企業のパスワード管理の重要性|パスワード管理の現状や問題点、安全なパスワード管理方法について紹介
通信デバイスやインターネットが当たり前のように使われている現代では、Webサービスなどのログインで使うパスワードを適切に管理する必要があります。パスワードの管理が甘いと、不正アクセスや情報漏洩といったトラブルが起こり、取り返しのつかない事態に発展するかもしれません。
そこでこの記事では、企業におけるパスワード管理の問題と現状を解説するとともに、パスワード管理の重要性や危険なパスワード管理の例を紹介します。併せて、安全なパスワード管理方法・設定方法について解説するため、ぜひ参考にしてください。
■企業におけるパスワード管理の問題と現状
はじめに、企業におけるパスワード管理の問題と、現状について見ていきましょう。自社で同様の問題を抱えていないか、把握することが重要です。
◇管理するIDやパスワードの増加
近年、クラウドサービスの業務利用が増えたことで、社員一人ひとりが管理するIDやパスワードが増えています。社内システムも同様にID・パスワードの管理が必要であり、ユーザーだけでなく管理者にも大きな負担がかかっている現状です。
このような状態では、パスワードの使い回しや簡素化による、セキュリティリスクの増大が懸念されます。リスクを考えると、長く複雑な文字列のパスワードの使用が望ましいですが、管理するパスワードが増えることで「覚えきれない」「入力が面倒くさい」といった状態になりがちです。
その結果、パスワードの使い回しや簡素化、場合によっては紙に書き出してディスプレイの近くに保存するなど、危険な状態になっていることも珍しくありません。
◇リモートワークの普及でセキュリティリスク上昇
これまで社内の情報(データ)は、社外からアクセスできないようにすることが一般的でした。しかし、リモートワークが普及したことで、社外からもアクセスできる環境を整えている企業も多いでしょう。
その際に問題となる点は、利用されるデバイスがさまざまで制限しにくい、という点です。例えば、従業員の私用デバイスに社内システムのID・パスワードが記録されている場合、そのデバイスの紛失・盗難によってID・パスワードが盗まれてしまう危険性があります。
社用のデバイスと異なり、私用デバイスの場合は、セキュリティ対策が十分に施されているかがわかりません。社用デバイスであれば万一の紛失・盗難に備えてデータを暗号化するなどの対策がとられる場合もありますが、私用デバイスでそこまで実施しているケースは多くないでしょう。
また、自宅以外のカフェなどで作業をしている場合に、ID・パスワードを盗み見られる可能性も考えられます。
◇ID・パスワードの個人管理
多くの企業では、ID・パスワードは従業員が個人で管理しているでしょう。しかしこの状態では、セキュリティ教育が十分でないとパスワードの使い回しや簡素化が横行し、セキュリティリスクが高まります。
また、十分に教育を行なっていたとしても、「自分は大丈夫」と考える従業員がいないとも限りません。とはいえ、複雑なパスワードを管理者側で設定する方法では、利便性を大きく損ない業務効率に影響を与えます。
■企業がパスワード管理をする重要性について
近年、テレワークの普及により、さまざまなクラウドサービスを導入する企業が増えました。テレワークで個人が利用するネットワーク環境はそれぞれ異なり、なかにはセキュリティ面に脆弱性がある可能性もあります。そのため、パスワード管理が適切でないと、不正アクセスの被害に遭うおそれがあるのです。
クラウドサービスを業務利用している場合、企業の機密情報がインターネット上に保存されることになります。また、自宅などの社外から社内ネットワークに接続する機会も増えていることから、一人の社員のパスワードが漏洩するとその損害は計り知れません。
業務効率化のために多くのサービスやシステムを利用する昨今、前述のように社員一人ひとりが管理すべきパスワードの数は増加傾向にあります。そのため、個人でのパスワード管理は煩雑になりやすく、危険なパスワード管理につながるケースも多く見られます。
さらに、業務効率化のためにクラウドサービスを多く利用することで、パスワード管理の負担が増し、かえって業務の効率性が低下することもあるでしょう。
上記のような要因から、企業がパスワード管理をする重要性が高まっているといえます。企業が一元的に社内のパスワードを管理することで、社員の負担軽減や業務効率化を実現できるだけでなく、パスワードに関するさまざまなリスクを回避しやすくなるのです。
■危険なパスワード管理とは?
