GMOトラスト・ログインで実現する安全で便利な法人向けパスワード管理

■導入

アプリへのログイン方法として、IDとパスワードの組み合わせは、今も昔も変わらず主流です。しかし、SaaSの普及が進む中、多くの企業がIDやパスワードの管理に煩雑さや手間を感じるようになっています。

こうした状況において便利なのが、ブラウザのパスワード保存機能です。一般的に使用されているChromeやEdgeなどのブラウザにはパスワード保存機能が備わっており、これを活用することでログイン作業が簡素化され、ユーザーにとって大きな利便性をもたらします。一方で、この機能にはセキュリティ上のリスクも存在します。そのため、企業や組織においては、ブラウザのパスワード管理機能の利用は推奨されないとされています。

GMOトラスト・ログインをご導入いただくことで、こうしたリスクを効果的に軽減することが可能です。
本記事では、ブラウザのパスワード管理機能に潜むリスクや第三者機関による評価、そしてGMOトラスト・ログインが提供する具体的な対策について、詳しくご紹介します。

 

■目次

1.ブラウザのパスワード管理機能とは

2.ブラウザのパスワード管理機能のセキュリティリスクとは

3.第三者機関はパスワード管理機能を使わないでほしいと注意喚起している

4.法人のパスワード管理に必要なのは管理機能を備えたIDaaS

5.GMOトラスト・ログインが提供するパスワード管理機能

6.設定方法のご紹介

7.GMOトラスト・ログインを導入するメリット
 

■ブラウザのパスワード管理機能とは

そもそも、ブラウザのパスワード管理機能とはどのようなもので、ユーザーにどのようなメリットをもたらすのでしょうか。
主な機能として、以下の点が挙げられます。

1. パスワードの保存と自動入力

この機能は、アプリにログインする際にブラウザがパスワードを保存するかどうかを確認し、保存されたパスワードを次回以降のログイン時に自動で入力してくれるものです。これにより、パスワードを別途管理する手間が省け、ログイン作業がスムーズになるという大きなメリットがあります。

2. 同期機能

Googleアカウント、Microsoftアカウント、Apple IDなどを利用することで、異なるデバイス間でパスワードを同期し、自動入力が可能になります。

たとえば、PCで保存したパスワードをスマートフォンでも利用できるため、どのデバイスからでもスムーズにログインできるようになります。
このように、ブラウザのパスワード保存機能を活用することで、増え続けるパスワードの管理負担やログイン作業の手間を軽減し、利便性の向上が期待できます。

非常に便利な機能ではありますが、その一方でセキュリティ上のリスクも存在します。次に、企業の視点を交えながら、そのリスクについて詳しくご説明します。
 

■ブラウザのパスワード管理機能のセキュリティリスクとは

ブラウザのパスワード管理機能は便利な一方で、いくつかのセキュリティリスクを伴います。主なリスクとして、以下の点が挙げられます。

１.パスワードがシステムのメモリ上に平文で保存される

現在では多くのブラウザで対策が施されていますが、過去にはパスワードが平文のまま保存されていたケースも存在しました。そのような場合、特定の攻撃者によってパスワードが取得されるリスクがありました。

２.拡張機能によるパスワードへのアクセス

一部のブラウザ拡張機能には、ユーザーの入力情報や保存されたパスワードにアクセスできるものがあります。そのため、悪意のある拡張機能によって、これらの情報が不正に取得されるリスクが存在します。

３.パスワード自動入力の脆弱性

自動入力機能は非常に便利ですが、もしこの機能に脆弱性が存在する場合、攻撃者に悪用される恐れがあります。たとえば、攻撃者が意図的に作成したウェブページ上で、保存されたパスワードが自動的に入力されてしまい、情報を取得される可能性があります。

４.パスワード管理に関する詳細なログが取得できない

ブラウザのパスワード管理機能には、管理者がアクセス履歴や利用状況を把握するための詳細なログ機能が備わっていません。
そのため、企業や組織でこの機能を利用する場合、以下のようなリスクが発生します。

• ●誰が、どのパスワードを保存・変更・閲覧したのかを監査できない
• ●不正アクセスや内部不正の兆候を検出することが困難
• ●セキュリティポリシーに準拠できず、インシデント発生時の原因追跡が難しい

