ID・パスワード管理とは?
複数のクラウドサービスやWebサイトへログインする際に入力するID・パスワードを管理することです。情報漏洩対策のために1つのパスワードの使い回しを禁止している企業は多く、サービスやアプリごとに複数のパスワードを使い分けることが当たり前の状況になっています。
ただし、業務効率性の向上を求められる状況において、複数のパスワードを自分だけで管理していくことは大変です。メモやスマートフォンを確認してから入力するのは手間が発生するだけでなく、業務の集中力ややる気を低下させる要因になります。ID・パスワードを一元管理するセキュリティツールを使用することで、効率的な運用と業務効率性の向上に貢献します。
ID・パスワード管理をする3つの理由
サイバー攻撃対策、個人情報流出防止、業務効率改善が挙げられます。
サイバー攻撃対策
犯罪者が社員のID・パスワードを不正に取得し、悪用するパスワードリスト型攻撃や、パスワード解読のためにあらゆる攻撃を仕掛けるブルートフォース攻撃などを防ぐために必要です。サイバー攻撃による情報漏洩の被害総額は大きく、日本企業は2014年~2018年にかけて4年連続で2億円以上情報漏洩の被害に遭っているとのデータもあります。2020年に入ってからも、任天堂やキタムラ、エムアイカード社などが、パスワード型攻撃の被害を受けていることが確認されました。
現在、企業にとって情報資産は最も価値のある資産だと言っても過言ではありません。インターネットによる情報入手が簡単にできるようになった現状、情報はお金を生む対象になっているからです。
実際、他社が思いつかない画期的なアイデアをサービスや商品にした企業は、消費者からの多大な支持を集めて市場での優位性を確立しています。つまり、独自性や専門性の高い技術はどこの企業も欲しい情報であり、情報が流出すると他社商品やサービスにノウハウの取り込みや優位性を潰すような商品・サービス展開が行われます。
そのため、情報の取り扱いには慎重な対応が必要です。一度情報流出が起きると、莫大な経済的利益の損失や取引先からの社会的信用を失うという厳しい状態に追い込まれます。取引先からは「あの会社とこのまま取引を続けて大丈夫だろうか?」などと、情報管理に不安な印象を与えるため、取引量の減少や取引停止といった対応をされるからです。
一度失った信用を取り戻すには相当な時間と努力が必要であるため、セキュリティ対策を万全にしておかなければなりません。近年は大企業だけでなく、中小企業を狙ったサプライチェーン攻撃も増加しています。
犯罪者はやみくもにターゲット企業を狙うのではなく、情報盗取をしやすい中小企業を起点に攻撃を仕掛けてきます。中小企業はセキュリティ対策や人材配置の面で、大企業に比べると余裕がありません。資金的な余裕が無い事情も多く予想されますが、セキュリティ対策を先送りにする時間的猶予はあまり残されていません。
個人情報漏洩対策
プライベートの場面でも自身の個人情報流出阻止のために、パスワード管理は必要です。オンラインバンキングやクレジットカード情報、メールアドレスなどの重要度の高い情報・機密情報を流出させてはいけません。特に生活を営んでいくのに欠かせないお金を悪用されるのは非常に影響が大きいので、パスワードの設定には慎重になる必要があります。
パスワードは文字列を長く設定し、記号や数字、アルファベットを満遍なく混ぜるといった対応を必ず行いましょう。
シングルサインオンによる業務効率性の向上
複数のパスワード管理をメモ帳やスマートフォン、PC内で管理していくのは大変な上、手間も発生します。業務時間内に大量の仕事をこなすことが求められる今、ストレスを溜めずに利便性を失うことなく作業を継続してこなせる環境が必要です。パスワード管理ツールを使用することで、サービスやアプリごとのID・パスワードを瞬時に入力することができ、管理も任せることが可能です。サービスによっては、シングルサインオンも実現出来ます。
クラウド上でID・パスワード管理を行うためには?
