GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

パスワード管理アプリ(パスワード管理ソフト)とは何かを理解する

2019/03/20

1.jpg

クラウドサービスの普及とともに、「ソフトウェア」をパソコンにインストールして利用するのではなく、インターネット越しに「サービス」として利用するのが一般的となりました。インターネット越しに利用する場合、一般的にパスワードを利用した認証が必要となるため、クラウドサービスが増えれば増えるほど、覚えていなければならないパスワードも増えていきます。

こうした増え過ぎたパスワードを効果的に管理する「パスワード管理アプリ」「パスワード管理ソフト」とはどのようなものでしょうか。以下で見ていきましょう。

 

 

パスワード管理ソフトはなぜ必要かを改めて理解する

2.jpg

パスワード管理ソフトとは、その名の通り「パスワード」を「管理」するソフトです。では、なぜパスワードを管理しなければならないかというと、セキュリティを最大化してIDやパスワードを設定した場合、パスワードを記憶できないためです。

例えば田中一郎さんは、クラウドサービスA, B, C, D, Eと5つを利用していたとします。

  • クラウドサービスA
    • パスワード: Test1234
  • クラウドサービスB
    • パスワード: Test1234
  • クラウドサービスC
    • パスワード: Tanakaichiro
  • クラウドサービスD
    • パスワード: !fAo7Nz3
  • クラウドサービスE
    • パスワード: 12345678

クラウドサービスA, Bでは同じパスワードを使い回し、クラウドサービスCでは自分の名前TanakaIchiroをそのままパスワードに利用しています。そしてパスワードEには最も破られやすいパスワードでもある「12345678」を設定しています。合格点をあげられるのはパスワードDのみで、他のパスワードは全て落第点です。

では、どういったパスワードを設定すればよいのかについては、アメリカ国立標準技術研究所 (NIST) では以下の条件を満たすべきと解説しています。

  • 1.文字数
    • 利用者が自分でパスワードを作成する場合は8文字以上
    • 管理者が作成したパスワードを利用する場合は6文字以上
  • 2.脆弱なパスワードを避ける
    • 過去に漏えいしたことが確認されたパスワード
    • 辞書に載っている言葉をそのまま利用すること
    • 数字やアルファベット、キーボード配列の順番を使うこと
      • 12345678...や、abcdefgh...や、qwertyui….など
    • サービス名やユーザーの姓名を含むこと
      • サービス名がsalesforceだった場合に、”salesforce”というパスワードを作成する
      • 自身の名前が田中一郎の場合に、”tanakaichiro”といった姓名の両方、または姓・名のいずれかを含むパスワードを作成する
  • 3.パスワードを使い回ししない
    • 複数のサービスで同じパスワードを利用した場合、1つのサービスからパスワードが漏えいした場合、芋づる式に他のサービスにも不正アクセス可能性があるため

上記の条件を満たすパスワードとはどのようなものか、というと、以下のようなものになります。

  • P3h8C2ZS (無意味な8文字以上の文字列を利用する)
  • my wife worked for japanese government (パスフレーズと呼ばれるスペースを含む”文字列 [フレーズ]”を利用する)

しかし、パスワードの使い回しを行わないために、利用するクラウドサービスの数だけ、無意味なパスワードや長い文字数のパスフレーズを記憶することはほぼ不可能です。また、現時点 (2018年9月時点) では、パスフレーズに対応していないサービスが大多数です。

そこで、パスワード管理ソフトが出てきます。

各種クラウドサービスの強固なパスワード (パスフレーズ) を、パスワード管理ソフトに一元的に登録しておきます。例えば以下の通りです。

  • クラウドサービスA
    • パスワード: Test1234 → o#gJv71D
  • クラウドサービスB
    • パスワード: Test1234 → my wife worked for japanese government
  • クラウドサービスC
    • パスワード: Tanakaichiro → MD4l2eS
  • クラウドサービスD
    • パスワード: !fAo7Nz3 → 変更なし
  • クラウドサービスE
    • パスワード: 12345678 → hokkaido is the best tourist place on earth