５.パスワードポリシーを適用できない

多くの企業では、「最低〇文字以上」や「大文字・小文字・数字・記号を含める」といったパスワードポリシーを定めています。しかし、ブラウザのパスワード管理機能では、こうしたポリシーを強制的に適用することができません。
そのため、ユーザーが脆弱なパスワードを設定しても、ブラウザは警告を出さず、そのまま保存してしまう可能性があります。

６.パスワードの使い回し

ブラウザのパスワード管理機能では、ユーザーが複数のWebサイトで同じパスワードを使っていても、警告が表示されない場合があります。そのため、仮に1つのサイトでパスワードが漏洩すると、他のサイトにも不正アクセスされるリスクが高まります。

これらのリスクを踏まえると、企業や組織においてブラウザのパスワード管理機能を利用することは、推奨されないと言えるでしょう。個人利用においては利便性の高い機能ではあるものの、企業での運用には、よりセキュアなパスワード管理手法を検討する必要があります。

それでは、こうしたリスクを踏まえ、第三者機関はこの機能についてどのように評価しているのでしょうか。

 

■第三者機関はパスワード管理機能を使わないでほしいと注意喚起している

ここでは、第三者機関によるパスワード管理機能に関する見解と、以前お打ち合わせさせていただいた情報システム部のご担当者様のご意見をご紹介します。

１.NISC

NISC（内閣サイバーセキュリティセンター：National center of Incident readiness and Strategy for Cybersecurity）は、日本政府の内閣官房に設置されたサイバーセキュリティ専門機関です。

NISCが公開している「インターネットの安全・安心ハンドブック」では、ブラウザのパスワード保存機能を使用しないことを推奨しています。

出典：NISC内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」

２. 警視庁 

警視庁では「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」という資料を公開しており、不正アクセス行為の手口別検挙数を公開しています。
 

出展：警視庁「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

この資料からも、攻撃者はパスワード管理の甘さを狙うことが圧倒的に多いことがわかります。さらに、同資料では「パスワードの適切な設定・管理」の重要性についても言及されています。

３.ブラウザのパスワード保存機能を禁止した企業のご担当者様

以前のお打ち合わせの際、情報システム部のご担当者様より、共有PCでブラウザのパスワード管理機能を使用することには、パスワード漏洩のリスクがあるとのご意見をいただきました。

たとえば、共有PCをAさんとBさんが利用している場合、Aさんがブラウザのパスワード管理機能でパスワードを保存すると、Bさんがそのパスワードを閲覧できてしまう可能性があります。このように、意図しない情報漏洩が発生するリスクがあることから、第三者機関もブラウザのパスワード保存機能の使用は推奨していません。
個人利用であれば利便性の高い機能ではありますが、企業での運用を考える場合には、より適切な管理体制が不可欠です。

では、企業としてどのような対策や管理方法を採用すべきなのでしょうか。

 

■法人のパスワード管理に必要なのは管理機能を備えたIDaaS

企業がとれる対策として、まずは「パスワード管理機能はつかわない」ようにするということが最優先であると考えられます。
※以下のブログにて、パスワード保存機能の設定方法をご紹介しております。https://blog.trustlogin.com/articles/2017/20170819

ただ、パスワード保存機能を使わせないようにすると、ユーザーの利便性がさがるという懸念があるため、パスワード管理機能を有するIDaaS製品を導入することがよいと考えられます。

IDaaS製品でできる対策を以下に記載いたします。

1. パスワードの使い回しリスクを排除

シングルサインオン（SSO）を実装できるため、ユーザーが複数のサービスで異なるパスワードを管理する必要がなくなり、パスワードの使い回しの抑制、パスワードリスト攻撃のリスクを低減することが可能となります。

2. パスワードの入力不要でフィッシング対策

IDaaSはSAMLなどを用いた認証を提供し、ユーザーはIDaaSの認証プロバイダーを介してログインするため、フィッシングサイトにパスワードを入力してしまうという機会を減らすことが可能です。