企業の機密情報や個人情報を守るために、適切なパスワード管理が非常に重要です。ここからは、気を付けるべき危険なパスワード管理について、具体的に見ていきましょう。
以下の3点に該当する場合は、早急に改善策を検討することをおすすめします。
◇パスワードの使い回し
前述のとおり、テレワークの普及もあり、業務で多くのクラウドサービスをはじめとするサービス・システムの利用が増えています。
多くのサービス・システムを利用するなかで、管理すべきパスワードの数が膨大になると起こりやすいのが、パスワードの使い回しです。パスワードの使い回しは、一つのパスワードが漏洩しただけで多大な損害につながる危険があります。
例えば、システムAで利用しているパスワードが漏洩したことで、システムB・システムCでも不正アクセスや情報漏洩が発生してしまうでしょう。
近年では、リスト化したIDとパスワードを利用した「パスワードリスト攻撃」も増えており、パスワードを使い回すことは非常に危険です。
◇パスワードの単純化
パスワードの使い回しまではいかずとも、管理が煩雑になることから単純なパスワードを設定してしまうケースも多く見られます。パスワードは複雑な設定にすることが求められますが、入力の機会が多いと、複雑なパスワードを毎回入力することにストレスを感じるときもあるでしょう。
その結果、覚えやすく簡単なパスワード設定にする社員や管理者が増えてしまうのです。パソコンだけでなくスマートフォンなどからも簡単にアクセスできる現代では、単純なパスワードやパターン化したものは攻撃される危険性が高いといえます。
また、パスワードの長さ(文字数)にも注意が必要であり、以前は8文字以上が適切といわれていました。しかし、8文字のパスワードであっても数時間で解析できる場合もあるため、現在はより長く複雑なパスワードを設定する必要性が高まっています。
◇パスワードの個人管理
パスワード管理を社員の裁量に任せると、個人での管理は煩雑になりやすいためパスワードの使い回しや単純化につながります。また、忘れないようにパスワードをパソコン上にメモして保存しているケースでは、情報漏洩や不正アクセスのリスクがさらに高まるでしょう。
危険なパスワード管理を避けるためには、各社員にパスワード管理を任せるのではなく、専用ツールなどを導入して、一元的にパスワードを管理できる環境を構築することが重要です。加えて、企業のシステム担当者は重要な情報に対してはアクセス権限を設定し、管理することも求められます。
■安全なパスワード管理方法・設定方法
ここからは、安全なパスワードの管理方法や設定方法について見ていきましょう。
◇安全なパスワード設定
業務でパソコン・スマートフォン・タブレットといった通信デバイスからWebサービスなどにアクセスする場合、企業情報が外部に漏れないように、アクセス権限(ユーザー名)とパスワードの設定が必要です。これらの設定をしないと、誰もが企業情報にアクセスできる状態になってしまいます。
しかし、アクセス制限やパスワードの設定をすれば十分ということではありません。できるだけ不正アクセスや情報漏洩を防ぐためには、推測されにくく安全性の高いパスワードに設定することが大切です。
具体的には、以下のようなポイントを意識しましょう。
- ・名前や誕生日など、個人情報から推測できる内容にしない
- ・英単語など、意味のある文字列をそのまま使わない
- ・ある程度の長さを持たせて情報量を増やす(できれば12文字以上)
- ・推測しやすい文字・数字の並びを避ける
- ・複数のサイトで同じパスワードを使わない
また、パスワード自体が他人の目に触れないよう管理することも大切です。しかし、社員の裁量に任せてしまうと、パスワード強度や管理体制にバラつきが生じてしまうでしょう。
このような問題を解決するには、パスワード管理システムを導入して、一元的に管理することがおすすめです。
◇二段階(多要素)認証、SSO(シングルサインオン)の導入
二段階(多要素)認証は、従来のIDとパスワードの認証だけに頼らず、デバイス認証や生体認証などを組み合わせることでセキュリティを高める認証方法です。
また、シングルサインオンは、一度ログインするだけで複数のサービス・システムへの認証を自動化できる技術です。シングルサインオンを導入することで、多くのシステムを利用する昨今では業務の効率化と併せて、パスワード管理の煩雑さの解消につながります。
個人にパスワード管理を任せることには限界があるため、二段階認証やシングルサインオンなどのシステムを導入することで、安全なパスワード管理を実現できるでしょう。