ここでは5つのパスワード(パスフレーズ)が登録されていますが、パスワード管理ソフト利用者はこの全てのパスワードを覚える必要はありません。利用者が覚えておくべきは、パスワード管理ソフトにログインするためのパスワードです。このパスワードは、万が一漏えいしてしまうと、他のクラウドサービスへの不正ログインを許してしまうため、他のパスワードより強固なパスワードを設定すべきです。

強固なパスワードを作るポイントは、「数字、大文字、小文字、記号を全て使う」ことではありません(2018年9月時点で、「数字記号を使う」といったパスワードの複雑性は求められていません)。それよりも、「パスワード自体を長くする」ほうが有効です。パスワードを総当たり攻撃された場合、パスワードの文字数が1文字増えるだけでも何十倍、何百倍もパスワード強度が増し、不正アクセスからあなたのパスワードを守り切れる確率が高まります。

  • パスワード管理ツール
    • パスワード: J9c3Hi8BmEwE3y!4 (16文字)

パスワード管理ツールにログインするためのパスワードは、システム的に可能な限り、そして自身で記憶できる限り、長いものにしましょう。

 

 

パスワード管理ソフトの機能を理解する

3.jpg

さて、上記の解説でパスワード管理ソフトの必要性と設定すべきパスワードについてご理解いただけたことと思います。次にパスワード管理ソフトの機能について理解しましょう。

パスワード管理ソフトは大きく分けて、個人向けと法人向けの2タイプの製品がリリースされています。以下では、個人向け・法人向けの両方に搭載されている機能、そして法人向けのみに搭載されている機能をご説明します。

 

一般的に個人・法人どちらにもある機能

4.jpg

  • パソコンならびスマートフォンで利用可能
  • パソコンのブラウザ、スマートフォンアプリからの利用が可能
  • フォーム自動入力
    • 対応するクラウドサービスのID・パスワード入力ページに、パスワード管理ソフトが自動で入力を行ってくれる(フォームベース認証とも呼ばれる)
  • 対応クラウドサービスを上限なく登録可能
    • パスワード管理ソフトで対応しているクラウドサービスを、数十、数百と登録することができる。多くのサービスでは、有料版は上限なし、無料版では登録サービス数上限が数個となっている
  • 問合せフォームからのサポート
    • パスワード管理ソフトのユーザーページのフォームから問合せ可能。海外メーカーに直接問い合わせる場合は、時差により10数時間のタイムラグがあるため注意が必要

 

一般的に法人向け製品にのみある機能

5.jpg

  • 複数ユーザーアカウント利用可能
    • 個人向け製品は、1人のユーザーの利用のみが想定されているが、法人向けの場合は複数ユーザーの利用が前提となっています。多くの場合、1ユーザーあたり数ドル(数百円)程度の月額費用が必要となります。
  • 管理者によるユーザー・グループ・パスワード管理機能
    • ユーザー管理機能に加え、管理者がユーザーをグループ分けする機能、またグループに対しての権限を付与する機能、ユーザーに代わってパスワードを管理する機能など
  • 多要素認証対応
    • パスワード認証に加えて、別な認証要素を併用することでセキュリティを高める機能
      • ワンタイムパスワード
      • Authenticator
      • 生体認証など
  • IPアドレス制限機能
    • 特定のIPからのみアクセスを認める(ホワイトリスト)ことで、認めたIP以外からのアクセスを全て防ぐことができる
  • 外部IDP連携
    • G Suite、Office 365、SalesforceなどのIDパスワードを利用して、他サービスの認証が行える機能を利用して、パスワード管理ソフトへの認証が行える。これにより、パスワード管理ソフトのパスワードを記憶・管理する必要がなくなる
  • ユーザー画面・管理画面の日本語対応
    • 海外製の製品の一部は、法人有料ユーザーのみ日本語対応するものがある
  • Active Directoryや各種ディレクトリ連携
    • ディレクトリサービスとパスワード管理ソフトで、二重の管理となることを防ぐために、ディレクトリサービスにパスワード管理ソフトを連携させる機能
  • ログ機能
    • 組織内のユーザー全員分の利用ログが記録され、出力可能。情報セキュリティの観点から、問題発生時の原因究明に必須
  • SAML対応
    • Security Assertion Markup Languageの頭文字を取ってSAMLと呼ばれるユーザー認証に関する規格。クラウドサービス側にパスワードを渡すことなく認証を可能とする
  • 電話サポート(登録プランによる)
    • 日本に法人を置くパスワード管理ソフトは、問合せフォームからのサポートに加えて電話でのサポートを行っている場合がある。販売が代理店中心となっている製品は、メーカー直接ではなく代理店経由のサポートとなる

