「パスワードを覚えない」ことで安全性を高める

2019/12/02

1.jpg

情報漏えい対策製品を提供する Digital Guardian 社の2018年の調査によると、1,000人のインターネットユーザーに対する「パスワード認証を行うアカウントを何個持っているか」という質問への回答は、以下の通りです。

  • 10個以下: 30%
  • 11~25個: 28%
  • 26以上: 25%
  • 不明・または数えきれない: 29%

この調査はインターネットユーザーを対象に行った調査であるため、もしこれがビジネスパーソン向けの調査であれば、個人ならび職場の両方のアカウントが加わり、数はもっと多くなったと推察できます。

上記の調査のように、数十個のアカウントを持つことが当たり前になってきている昨今、パスワードの管理は年々煩雑になっていきます。そして、最近の流れとして出てきたのは「パスワードを利用しない認証 [パスワードレス]」、そして「パスワードを覚えない認証」です。「パスワードを覚えないで、パスワードを使う」とはどういうことか、以下で説明します。

 

 

もう誰もついていけない「個人任せのパスワード管理」

2.jpg

パスワードの正しい作り方と管理というと、以下のようなものが頭に浮かぶのではないでしょうか。

  • 「大文字」「小文字」「数字」「記号」全てを含むものを作りましょう
  • 8文字以上で、できるだけ長いものを作りましょう
  • 辞書に含まれる文字や、類推できる文字列は含まないようにしましょう
  • 決して使い回しせず、1つのパスワードは1つのサービスだけで利用しましょう

そして、極めつけなのがこちらです。

  • パスワードは紙やテキストファイルに記録せず、記憶しておきましょう。

パスワード漏えいによる不正アクセスを防ぐ意味で、上記は全て正しい対策です。しかし、無味乾燥で使い回しでない文字列を10も20も記憶できる人は多くありません。つまり、上記の対策は「正しいが、守るのは非常に困難な対策」となっているのが実情です。個人の努力で行うのは事実上無理な対策であるため、結局「パスワードの使い回し」に戻ってしまう、という悪いサイクルとなっています。

 

 

「パスワード作成・管理を丸投げし、覚えない」という対策

3.jpg

上記の個々人の努力の真逆として登場したのが、「パスワードは自動生成したものを用い、覚えない。自分が覚えない代わりに、クラウドに覚えさせておく」という方法です。

例えば、当社のトラスト・ログインをはじめとする IDaaS (クラウド型IDパスワード管理サービス)は、一般的に2つの管理方法があります。

1つめは、ビジネスで利用するシステム・サービスのIDパスワード認証登録を、ユーザー各人が行う方法です。

  • パスワードを作成するのはユーザー
  • 各システム・サービスへのパスワードをIDaaSに登録するのもユーザー
  • IDaaSにログインするためのパスワードを作成するのもユーザー

2つめは、ビジネスで利用するシステム・サービスのIDパスワード認証登録を、管理者が行う方法です。

  • パスワードを作成するのはシステム管理者
  • 各システム・サービスへのパスワードをIDaaSに登録するのもシステム管理者
  • IDaaSにログインするためのパスワードを作成するのもシステム管理者

前者は「IDaaSという場を提供するので、各自が上手く使ってパスワード管理を行ってください」というアプローチです。このアプローチはユーザーの自主性を重んじていると言えますが、IDaaSをうまく使いこなすか、そうでないかはユーザー任せとなるため、一律のセキュリティ向上が期待できません。例えば、IDaaSを利用せずに、以前と同様に「各システム・サービスごとのIDパスワードを入力してログインする」という方法も引き続き利用可能となりますし、パスワードの使い回しも可能です。

これに対して後者は「IDaaSという場を使ってシステム管理者がパスワード管理を集中的に行うので、ユーザーはIDaaSにログインするパスワードを1つだけ覚えてください。他のパスワードは忘れてください」というアプローチとなります。パスワードの使い回しを防ぐために、全ユーザーが各システム・サービスにログインするためのパスワードを、システム管理者が全て登録します。この際には、各システム・サービスごとに自動生成した別なパスワードを利用するため、パスワードの使い回しは発生しません。

 

 

パスワードを記憶しないメリット・デメリットを比較する

4.jpg

全てのパスワードの窓口となるIDaaSのパスワードのみを記録し、各システム・サービスのパスワードを記録しない場合のメリットとデメリットについて考えてみましょう。

 

メリット(1): セキュリティ

1つめのメリットはセキュリティ向上です。業務で利用するシステム・サービスのパスワード作成をユーザー任せにすると、複数のシステムで同じパスワードを利用してしまう「パスワード使い回しリスク」があります。システム管理者が、業務で利用するIDパスワードの管理をIDaaSを使って一元化すると、パスワード使い回しリスクはほぼ100%、なくすことができます。

 

