[情報システム部門]「パスワード忘れた」と言わせない!パスワードリセットを減らす5つの方法
情報システム部門のヘルプデスクに携わったことがある方は、間違いなくユーザーから受けたこのようなセリフを聞き覚えがあるでしょう。「急ぎパスワードをリセットしてください。あと15分で顧客に資料提出しなければならないのです」。
こうしたユーザーに対応するために、ヘルプデスク担当者は作業を中断して急な依頼事項に対応し、結果大切な勤務時間がトラブル対応で削り取られてしまいます。以下では、パスワードリセットを減らすための方法についてお届けします。
パスワードリセットは時間とお金を奪う
IT業界のリサーチ企業大手のガートナーは、ITヘルプデスクにかかってくる電話のうち、20%から50%はユーザーからのパスワードリセット依頼によるものだと報告してます。調査により数字は若干変わりますが、パスワードリセットにより失われるヘルプデスク担当者の時間は、1日10分から20分程度と見込まれています。ヘルプデスク担当者の時間だけではありません。ヘルプデスクにパスワードリセットを依頼したユーザーの時間も同じように奪われています。パスワードリセットが完了するまでは、目的の作業を行えないためです。
アメリカのITヘルプデスク担当者の報告によると、1日あたりに受ける問合せ数は5から15程度であることが一般的です。よほどの大企業であれば別ですが、一般的にはITヘルプデスク担当者が専任の担当者であることは少なく、情報システム部で他の業務と並行してITヘルプデスク業務を行っているのが一般的です。そうなると、一日に少なく見積もっても50分、多く見積もると300分 (5時間) をユーザー対応に費やし、このうち30-50%がパスワードリセットと仮定すると、毎日15分から150分が失われていることになります。
パスワードリセットを減らす5つの方法
1.パスワードポリシーを見直す
「複数のシステムでそれぞれ難解なパスワードの設定を要求している」「頻繁にパスワードリセットを義務付けている」といったパスワード運用ポリシーでは、パスワード忘れを誘発し、結果ITヘルプデスクへのパスワードリセット問い合わせを増加させます。よって、現在のパスワード運用ポリシーは実情に即しているのか、定期的な確認が必要です。
例えば、パスワードの定期変更の必要性はアメリカ国立標準技術研究所 (NIST) により既に否定されています。
・参考ページ
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
時代に合わないパスワードポリシーを利用し続けることは、無意味なだけでなく、ユーザーならびITヘルプデスク担当者の工数の両方を奪うことになるため、最新情報を確認して時代に合わせた変更を行いましょう。
2.パスワードリセットツールを導入する
セルフサービス型のパスワードリセットツールを利用することで、ユーザーのパスワードリセット対応を減らすことができます。こうしたツールは主にWindowsのActive Directory (AD)と連動するものが多いため、ADの機能でシングルサインオンを行っている社内システムが多数ある場合には有効です。
欠点としては、ADが前提であるため、クラウド型のアプリケーションのパスワードリセットには対応していない点です。かつては、ADと連動させたシステムを各社個別に構築する例も多かったですが、現在ではクラウド型のアプリを利用する例が多いため、徐々に時代遅れになりつつあります。
3.ユーザー部門にパスワードリセット作業を委任する
ITヘルプデスクにパスワードリセット作業を集中させると、各部署の担当者は「何かあればITヘルプデスクに聞けばよい」と、ITヘルプデスク側の工数を考えずに気軽に問合せをしてきます。こうした事態を避けるために、「パスワードリセットの権限を各部署に付与する」という荒業もあります。
これまでITヘルプデスクに問い合わせていたパスワードリセット作業を、同じ部門でパスワードリセットを兼務で担当することになった人にお願いするとなると、これまでのように気軽にお願いしにくくなります。よって、これまでよりパスワードを適切に管理するようになるかもしれません。