クラウド上でのID管理を実現するIDaaS(Identity as a Service)を利用しましょう。IDaaSはシングルサインオンやアクセス制限、多要素認証などの機能を搭載しており、利便性とセキュリティ性を両立したID認証サービスを実現します。IDaaSは自社での運用・管理を行うオンプレミスよりも様々なメリットがあります。
まず、IDaaSの場合はインターネット上に接続できる環境であれば、どこからでも社内ネットワークやクラウドサービスを利用可能です。現在、様々な企業が導入を進めているテレワークをはじめとする場所を問わない働き方改革を促進します。働く場所を問わない働き方を実現することで、企業と社員の双方にとってメリットがあります。
また、IDaaSはクラウド上で使いたいときに使用したい分だけ使用できるだけでなく、自社でネットインフラを整える必要がありません。オンプレミスと比べると低コストで利用可能です。
場所を問わない働き方の実現によるメリット
働き方改革やテレワークに得られる内容を企業と社員の立場それぞれでまとめてみました。
| 社員 | 企業 | |
| 内容 |
|
|
パスワード管理ツールを見極める4つのポイント
複数のデバイス機器への対応、多要素認証とパスワードの自動作成機能の搭載、無料プランの有無が挙げられます。
複数のデバイス機器との自動連携
クラウドサービスやアプリごとに使用するアカウント情報を一つのデバイス機器だけではなく、スマートフォンやタブレットでも同様のアカウント情報で使用できると、BYODなどを実現している際にも使い勝手が非常に良いです。デバイス機器ごとの個別管理は必要無くなり、効率的な管理を実現します。
多要素認証の機能搭載
クラウドサービスのログイン時にID・パスワードのみの入力だけではなく、複数の認証を義務付ける機能です。指紋認証や顔認証といった本人独自の生体認証、スマートフォンのSMSを活用し多要素認証を実現することで精度の高い本人認証を実現し、第3者の不正アクセスのリスクを大幅に軽減します。
パスワードの自動生成機能
自身でパスワード作成を行うと、利便性や覚えやすさを優先して脆弱性の弱いパスワードの作成をしてしまうことがあります。豊富なノウハウや知識を備えるパスワード管理ツールに作成を任せることで、解読しにくいパスワードを使用できます。
無料プランが用意されている
30日間の無料トライアルや無料プランがあると、自社との相性の確認や本当に必要な機能だけにコストを支払えます。特に無料プランを使いながら必要な機能を追加できる形は、無料プランで機能的に問題が無ければそのまま使い続けることも可能です。ローリスク・ハイリターンの形を実現できるので、一つの参考にしてください。
おすすめのID・パスワード管理ツールと認証サービスを5つ紹介
合計5つのIDaaSとアプリの特徴を紹介します。
TrustLogin(トラスト・ログイン)
TrustLoginはGMOグループが提供するパスワード管理ツールで、無料プランの選択ができる点と機能が多い点が特長です。有料プランの利用は最低ユーザーが30人以上が必要と設定されており、裏を返せば組織規模が30人以下の企業は無料プランでも十分にセキュリティ対策が取れるということです。シングルサインオンは無料で利用可能であり、ワンタイムパスワードや証明書を利用した多要素認証の導入、G SuiteやOffice365との連携は1ユーザー100円から追加で利用ができます。
低コストで必要なオプションを必要な分だけ導入できるので、コストの無駄を極限まで減らすことができます。また、現在開発中の機能として、ユーザーのアクセス地点やデバイス機器、アクセス時間など通常の行動パターンとの違いがあった場合、第3者のなりすましを疑うリスクベース認証、顔認証や指紋認証を利用して精度の高い認証を実現するFIDO U2F/UAFなど、よりセキュリティレベルを高める機能が搭載予定です。
キャノン電子テクノロジーやgumi、アドウェイズ社など様々な業界の企業で導入されていることからも、高い信頼性が伺えます。
Okta(オクタ)
アメリカの市場調査会社のフォレスター・リサーチ社やガートナー社からIDaaS市場を引っ張る存在として、高い評価を受けるOkta社が提供する認証サービスです。Okta社は2020年に日本法人を設立しました。Oktaの特徴はシンプルである点と利便性の高さです。
