CodeIgniterでパスワードを安全に保存！ハッシュ化とセキュリティ対策を徹底解説

1. パスワードの「ハッシュ化」とは何か？

1. パスワードの「ハッシュ化」とは何か？

インターネットの世界では、ログイン情報を守るために「ハッシュ化（Hashing）」という技術が使われます。ハッシュ化とは、入力した文字を、全く別の不規則な文字列に変換することです。例えば「password123」という文字を、「$2y$10$8f...」といった、人間には到底解読できない複雑な文字列に変えてしまいます。

ここで重要なのは、ハッシュ化は「一方通行」だということです。普通の暗号は「鍵」があれば元の文字に戻せますが、ハッシュ化された文字列は、どれほど頑張っても元のパスワードに戻すことはできません。これにより、もしデータベースが攻撃者に覗かれたとしても、ユーザーの本当のパスワードは守られるのです。

初心者の方向けに例えると、ハッシュ化は「果物をジュースにする」ようなものです。リンゴをミキサーにかけてジュースにした後、そのジュースから元のリンゴの形を完璧に復元することは不可能ですよね？でも、同じリンゴを使えば必ず同じ味のジュースができるので、後で「これはリンゴから作ったものか」を確認することはできるのです。

2. なぜCodeIgniterでハッシュ化が必要なのか？

2. なぜCodeIgniterでハッシュ化が必要なのか？

PHPで作られたWebアプリケーションフレームワークであるCodeIgniterを使う際、セキュリティ対策は避けて通れません。もしハッシュ化をせずにパスワードを保存（これを「平文保存」と言います）していると、悪意のあるハッカーにデータが流出した際、全てのユーザーのログイン情報が即座に悪用されてしまいます。

また、多くの人は複数のサイトで同じパスワードを使い回しています。あなたのサイトから漏れたパスワードを使って、他のSNSや銀行口座に不正アクセスされる「リスト型攻撃」の被害を生んでしまう可能性もあります。開発者には、ユーザーの安全を守る重大な責任があるのです。

CodeIgniterでは、PHPの標準機能であるpassword_hash関数を簡単に利用でき、非常に高いセキュリティレベルを保つことができます。これにより、専門的な知識がなくても、最新の安全なアルゴリズムを用いたパスワード管理が可能になります。

3. パスワードをハッシュ化する具体的な方法

3. パスワードをハッシュ化する具体的な方法

それでは、実際にCodeIgniter（PHP）でパスワードをハッシュ化するコードを見てみましょう。ここでは、ユーザーが新規登録画面から入力したパスワードを処理する場面を想定します。

// ユーザーが入力した生のパスワード
$rawPassword = 'mySecretPassword789';

// password_hash関数を使ってハッシュ化
// PASSWORD_DEFAULTを使うと、その時々で最も安全なアルゴリズムが自動で選ばれます
$hashedPassword = password_hash($rawPassword, PASSWORD_DEFAULT);

// データベースに保存するのは、この $hashedPassword です
echo 'ハッシュ化された文字列: ' . $hashedPassword;

解説： password_hashという命令（関数）を使っています。第一引数には元のパスワードを、第二引数にはどの方式でハッシュ化するかを指定します。PASSWORD_DEFAULTを指定しておけば、PHPのバージョンが上がるごとに、その時代で最強の方式を自動的に選んでくれるので安心です。

実行結果は以下のようになります。実行するたびに異なる文字列が生成されるのが特徴です。

ハッシュ化された文字列: $2y$10$u9H0nL8sE.YwY1q/fX5OueG4N7ZkR7zWpA/N1K3j8X6zL1v2m3n4o

4. 保存されたパスワードでログイン認証を行う方法

4. 保存されたパスワードでログイン認証を行う方法

「元の文字に戻せないなら、どうやってログインの時にパスワードが合っているか確認するの？」と疑問に思うかもしれません。ここで使うのがpassword_verify関数です。これは、入力されたパスワードと、データベースに保存されているハッシュ化された文字列を「照合」するためのものです。

// ログイン画面で入力されたパスワード
$inputPassword = 'mySecretPassword789';

// データベースから取得したと仮定したハッシュ化済みの文字列
$dbHash = '$2y$10$u9H0nL8sE.YwY1q/fX5OueG4N7ZkR7zWpA/N1K3j8X6zL1v2m3n4o';

