュリティ強化の道
• リスク
• 携帯端末への依存
• スマホ壊れたら・・・
• YubiKey
• FIDO U2Fの二段階認証が可能なデバイス
• YubiKey落としたら・・・
31

32. 終りの無い問いへ…
• 自分が自分であることをどうやって証明するか？問題
• 生体認証は、情報漏洩したからといって体のパーツを変更す
るわけにもいかない問題
• アクセス方法がなくなり、誰もアクセスできないまま永遠に
ネット上に存在し続けるデータの恐怖
• ネットにどこまで依存するか？問題
• ネットに依存しなくても生きていける最低限のライフライン
を維持することの重要性
• ネット大規模障害
32

33. まとめ
33
様々な方法の中から、自分に合ったものを選
択し、少しずつでもパスワード管理をレベル
アップしていきましょう！
パスワード管理は大変ですが重要です

34. ご清聴ありがとうございました
34