上記のように、個人向け製品と比べて、法人向け製品はより多くの機能、特に複数ユーザーや組織(グループ)の管理機能を持っています。セキュリティ機能も多く搭載されているため、法人での導入を考える場合は、個人向け製品ではなく法人向け製品を利用する必要があります。

 

 

法人向けのパスワード管理: コストパフォーマンスを優先するならトラスト・ログイン(旧 SKUID)

6.jpg

パスワード管理ソフトを利用する場合、機能の次に考えるべきはコストです。パスワード管理製品は、1ユーザー当たりの月額費用が必要になる製品がほとんどで、買い切りの製品ではありません。たとえ、1ユーザーあたりの月額費用4ドル (455円) だとしても、1年間で48ドル (5461円) となります。

  • 10ユーザーで年額54610円
  • 100ユーザーで年額546,100円
  • 1,000ユーザーで年額5,461,000円
  • 10,000ユーザーで年額54,610,000円

大口ユーザー向けにはボリュームディスカウントが用意されている場合が多いにしろ、利用者が1万人を超える企業にとっては年間数千万円の出費となります。もちろん、買い切りではないため、この費用が毎年継続してかかり続けることになります。

では、コストを抑えるためにはどうすればよいかというと、「無料で利用できるアカウントがあるかどうか」という点と、「必要な機能だけ切り出して有償利用できるか」という点となります。

例えば、当社のトラスト・ログイン(旧 SKUID)を例に上げると、ユーザーは以下のように分かれています。

  • 1.無料ユーザー
    • 登録サービス数無制限。有料機能利用不可
  • 2.有料オプション利用ユーザー
    • 登録サービス無制限、必要な有料機能のみ購入し利用
  • 3.有料プラン利用ユーザー
    • 登録サービス無制限、複数の有料機能・サポートが含まれる有料プランを購入し利用

トラスト・ログイン(旧 SKUID)では、従業員全てを有料プランに登録する必要はありません。例えば、常にオフィス内で業務を行うユーザーにとっては、モバイルOTP (ワンタイムパスワード)機能を利用することはありません。このように、所属部門や利用者の属性によって、特定の有償機能を利用する場合、利用しない場合があります。

全てのユーザーが同じ有料プランに加入すると、利用しない機能を含めて契約、支払いが発生し、コストパフォーマンスが悪くなってしまいます。そうではなく、有料プランユーザーと並行して無料ユーザー、または一部の有償オプションのみ利用するユーザーを残すことで、有料機能を必要なユーザー分だけ契約してコストを抑えることができます。

多くの法人向けパスワード管理ソフトでは、有料プランへの一元的な加入が必要で、無料で使い続けるという選択肢も残されていません。この点を考えると、当社のトラスト・ログイン(旧 SKUID)はコスト的に大きなメリットがあると言えます。

 

 

機能とコストの両方を考慮し、正しい判断を

7.jpg

以上、パスワード管理ソフトについてお伝えしました。法人での導入を考慮される際は、単に必要な機能があるかだけではなく、どうすればコストを抑えられるかという観点で、各種サービスの有料プランを確認していく必要があります。

情報セキュリティに関する事故や事件が起こると、どうしてもセキュリティ製品の導入を迅速に優先的に行わねばならなくなります。そんな時にも、コストを最適化するという観点に注意して製品を選定ください。当社「トラスト・ログイン(旧 SKUID)」も、貴社の製品検討に入れて頂ければ嬉しいです。

カテゴリー
記事一覧