3. 組織全体で統制が取れる

ユーザー管理やアクセス制御が統一され、ブラウザや個人のパスワード管理に依存しなくなります。

4. 監査ログ・セキュリティレポートが充実

IDaaSには、アクセスログや認証ログをレポートとして出力できる機能が備わっており、セキュリティインシデント発生時には証跡を取得することが可能です。こうした点を踏まえると、ブラウザのパスワード管理機能では実現できなかった高度な管理や可視化が可能となり、企業にふさわしいパスワード管理体制を構築できることがわかります。

GMOトラスト・ログインは、そうした機能を備えたIDaaSであり、上記に関連するさまざまな機能をご利用いただけます。それでは、GMOトラスト・ログインでどのようにパスワード管理を実現できるのか、具体的な機能をご紹介いたします。

 

■GMOトラスト・ログインが提供するパスワード管理機能

1.パスワード管理を一元化し、セキュリティを強化

全従業員のID/パスワードを一元管理できるので、入社や異動、退社時のアカウント設定や削除も簡単に行うことができます。

2.パスワード一括登録・更新が可能。代理設定により、パスワードの配布を不要に

GMOトラスト・ログインでは、複数のユーザーのパスワードを一括で登録することが可能です。

それに加え、ユーザーにID/パスワードを知らせずにアプリを利用することが可能なため、パスワードの問い合わせを減らすなどパスワード管理の工数を削減することができます。

3.セキュリティポリシーの設定が可能

セキュリティポリシーでは、GMOトラスト・ログインにログインする際のパスワードの文字数と使用する文字種（英大文字、英小文字、数字、記号）、有効期限、履歴管理を設定することが可能です。

これにより、ユーザーが脆弱なパスワードを設定したり、パスワードを使いまわすリスクを回避することが可能となります。

4.ID/パスワードを知らせずに「アプリ共有」が可能

GMOトラスト・ログインでは、SSOしたアプリについて、ID/パスワードを知らせずに特定の部署・ユーザーに共有することが可能となります。

例えば、SNSアカウントをマーケティング部署で共有する際、ID/パスワードをユーザーに知らせる必要がなくなるため、パスワード漏洩のリスクや共有したメンバーが退職した際、SNSアカウントのパスワードを変更しなければならないという工数を削減することが可能となります。

5.レポートによるログ確認が可能

レポート機能では、特定のユーザーがどのようなアクションをいつ行ったかというログを確認することが可能です。
これにより、何かインシデントが発生した際にGMOトラスト・ログインでどのような操作を行ったかが確認可能となっています。

このようにGMOトラスト・ログインでは、ブラウザのパスワード管理機能で操作できる内容に加え、セキュリティリスクを回避するための機能を多く提供しております。
 

■設定方法のご紹介

こちらでは、GMOトラスト・ログインで提供する「パスワード一括代理設定」「アプリ共有」の機能の設定方法をご紹介します。

【パスワード一括代理設定】

マニュアル：https://support.trustlogin.com/hc/ja/articles/360005519573

1.左サイドバー「アプリ」→設定したいアプリ（今回はAWS）を選択すると、下の画面が表示されます。右上の「パスワード一括代理設定」をクリックします。

2.パスワードを一括代理設定したいメンバーにチェックを入れ、右上の「次へ」をクリックします。（一回で登録できる上限は500人分まで）

※「未設定メンバーのみ表示」のトグルをONにすると既に代理設定済みのメンバーは非表示になります。トグルがOFFの時、代理設定済みのメンバーには鍵マークが表示されます。

3.一括登録用のCSVファイルをダウンロードします。

4. CSVファイルをExcelなどで開きます。ユーザーのGMOトラスト・ログイン（旧 SKUID）登録メールアドレスは既に入力されているので、「メールアドレスまたは電話番号（ID）」「パスワード」を入力します。

5.ファイルをアップロードして、「次へ」をクリックします。これで設定完了です。

6.代理設定をしたメンバーがGMOトラスト・ログインにアクセスした際、管理者が登録したアプリが鍵マークとともにマイページに表示されます。アプリのアイコンをクリックするとシングルサインオンできるようになります。

7.割当済みアプリを確認する
パスワードの代理設定を行なったアプリは、アプリの管理画面から確認することができます。該当のアプリの管理画面を開き、「割当済み全アプリ」タブを開きます。代理設定を行なったメンバーのアプリアイコンには鍵マークが表示されます。