メリット(2): アクセス権管理

  • 営業部の鈴木さんは、A、B、Cの3つのサービスにアクセスできたが、経理部に移動になったので、AとBにはアクセスできなくなるが、Cに加えてDとEには新たにアクセス可能になる。
  • 開発部の佐藤さんは、F、G、Hのサービスにアクセスできたが、来月退社するので、退社日の翌日には全てのサービスへアクセスできなくなる。
  • 経理部の山田さんは、J、K、Lのサービスにアクセスできるが、人事部の仕事を兼務するので、今年度中に限りM、Nサービスに新規にアクセス可能となる。
  • Pサービスは、マーケティング部と顧客サポート部のみアクセスできていたが、新サービス稼働により、マーケティング部のみアクセス権がなくなる。

アクセス権管理とは、各システム・サービスにアクセスできる権利を、人または部署ごとに管理する「大変面倒な作業」です。面倒であることの理由の一つは、「各システム・サービスごとにアクセス権を変更する作業が異なる」ためです。

例えば、Aサービスはデータベースを直接操作、Bサービスはブラウザログイン後に管理者画面から操作、Cサービスはユーザー一覧が記載されたCSVファイルの読み込みが必須、といった具合です。ただでさえ面倒な仕事を、それぞれ別な手順で行う必要があるという煩雑さです。

IDaaS上に、各システム・サービスのID・パスワードを集中管理していて、パスワードを教えていない場合、システム管理者は「IDaaSの管理画面のみで、全てのシステム・サービスのアクセス権管理が行える」というメリットがあります。ユーザーはIDaaSのパスワードしか知らないので、権限がなくなったシステム・サービスに対して「IDaaS経由」のアクセスはできませんし、「IDaaSを経由しない」アクセスも行えません。

メリット(3): ヘルプデスク工数

アクセス権管理が容易になるということは、ヘルプデスクの工数削減に直結します。多くの企業では、ヘルプデスク専用の人材を準備してアクセス権管理のような作業に当たらせています。IDaaSを利用してパスワードを教えない運用にすることで、ヘルプデスク担当者は基本IDaaS上のみでアクセス権の管理を行うことができ、複数のシステム・サービスに別々にアクセスする必要がなくなります。アクセス権管理に費やす時間を削減することで、ヘルプデスク担当者には、より価値がある作業を行ってもらうことが可能となります。

 

デメリット: IDaaSが止まるとアクセス不能

これまでメリットのみをお伝えしましたが、デメリットもあります。それは「IDaaSが止まると、全てのシステム・サービスにアクセス不能となる」ことです。ユーザーは各システム・サービスのパスワードを教えられていませんので、IDaaSなしでは各システム・サービスにアクセスする手立てがありません。こうしたシステム停止を防ぐ方法はありません。

ここで考えるべきなのは、「リスクを正しく見積もる」ということです。

  • 導入を検討しているIDaaSのシステム稼働率
  • 外部監査ならび認証を取得しているか
  • IDaaS提供企業の実績は十分か

例えば、当社のIDaaS「トラスト・ログイン」であれば、99.99%の稼働実績があります。99.99%の稼働率ということは、1年のサービス停止時間が52分程度であることを意味します。つまり、「1年のうち52分程度アクセスができない可能性があるリスクと、パスワードを使い回されて不正アクセスを受けるリスクのどちらが高いか」を比較検討する必要があります。ちなみに、稼働率が低いIDaaSは、サービス停止時間が長いことを意味にしますので、できるだけ避けるべきです。

次に、外部監査ならび認証の取得ですが、クラウドサービスでは業界標準ともいえる外部認証に「SOC2報告書」があります。SOC2報告書とは、クラウド事業者に対して5つの構成要素をもとに外部監査を行い、クラウドサービスの運営の質を評価するものです。「当社のサービスは安心です」というよりも、外部の企業が「監査に入りましたが安心でした」と評価されたほうが信用度が高いといえます。

・参考記事
内部統制に関する国際認証 SOC について、クラウドサービスの視点で考える

最後に、企業としての実績です。クラウドサービスは、単にIaaSやPaaSといった基盤が安定的に稼働しているだけでなく、その上に乗っているIDaaSも安定稼働させる必要があります。安定稼働させる、またトラブル時にダウンタイムを最小限にするためには、IDaaSに限らず同種のサービスの提供実績が十分にあるかどうかが判断基準となります。

 

 

ユーザーにパスワードを記憶させず集中管理を促進する「トラスト・ログイン」

5.jpg

当社のIDaaSである「トラスト・ログイン」は、IDaaSを安心して利用頂くため、以下の強みがあります。

  • 稼働率99.99% (年のダウンタイムはわずか52分程度)
  • SOC2報告書取得済み
  • 20年以上情報セキュリティ一筋にサービス提供を行ってきた実績

ぜひパスワード管理を「ユーザー任せ」から「IDaaSを利用したシステム管理者の一元管理」を検討する際には、当社のトラスト・ログインもご検討ください。