二段階(多要素)認証やシングルサインオンについてより詳しく知りたい方は、次の記事もおすすめです。
二段階認証とは?二要素認証との違いやメリット、セキュリティ強化のポイントを解説
SSO(シングルサインオンとは?メリットやSSOの仕組み「SAML認証」について
また、複数のパスワードを管理する「パスワード管理ツール」を利用する方法もあります。パスワード管理ツールは情報セキュリティの強化や、業務効率の向上などが期待できるため、二段階(多要素)認証・シングルサインオンの導入と併せて検討するとよいでしょう。
◇フィッシングメールなどの対策もする
パスワードを安全に管理するためには、フィッシングメールやマルウェアへの対策も欠かせません。どれだけ複雑なパスワードで管理をしっかりと行なっていても、フィッシングメールでフィッシングサイトに誘導されてパスワードを入力させられたり、マルウェアに感染して保存している情報を盗まれたりしてしまう可能性があるからです。
IPA(情報処理推進機構)が公開している「情報セキュリティ10大脅威2023」においても、情報セキュリティにおける脅威として、以下のように情報を盗まれる攻撃が上位に挙げられています。
- ● 個人部門1位:「フィッシングによる個人情報等の詐取」
- ● 組織部門3位:「標的型攻撃による機密情報の窃取」
サイバー攻撃の手法は多様化・巧妙化が進んでおり、実在する企業や人物になりすまして情報を盗もうとしてきます。
取引先や顧客などになりすまし、言葉巧みにフィッシングサイトに誘導する事例も多く報告されているため、フィッシングメールへの対策が重要です。標的型攻撃メールに対するソリューションや、マルウェア対策としてセキュリティ対策アプリを導入するなど、統合的なセキュリティの強化も検討しましょう。
参考:IPA「情報セキュリティ10大脅威2023」
■企業のパスワード管理におすすめの“トラスト・ログイン”
企業のパスワード管理におすすめのツールが“トラスト・ログイン”です。トラスト・ログインは、簡単最速のシングルサインオン/アクセス制限ツールとして8,500社以上に導入されています。
一元的にパスワードを管理できるIDaaSであり、クラウドサービスとして利用できるため導入も容易です。パスワードの一元管理・クラウドでの管理に、不安を持つ方もいるかもしれません。しかし、トラスト・ログインを運営するGMOグローバルサインはSSL電子証明書の認証局を20年以上営んでおり、重要な情報を守るセキュリティノウハウを持っているため安心してご利用いただけます。
専任のセキュリティスタッフが24時間365日体制でシステムを管理しており、保管に関しても暗号化をするなど高い安全性が確保できます。月100円からの低コストで導入しやすく、不明点などがあれば電話や問い合わせフォーム、チャットなどでサポートを受けられることもポイントです。
稼働率も99.99%と安定しており、シングルサインオンの対応アプリ数は6,200以上。パスワードの管理だけでなく、アクセスコントロールも詳細に実現可能です。
例えば、以下のようなアクセス制限に活用できます。
- ● 社内のIPアドレスからのみアクセス可能にする
- ● クライアント認証機能を使って電子証明書がインストールされた、特定のデバイスからのみアクセス可能にする
トラスト・ログインは多くの企業に評価いただき、「満足度の高いSSOツール 2022年7月度」の1位に選ばれました。
■まとめ
近年、テレワークが普及したことでクラウドサービスを業務利用する機会が増え、従来以上にパスワード管理の重要性が高まっています。パスワードの使い回しや単純化など、危険なパスワード管理になっている場合は、大きなトラブルになる前に適切な改善策を練ることが重要です。
業務利用しているサービス・システムの数が多いと、その分パスワード管理はどうしても煩雑になります。企業の機密情報や情報資産を守るためにも、二段階認証やシングルサインオンの導入がおすすめです。
GMOトラスト・ログインであれば、月100円でシングルサインオンや二段階認証も含めた一元的なパスワード管理を実現できます。この機会にトラスト・ログインの導入を検討してみてはいかがでしょうか。
この記事を書いた人
GMOグローバルサイン株式会社
トラスト・ログイン事業部
プロダクトオーナー
森 智史
国内シェアNo.1のSSL認証局GMOグローバルサインで10年間サポート部門に従事。抜群の知識量と分かり易い説明で多くのお客さまからご支持いただく。
現在は自社IDaaSのプロダクトオーナーとしてお客さまの意見を伺いながら使いやすくセキュリティの高いサービスを開発者たちと共に作成中。