管理画面が綺麗にデザインされていて見やすいため、シングルサインオンで使用したいサービスをワンクリックで利用できます。多要素認証とユーザーへの細かいアクセス制御を行うライフサイクル管理機能で、セキュリティレベルを高めます。また、アマゾンが提供するAWS(Amazon Web Services)をはじめ、SalesforceやZoom、Office365など幅広いサービスと連携しているので、対応範囲の広さもメリットとして挙げられます。
OneLogin(ワンログイン)
OneLogin(ワンログイン)は全世界100か国以上、2000社以上の企業に利用されているサービスです。ハイレベルなセキュリティ水準を備え、ユーザーのクラウドサービスの利用状況を可視化できます。30秒で有効期限が切れるワンタイムパスワード、特定のユーザーとデータのやりとりを限定する暗号技術を使用した電子署名を活用した多要素認証で、第3者からの不正アクセスを防ぎます。
また、機械学習を利用して、ユーザーのアクセス状況からログイン許可を下すリスクベース認証、ユーザーのクラウドサービスやアプリの使用履歴を記録するコンプライアンスレポート機能によって、ユーザーの行動を可視化します。内部不正につながる行動や異変があった場合に、すぐに検知可能です。
パスワードマネージャー
ウイルス対策ソフト「ウイルスバスター」を展開するトレンドマイクロ社が、提供するアプリです。WindowsやMacはもちろん、androidやiPhoneでも利用可能です。パスワードマネージャーの特徴は、情報保護の機能が豊富に搭載されている点です。
パスワードマネージャーに登録した情報は最高レベルの暗号技術AES 256bitで、保護されます。また、ダークウェブモニタリングで個人情報がダークウェブに流出していないか監視するだけでなく、流出していた場合は対応策をユーザーに提示します。
ダークウェブに個人情報が流出すると、多額の金銭的被害や犯罪行為に個人情報が悪用されるといったリスクがあるので、迅速な対応が重要です。また、無料のトライアル期間が30日間あるので、機能や使い勝手を確認できます。
1Password
1Passwordは全世界1,500万人以上が使用するパスワード管理ツールで、データを保護する機能が豊富に掲載されているのが特徴です。最高レベルの安全性を誇る暗号技術AES 256bitと多要素認証を組み合わせて、データ保護の強固な仕組みを作ることが可能です。それだけでなく、Watchtower機能でパスワードの流出をしていないかの確認やデータ通信が暗号化されないhttp方式(暗号化されているものがHTTPS通信)を使用しているWebサイトを表示して、ユーザーに安心感と予防策与えます。
また、既にAzure Active Directory と Okta が統合されている状態で導入されるなど、導入後もスムーズに稼働が期待できます
ID・パスワード管理ツールを導入後も行うべき3つのこと
自身の使用するデバイス機器の扱い方やセキュリティに対する意識をもう一度見直してください。
自身が関与していないアプリやメールの有無確認
あなたのスマートフォンで見覚えのないアプリやメールがないか確認してください。もし、あった場合は、個人情報の悪用やマルウェア感染している可能性があります。特にマルウェア感染は対応が遅れると、スマートフォンの故障やアプリが動かないといった症状につながるので、迅速な対応が求められます。
不要なアプリや怪しいメールがあった場合はすぐに削除してください。
セキュリティソフトとワクチンソフトの使用
いずれも導入していない場合に限りますが、業務で使用するPCにどちらのソフトも導入していない場合はすぐに導入してください。セキュリティソフトは、PC内のモニタリングと端末内にマルウェアがいた場合、検出と駆除を行います。マルウェア感染の予防と感染後の対策を行うことが可能です。
一方、ワクチンソフトはウイルスの除去だけでなく、ウイルスに感染したファイルやアプリの復元を行うことが可能です。ウイルスの除去は基本的には既知のウイルスであるため、新種のウイルスが見つかった場合は、インターネット上で配布されるワクチンソフトメーカーの新しいソフトを入手する必要があります。
アップデートを定期的に行う
導入済みのセキュリティソフトは小まめにアップデートを行い、最新の状態を保ってください。最新の状態でないと、新しいサイバー攻撃やマルウェアに対応できません。優れた製品を使用していても満足に能力が引き出させていない状態になるため、アップデートは定期的に行いましょう。
