第37回「パスワードはメモすべき？」：研修で教えてくれない！

「仕事中に何書いてるんですか？」「パスワードをメモってるんだ」「パスワードってメモっちゃダメなんじゃないんですか？」――。

　大手総合商社・メデア商事――。営業部3課の高柳ワタルは仕事中にもかかわらず、携帯電話に何かを打ち込んでいた。そんな先輩の姿を見た1年目の小林ケンタが、不審に思って近づいてきた。

小林　高柳さん、何やってんですか、仕事中に。

高柳　パスワードをメモってるんだ。

小林　パスワードってメモっちゃダメなんじゃないんですか？

　一般的にパスワードは頭の中に記憶しておき、紙などにメモしてはいけないとよく言われている。しかしそれは本当に「正しい」のだろうか？

　もちろんパスワードを完全に記憶できるのであれば、メモをしないに越したことはない。しかし現在では、仕事だけでなく、プライベートでもさまざまな場面でIDとパスワードが必要とされ、それらをすべて完璧に記憶しておくほうのは現実的ではない。ではどうしたらよいのだろうか？

小林　う〜ん、確かに僕もいろんなパスワードを設定してますけど、面倒なので結局2〜3種類のパスワードを使い回してます……。それでも忘れちゃうことがあるし……。

高柳　だろ？　人間の記憶だけに頼るのは限界がある。だから「外部記憶装置」として携帯電話のメモを使ってるんだ。

小林　でも携帯電話をなくしたり、誰かに見られちゃったらどうするんですか？

高柳　確かにその危険があるから、一般的にパスワードはメモるなと言われてるんだけど、使い方次第だと思う。

　パスワードを管理する上で念頭に置くべきなのは、すべてのパスワードを等価に扱わないということだ。重要度、漏えいした場合の深刻度を考えてレベル分けし、最も機密性の高いIDとパスワードの組み合わせは、一切どこにもメモしない。例えば、オンラインバンキングのパスワードや社内ネットワークに外部から接続するためのIDとパスワードなどは、メモすべきではない。

　それ以外のうち、例えば社外からはアクセスできない、つまり社内でしか使えないID/パスワードについては、その文字列の一部、またはヒントになる情報のみを携帯電話のメモに保存しておく。つまり第三者が見ても何を意味しているのか全く分からないようなレベルの情報だけを記録しておくのだ。この場合、もちろん携帯電話にパスワードロックをかけておくことは忘れてはならない。

小林　なるほど……。でもパスワードの一部とかヒントって具体的にはどんなものですか？

高柳　パスワードの決め方にもよるけれど、最初の2文字だけとか、最後の2文字だけとかかな。ほかにはキーボード上で1文字分シフトするなどを決めている場合は、シフトする前の元のフレーズの最初の単語だけとか。

小林　それから、僕がいつも困っているのは、いろいろとネット上でユーザー登録したときのパスワードなんです。これってどうやって管理したらいいんでしょう？

高柳　そのIDはどれくらいの頻度で使ってる？

小林　まちまちです。月に何度も使っているものもあれば、1年に1度かそれ以下くらいのものもありますし。

高柳　月に何度も使うものなら、メモらずに覚えるか、一部を携帯電話にメモるってとこかな。1年に1度使うか使わないかなんてものは、最初から覚えるのを諦めてもいいと思う。

小林　覚えなくていいんですか？

高柳　覚えられるんならそれに越したことはないけれど、滅多に使わないんだったら忘れちゃってもそんなに困らないだろ？　使うときになって、再発行してもらえばいいだけだと思うけど。パスワードの再発行に際して、必要に応じた認証があるわけだし。

小林　ちょっと目からうろこが落ちた気分です。

高柳　とにかくパスワードと一口に言っても、それぞれ重みが違うんだから、すべてを同じように管理する必要はないってことだ。