[税理士・会計士向け] 顧問先の会計ソフトにログインする際のリスクを回避する方法

2019/08/30

1.jpg

中小企業を中心に、「MFクラウド会計」「Freee」「弥生会計」などのクラウド型の会計ソフトを利用する社数が急増しています。税理士事務所や会計士事務所からしても、クラウドで常に会計情報を確認できるクラウド型会計ソフトは、大きなメリットがあります。

しかし、顧問先が多い事務所の場合、多数のクラウド型会計ソフトにログインする必要があり、このためのIDパスワード管理にリスクがあります。

 

 

クラウド型会計ソフトのIDパスワード情報を管理しきれない

2.jpg

IDパスワード管理の鉄則として、「同じパスワードを使い回さない」というものがあります。あるクラウドサービスからIDパスワードが漏えいした場合を考えてみましょう。同じIDパスワードを別なクラウドサービスで使い回していた場合、悪意のある攻撃者が漏えいしたパスワードを使って不正なアクセスを試みて、顧問先の財務情報という極めて機密性の高い情報が持ち去ってしまう危険があります。これは、顧問先の信用を失墜するもので、顧客の離反を招きます。

しかし、「同じパスワードを使い回さず、全て違うパスワードを設定する」となると、今度は別な問題が起こります。会計クラウドサービスA社、B社、C社、D社...にそれぞれ別々の複雑なパスワードを設定すると、頭で記憶しておくことが難しいのです。

「ブラウザのパスワード管理機能を使っているから問題ない」という方もいらっしゃるかと思いますが、この機能は安全ではありません。パスワードを平文(暗号化されていない文字列)で表示することができるため、悪意のある人が端末に不正アクセスした場合や、悪意を持った事務所のスタッフが情報を盗難しようとした場合に脆弱なのです。

では、パスワード管理機能以外で管理しようとした場合は安全か、というとそうではありません。

例えば、Excelに書き留めて保存した場合、そのExcelファイルが入ったパソコンに不正アクセスされたり、Excelファイルが入ったUSBメモリやSDカードを紛失した際に、顧問先のログイン情報が別の人の手に渡り、不正にアクセスされる可能性があります。また、事務所内部で悪意を持ったスタッフがファイルを不正に持ち出す可能性もあります。

ちなみに、紙に書き留めて管理した場合は、紙の紛失や盗難といったリスクがあります。悪意のある事務所スタッフが、紙に書かれている情報を全てコピーして持ち出すリスクは当然あります。

このようにして情報漏えいを起こしてしまった税理士、会計事務所は、「情報管理がずさんな事務所」だと認識され、結果として顧問先が離れていってしまい、事務所運営に大きな影響が出ることになります。パスワード管理は、単なる「コスト」ではなく、ビジネスを守る重要な「投資」なのです。

 

 

「使い回しせずに全て別なパスワードを記憶」には無理がある

3.jpg

主要なクラウド型会計ソフトは、5種類から10種類程度とそこまで多くありません。よって、各会計ソフトごとに別々のパスワードを利用するといっても、「5から10種類であれば、記憶できるのではにないか」と思う方もいるかも思います。ただ、「大文字、小文字、数字、記号をすべて含み、辞書にある文字列を含まない8文字以上の無意味な文字列」を複数覚えるのは大変難しいのが実情です。

「覚えられないほど複雑なパスワードを複数作って、それを全て記憶しなければならないとは、『不可能なことをすべき』と言っているのか」と思われる方もいるでしょう。現在、IDとパスワードがインターネット上での認証の標準となっています。しかし、1人のユーザーがこれだけ多くのパスワードを管理するようになった現在、そもそもパスワード依存の仕組み自体に無理があると言っても過言ではないのです。

パスワード以外の認証も多く利用されるようになってきています。例えば、指紋認証、顔認証、静脈認証、SMS認証、プッシュ認証といったものです。しかし、iPhoneの指紋認証や顔認証のように、単体の認証として端末のログイン認証に用いられることはありますが、ネットサービスへの認証時に単体で利用されることはまずありません。多くの場合、「パスワード認証+SMS認証」「パスワード認証+プッシュ認証」といった具合で、パスワード認証と併用してセキュリティを高めています。

もちろん将来的には、パスワードに依存しない認証が登場してインターネット上の認証の仕組みを大きく変える可能性があります。しかし、2018年現在では、使い回しではない独自のパスワードを、各サービスごとに用意し、しかもそれを紙やExcelで記録すべきでない、という、ある意味「不可能で、無理がある」現状が続いているのです。

 

 

クラウド型パスワード管理サービスという選択肢

4.jpg

では、適切なパスワードの管理は無理で、結局紙やExcelデータをなくさないように管理するか、同じパスワードを使い回すか、の二択しかないのか、そう思われる方もいるかもしれません。しかし、紙やExcelを使わず、また使い回しもせずに各クラウド型会計ソフトのパスワードを管理する方法があります。

当社の「トラスト・ログイン(旧 SKUID)」は「様々なクラウドサービスのパスワードを管理する」サービスで、紙もExcelも、パスワード使い回しもなく、安全に多数のパスワードを管理できます。

例えば、複数の顧問先が合計10種類のクラウド型会計ソフトを使っている税理士事務所を考えてみましょう。この10件のそれぞれ別なIDパスワードを、当社のトラスト・ログイン(旧 SKUID)に預けます。預けられたパスワード情報は、日本国内のセキュリティが堅牢な大手データセンターに保管されるため、紙やExcelでの管理より安全です。

そして、これらのパスワード情報にアクセスするための「強固なパスワード」を1つだけ作ります。大文字、小文字、数字、記号の全てが含まれており、無意味な文字列(例えば「j9?b4Dfx」「p93M!d?e」)であることが望ましいです。この強固なパスワードを利用して、トラスト・ログイン(旧 SKUID)にログインすると、ワンクリックで全てのクラウド型会計ソフトにログインできるようになります。各社のパスワードを都度都度入力する必要はありません。

また、セキュリティの関係から事務所スタッフにパスワードを教えたくないという先生も多いかと思います。こうした場合は、トラスト・ログイン(旧 SKUID)を設定するがパスワードは事務員に教えずにログインさせる、という運用も可能です。

 

 

トラスト・ログイン(旧 SKUID)は最も安価で、最も使いやすい製品

5.jpg

クラウド型パスワード管理サービスが、税理士・会計事務所でお役に立つことはお分かりいただけたかと思います。しかし、税理士・会計事務所の多くは、専任のシステム担当者を置いていません。そうなると、システムに精通していなくても、画面を見るだけで操作や設定ができることが重要となります。また、管理工数を削減して本業に専念するには、管理画面も日本語であることが当然望ましいです。

トラスト・ログイン(旧 SKUID)は、東証一部上場の「GMOインターネット」のグループ企業である「GMOグローバルサイン」が日本で開発した製品です。ユーザーが利用する画面、管理者が利用する画面は全て日本語で提供されており、また誰でも簡単に利用できるように分かりやすく画面が設計されています。パスワードなども全て日本国内のデータセンターで管理されているため、外国の法律ではなく日本の法律が適用されているのも安心感が高い要因となります。

トラスト・ログイン(旧 SKUID)は、一部オプションを除き、基本料金無料でユーザー数や登録サービス数の制限なく利用できます。ぜひ一度お試しいただき、顧問先の情報をより堅固に管理するよう心掛けて頂ければと思います。