【アプリ共有】

マニュアル：https://support.trustlogin.com/hc/ja/articles/360009902014

 

1.設定の変更
はじめに、管理者がGMOトラスト・ログインのログインページからログイン後、画面上の歯車アイコンをクリックし、管理画面に移動します。

2.管理画面に移動後、左サイドバー「設定」→「トラスト・ログイン機能制限」→「編集」をクリック後、「管理者によるアプリ共有を許可する」をONにします。

※一般メンバーにもアプリ共有を許可する場合には、下にある「一般メンバーによるアプリ共有を許可する」をONにします。

3.グループの追加
管理画面で、左サイドバーから「グループ」に移動します。

4.グループを作成するには、画面右上の「グループの追加」をクリックします。


5.グループ名、グループの説明(オプション) を入力後に、画面右上の「作成」をクリックします。これでグループを作成しました。

6.グループに所属する人を追加していきます。画面右上の「メンバー追加」をクリックします。

7.グループに追加したいメンバーの左側のチェックボックスにチェックを入れ、最後に右上の「登録」をクリックして完了です。

8.企業アプリの登録
左サイドバー「アプリ」→「アプリ登録」と進みます。
 

9.追加したいアプリを「アプリを検索」欄に入力し、アプリを選択（チェックを入れる）、「次へ」と進みます。ここでは例としてFacebookを利用します。

10.企業アプリ登録時に、アプリの表示名称を変更できます。グループのメンバーが分かりやすい名称としましょう。ここでは「FBマーケ共有」としています。最後に「登録」を押します。

11.マイページからアカウント設定・アプリ共有
次に、アプリのID・パスワードを入力して共有します。まずは、管理画面からマイページに移動しましょう。

12.さきほど登録した企業アプリがまだ表示されていないので、＋ボタンを押して、アプリを追加します。

13.アプリ一覧に、さきほど登録したFacebookアプリが表示されているので、選択して「次へ」をクリックしてください。​​​​​​

14.Facebookの場合、ID情報が「メールアドレスまたは電話番号」なので、登録されているIDを入力し、あわせてパスワードを入力後、右上の「変更」をクリックします。これでアプリを使ってシングルサインオンできるようになりました。

15.現在は、登録したID・パスワードが1ユーザーでしか使えない状態なので、アプリを共有する必要があります。マイページのアプリ上にマウスカーソルを持って行き、「設定」アイコンをクリックします。

16.画面中央右の「アプリの共有」をクリックします。

 

17.メンバーごとに選択して共有することも、グループまるごと共有することもできます。今回はグループに共有したいので「グループ追加」を選択します。

18.追加したいグループにチェックを入れ、画面右上の「登録」をクリックします。これで、アプリをグループで共有することができます。

19.グループの他のユーザーが共有アプリ利用可能に
最後に、グループのメンバー（一般ユーザー、管理者権限なし）の長谷川 久子さんがGMOトラスト・ログインにログインすると、共有アイコンつきでアプリが表示されました。クリックすると、さきほど入力したIDパスワードに基づいてFacebookにシングルサインオンできます。
 

■GMOトラスト・ログインを導入するメリット

GMOトラスト・ログインを導入することで、ブラウザのパスワード管理機能を使わずに、安全かつ効率的なパスワード管理を実現できます。特に、「パスワード一括代理設定」や「アプリ共有機能」を活用することで、ユーザーにパスワードを知らせることなく運用が可能となり、パスワード管理の手間を大幅に削減できます。これにより、企業のセキュリティ強化だけでなく、管理業務の効率化という大きな価値を提供します。

さらに、今後の開発計画として「パスワード漏洩検知」機能のリリースを予定しています。
この機能では、ユーザーが設定しようとしたパスワードが外部に漏洩している可能性がある場合にアラートを通知し、より強固なパスワード管理を実現します。

現在、ブラウザのパスワード管理機能をご利用中で、IDaaSによるより安全な管理を検討している方、セキュリティ強化をお考えの方、あるいはパスワード管理の手間から解放されたい方は、ぜひお気軽にお問い合わせください。