しかし、この方法は多くの理由で実現していません。最も大きな理由はコストと工数です。コストが高い現場の人間にパスワードリセットを行わせること、そして慣れないパスワードリセット業務で余計な工数をかけさせることは、ITヘルプデスクにパスワードリセットを行わせる以上に「割に合わない」と判断されています。
4.パスフレーズの利用を促進する
一般的なパスワードは、「8文字以上、大文字、小文字、数字、記号の併用で、辞書に出てくる文字列を含めないこと」ですが、例えば「t72V&0Qs」「0bDr$p9C」といった無意味な文字列を複数記憶しておくのは大変に難しいことです。これに代わる方法として、複数の単語とスペースを組み合わせた「パスフレーズ」を利用するという方法があり、推奨されています。
例えば、「i go to hoshino coffee and enjoy two pancakes」(私は星野珈琲店にいき、2枚のパンケーキを楽しみます)といったフレーズです。上記の例は小文字のみ、スペース含めて45文字のパスフレーズですが、これだけの長文になると強度が高まります。そして、パスフレーズの良い所は、無味乾燥な8文字パスワードに比べて、比較的容易に記憶して置けるという点です。
難点は、各システム・サービス側で「パスワードの文字数が8文字から12文字まで」といった文字数制限を設けていたり、「パスワード設定時にスペース入力を禁止」といった制限を設けていることが多いことです。こうした制限により、事実上ほとんどのシステム・サービスでパスフレーズが利用できないのが現状です。
アメリカ国立標準技術研究所 (NIST) が2017年に出した情報セキュリティガイドラインにおいて、パスフレーズ利用が推奨されたこともあり、将来的には多くのサービスでパスフレーズを受け付けるようになると考えられますが、まだ時間がかかりそうです。
5.クラウド型IDパスワード管理サービス (IDaaS) を利用する
自身で全てのサービスのパスワードを暗記したり、同じパスワードを使い回すのではなく、クラウド型のIDパスワード管理サービス (IDaaS: Identity as a Service、アイダース) にパスワードを預ける方法が近年特に注目されています。
IDaaSは、「複雑性が高く、かつサービスごとに別々のパスワードを、ユーザーに全て暗記させること自体に無理がある」という前提に立ちます。そして、IDaaSに各個別サービスのIDパスワードを全て登録し、必要な時に1つの強固なパスワードを使ってIDaaSにログイン、そしてIDaaSに登録されている各個別サービスのパスワードをIDaaSと各個別サービス間で受け渡ししてもらうというサービスです。
これにより、IDaaSログイン時のパスワードだけ記憶しておけば、他の個別サービスにログインする際のパスワードを暗記する必要がなくなります。
またIDaaSであれば、ほとんどの有名なクラウド型アプリにも対応しているため、「社内だから使える、クラウドサービスだから使えない」といった事態も起こりません。
問題はコストです。全ての機能を使うと、一人当たり月額10ドル (1,130円) 以上かかるサービスもあるため、安価ではありません。一人当たり月10ドルということは、年間120ドル (13,000円)となり、従業員が10人だと1200ドル (13万円)、100人だと1万2000ドル (130万円)、そして1000人だと12万ドル (1300万円) もかかってしまいます。
無料で導入できるパスワードリセット対策=トラスト・ログイン
IDaaSの導入コストが高いからといって、IDaaSを諦める必要はありません。GMOインターネットグループの中でSSL認証局を管理運営する「GMOグローバルサイン」が提供するIDaaS「トラスト・ログイン」だと、基本機能が無料で利用でき、ユーザー数も登録アプリ数の制限もありません。
既にトラスト・ログインを導入するとともに、「パスワード自体を管理者が全て作成、管理することで、一般ユーザーが各個別サービスのパスワードを知らない環境を作っている」会社もあります。こうした会社では、各ユーザートラスト・ログインのパスワード1つだけを覚えさせています。多数の複雑なパスワードを覚えるのは大変ですが、1つであれば何とか覚えられることもあり、パスワードリセットの可能性を大きく減らすことができます。
登録無料、ユーザー数もアプリ登録数も制限のないトラスト・ログインをぜひお試しいただき、パスワード工数の削減にチャレンジしてみましょう。