// 入力されたものと、保存されているハッシュを比較する
if (password_verify($inputPassword, $dbHash)) {
    echo 'ログイン成功！パスワードが一致しました。';
} else {
    echo 'ログイン失敗...パスワードが違います。';
}

解説： password_verifyは、合っていれば「正解（true）」、間違っていれば「不正解（false）」を返してくれます。開発者が複雑な計算ロジックを書く必要はなく、この関数に丸投げするだけで安全なログインチェックが完了します。

5. データベースの型と長さの設定に注意しよう

5. データベースの型と長さの設定に注意しよう

ハッシュ化されたパスワードは、元の文字よりもずっと長くなります。そのため、データベース（MySQLなど）に保存する際は、カラムの設定に注意が必要です。もし長さが足りないと、ハッシュ化された文字列が途中で切れてしまい、二度とログインできなくなってしまいます。

一般的に、password_hashで生成される文字列を保存する場合、カラムの型は VARCHAR とし、長さは最低でも 255文字 に設定しておくのが推奨されます。現在のアルゴリズムでは60文字程度で収まりますが、将来的にアルゴリズムが変更されて文字数が伸びる可能性があるため、余裕を持たせておきましょう。

このように、プログラムコードだけでなく、データを貯めておく器（データベース）の設計もセキュリティの一部であることを覚えておいてください。

6. XSS（クロスサイトスクリプティング）対策も忘れずに

6. XSS（クロスサイトスクリプティング）対策も忘れずに

パスワードを守るだけでなく、サイト全体のセキュリティを高めることも重要です。その代表格がXSS（クロスサイトスクリプティング）対策です。これは、掲示板などに悪意のあるJavaScript（プログラム）を書き込まれ、他のユーザーの情報を盗み取られる攻撃です。

CodeIgniterでは、標準でHTMLエスケープを行う機能が備わっています。ユーザーが入力した内容を表示する際は、必ず無害な文字列に変換する必要があります。

<!-- CodeIgniterのビューファイルでの表示例 -->
<div>
    ユーザー名: <?= esc($username) ?>
</div>

解説： esc()関数を使うことで、もしユーザー名に<script>などのタグが入っていても、単なる文字として安全に表示されます。パスワードハッシュ化とセットで、この「出力時のエスケープ」も習慣にしましょう。

7. CSRF（クロスサイトリクエストフォージェリ）対策

7. CSRF（クロスサイトリクエストフォージェリ）対策

もう一つ、CodeIgniterで設定すべきなのがCSRF対策です。これは、ユーザーが意図しないうちに「勝手にパスワードを変更させられる」といった攻撃を防ぐための仕組みです。CodeIgniterの設定ファイル（App.phpなど）でCSRF保護を有効にするだけで、システムが自動的に「合言葉（トークン）」を発行し、正しいフォームからの送信かどうかをチェックしてくれます。

// フォーム作成時に自動でCSRFトークンを含める（CodeIgniter4の例）
<form action="/user/update_password" method="post">
    <?= csrf_field() ?>
    <input type="password" name="new_password">
    <button type="submit">変更する</button>
</form>

解説： csrf_field()を一行入れるだけで、見えない隠し項目（hidden）が生成されます。これがあるおかげで、外部の怪しいサイトから勝手にデータが送られてきても、サーバー側で「合言葉がないから拒否！」とブロックできるのです。

8. より強固なセキュリティのためにできること

8. より強固なセキュリティのためにできること

最後に、さらに上のレベルを目指すための知識を紹介します。パスワードのハッシュ化には「ソルト（塩）」という考え方があります。これは、ハッシュ化する前に適当な文字列を付け加えることで、同じパスワードでも人によって全く違うハッシュ値を生成し、解析を困難にする手法です。

現代のPHPのpassword_hash関数は、このソルトの生成と管理もすべて内部で自動で行ってくれます。一昔前は開発者が自分でソルトを管理していましたが、今は「関数に任せる」のが最も安全で正しい方法です。私たちは、最新のライブラリやフレームワークの機能を正しく使うだけで、高度なセキュリティの恩恵を受けることができるのです。

プログラミングを始めたばかりの頃は、セキュリティと聞くと難しく感じるかもしれません。しかし、一つ一つの技術には「大切なユーザーを守る」という明確な目的があります。CodeIgniterが提供してくれる強力な武器を使いこなし、安全で楽しいWebサービスを作っていきましょう。