NTTコミュニケーションズ

Bizコンパス

ブラウザにパスワードを保存するのはアリなのか?
2019.01.29

今知っておきたいITセキュリティスキルワンランクアップ講座第7回

ブラウザにパスワードを保存するのはアリなのか?

著者 北河 拓士

 Webサイトへのログインのためにパスワードを入力した時に、「パスワードを保存しますか?」などのメッセージが出ることを経験したことがあると思います。この機能は「オートコンプリート」などとも呼ばれ、一度ブラウザにパスワードを記憶させれば次回からログインする時にキーボードから打ち込まなくても自動的にブラウザが入力してくれるもので、IE/Edge、Chrome、Firefoxなどの各ブラウザでは既定で有効になっています。

Edgeでのパスワード保存の例

 この機能は非常に便利ですが、その反面、セキュリティ上の問題があるとする意見もあります。例えば、内閣サイバーセキュリティセンター(NISC)が公開している、「インターネットの安全・安心ハンドブック Ver 4.00」では、「ブラウザの自動入力にパスワードを覚えさせない」(p.31)とされています。

 今回は、この「ブラウザにパスワードを保存する」機能について、実際にどのようなリスクがあるのか、本当に使ってはいけないのかについて考えてみたいと思います。なお、環境は基本的にWindowsを想定しています。

 

ブラウザにパスワードを保存するリスクは?

 ブラウザにパスワードを保存することにどのようなリスクがあるのでしょうか?1つ目のリスクは、ブラウザに保存したパスワードにより他人に勝手にサービスを利用されてしまうことです。

 まず問題になるのは、ホテルのロビーや図書館などの公共の場所にあるPCでの利用です。このような場所のPCではそもそもログインが必要となるようなサービスを利用すべきではありませんが、やむを得ず利用する場合は、パスワードは絶対に保存せず、利用後は必ずサービスからログアウトするようにしてください。あとから来た人にサービスにログインされてしまう危険性があります。職場で1台のPCを複数人が共通アカウントで使用している場合も同じ問題があるでしょう。

 職場で1人1台のPCを使用している場合はどうでしょうか?職場の環境にもよりますが、周囲の目がある中で、勝手に他人のPCを操作してサービスを利用することは、発覚のリスクを考えるとなかなか難しいのではないでしょうか?離席するときはPCを必ず画面ロック(Windowsでは「Windowキー+L」)するようにすれば、他人に勝手にPCを操作されることを防げますし、スクリーンセーバーでロックが掛かる時間を短く設定しておくのも良いでしょう。

 また、最近のサービスでは一度ログインをすれば明示的にログアウトしない限りはログイン状態を維持し、ブラウザのタブを閉じても再度サービスにアクセスすればログインした状態でアクセスできるものも多くなっています。この場合は、ブラウザにパスワードを保存していなくてもブラウザを操作できればサービスを利用されてしまうため、やはり短時間でもPCの前を離れるときは画面ロックをするしかないでしょう。

 自宅で、自分や家族しかPCに触れられない場合は、他人に勝手にサービスを利用されるリスクは考えなくて良いでしょう(家族が信用できる限り)。ただし、ノートPCをカフェなどで使用する場合は、ちょっとした離席でもPCを持ち歩くなど盗難に気をつけましょう。

 これらを考えると、共有のPCを使うのでない限り、ブラウザにパスワードを保存することにより、他人に勝手にサービスを利用されるリスクはそれほど増える訳ではないように思えます。

 2つ目のリスクは、ブラウザに保存されたパスワードを平文で表示させて見られるリスクです。ブラウザの設定画面などから、保存してある平文のパスワードを表示させ、メモするだけなら、短時間で済むため、発覚するリスクは小さいかもしれません。

 以前のChromeでは、… 続きを読む

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

セキュリティ対策の「As-is」「To-be」の考え方とは

2018.11.22

グローバルなIT基盤を最適化する仕組み

セキュリティ対策の「As-is」「To-be」の考え方とは

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

2018.12.14

複雑かつ多様なアプリケーション環境におけるID・アクセス管理

本当に便利なIDアクセス管理基盤とは!?IDaaSの理想と現実

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27

情報セキュリティの「常識」を検証する前編

高木浩光氏が解説「パスワード定期変更は都市伝説」

「暗号化ファイルのパスワード別送」は無意味である

2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

暗号化ZIPをメールで添付する方式の何が問題か?

2021.02.02

今知っておきたいITセキュリティスキルワンランクアップ講座第25回

暗号化ZIPをメールで添付する方式の何が問題か?

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法