さまざまなクラウドサービスの導入により、業務効率化や生産性の向上効果が期待できる一方で、パスワード管理が煩雑化するケースが少なくありません。管理に手間がかかるだけでなく、セキュリティリスクも高まります。企業におけるパスワード管理に必要な機能への理解を深め、対応策のご検討にお役立てください。
企業におけるパスワード管理の現状
多くの企業がシステムのクラウド化を進めています。便利なクラウドサービスが次々と誕生し、パスワード管理におけるさまざまな問題点が発生しています。以下では、パスワード管理の現状を解説します。
ID・パスワードが増え続ける
便利なクラウドサービスが増加し、低コストで業務効率化を図れるのも魅力ですが、管理すべきIDやパスワードが増え続けるのが問題となっています。
セキュリティリスクを考えると、それぞれ個別に異なるIDやパスワードを設定すべきですが、現実には管理に手間がかかるため、使い回しをするケースが少なくありません。パスワードの使い回しは、セキュリティリスクを高めます。A、B、C、D、Eと5つのクラウドサービスを利用していた場合、Aのパスワードが流出すると、B~Eのサービスにおいても不正ログインを招くおそれがあるのです。
とはいえ、セキュリティリスクを懸念してすべてのサービスに異なるIDとパスワードを設定すると、どれがどのパスワードなのかわからなくなったり、ログインに手間がかかったりと、デメリットが発生します。
個人の管理に任せている
多くの企業では、増え続けるIDやパスワードの管理を個々の社員に一任しています。メモ帳やノートに記録する、Excelに整理するなど個々の社員が異なる管理方法を用いているケースも珍しくありません。
利用するサービスの増加に伴い、管理対象となるIDやパスワードも増え、社員の手間や負担も増えています。その結果、できるだけ手間を減らそうと、パスワードの使い回しや簡素化が横行してしまうのです。
複数のサービスで同じパスワードを使用する、末尾を変えるだけなどパターン化する、予測しやすい単純な文字列で設定するといったことが起こり、セキュリティリスクを高めてしまうのです。
リモートワークに伴いセキュリティに不安が生じる
働き方改革の推進や新型コロナウイルスの感染拡大などをきっかけに、リモートワークへシフトする企業が増えました。リモートワークでは、PCやスマートフォン、タブレット端末などさまざまな端末でシステムにアクセスすることが多く、セキュリティリスクの上昇を招きます。
たとえば、自宅で使用している端末にパスワードが記録され、家族や友人などがシステムへアクセスしてしまうリスクが考えられます。悪意はなくとも、組織にとって重要な情報を見られてしまうかもしれません。
また、リモートワークでは監視の目がないため、パスワード管理がおざなりになる可能性もあります。付箋に記録してモニターに貼り付けたり、紙に書いてデスクの上に放置したりすることも起こり得ます。
カフェや図書館、イートインスペースなどで作業する際には、パスワードを覗き見られてしまうリスクも高まるでしょう。その結果、システムへの不正アクセスを招くおそれがあります。
パスワード管理の課題
パスワード管理の課題として、使い回しや簡素化に伴うサイバー攻撃リスクの上昇が挙げられます。また、情報漏洩により組織が窮地に立たされるリスクや、社員、管理者の業務負担増加、リモートワーク環境下におけるセキュリティの低下なども考えられます。
使い回しや簡素化によるサイバー攻撃のリスク
パスワードを使いまわしていると、悪意をもつ人に取得された場合、サイバー攻撃のターゲットになるおそれがあります。事実、パスワードリスト攻撃と呼ばれる手口があり、入手したパスワードを用いて他のサービスやシステムへの侵入を企てる攻撃があるのです。
パスワードを使いまわしていると、ひとつ流出しただけで芋づる式に複数のシステムを危険に晒します。これが、使い回しはよくないといわれる理由です。
簡素な文字列を設定するのも、サイバー攻撃のリスクを高めるため注意が必要です。同じ数字や連続する数字を羅列する、自身の誕生日にする、数字しか使わないといったケースが該当します。
単純な文字列は予測されやすいため、数字と英文字を混ぜる、英文字も小文字と大文字を用い、記号も交えるなど工夫が必要です。社員へ徹底するには、ルール化も求められるでしょう。
情報漏洩のリスク
個々の社員に管理を一任してしまうとセキュリティが甘くなりがちで、システムへの不正アクセスの結果、重要な情報が漏洩してしまうかもしれません。または、社員のミスによって漏洩することもあります。
現代社会において、情報漏洩は企業の息の根を止めかねません。顧客や取り引き先にも信用されなくなり、社会的な信頼も失う可能性があるためです。顧客の個人情報が漏洩したとなれば、メディアでも大々的に取りあげられ、築き上げてきた信頼はまたたく間に地へ墜ちてしまうでしょう。
また、損害賠償を請求されるリスクも考えられます。個人情報が流出したことで損害賠償請求され、裁判に長時間を費やした上、莫大な金額を支払わなければならない可能性もあるのです。
そのほか、独自のノウハウや経営上の機密情報が競合に渡った場合、自社の営業利益に多大の損失を招くこともありえます。
ID・パスワード管理による個人の負担増加
個々の社員は、複数のIDとパスワードを管理しなくてはならず、必然的に負担が増加します。管理の手間が増えるのはもちろん、その都度異なるIDやパスワードの入力を強いられ、業務効率にも影響を与えてしまうでしょう。
また、セキュリティポリシーに則り幾度にもわたり認証コードを入力する必要がある、パスワード変更を求められるたびに管理が煩雑になるといった負担もあります。業務をスムーズに進められないだけでなく、社員のモチベーション低下にもつながるでしょう。
ID・パスワード管理に関する管理者の業務増加
ID・パスワード管理の手間が増加するのは現場の社員だけではありません。管理の煩雑化に伴い、管理者の業務負担も増加します。たとえば、社員が退職したらそれまで使用していたIDやパスワードを削除しなくてはならず、新たな人材を採用した際には登録業務が発生します。
利用しているクラウドサービスの数が多いほど、このような管理者の手間も増えてしまうのです。上記作業以外にも、管理者のもとにはシステムへのログインに関するさまざまな質問、相談も寄せられ、それらに対応しなくてはなりません。
たとえば、認証に失敗してアカウントがロックされた、パスワードをリセットしたいといった問い合わせもあるでしょう。社員と導入しているサービスが多いほど、管理者の手間は増えてしまうのです。
リモートワークのセキュリティ低下
リモートワークに利用する通信環境によっては、パスワードを詐取されるおそれがあります。たとえば、フリーWi-Fiは無料で利用できるメリットがある反面、通信を傍受されるなど、セキュリティ面に懸念があることが知られています。
また、業務に使用している端末が盗難に遭ったり、紛失したりするリスクも考えられるでしょう。たとえば、カフェで作業しているとき、ほんのわずかな時間席を外した隙に端末を盗まれる、駅のホームに置き忘れて第三者の手に渡るといった可能性があります。
端末を奪われると、そこからIDやパスワードの流出につながりかねません。その結果、組織にとって重要な情報が外部に漏れる、Webサイトに不正アクセスされ情報を改ざんされるリスクが高まります。
ID・パスワード管理の重要性
IDやパスワード管理を徹底しないと、セキュリティリスクが高まり、組織を窮地に立たせる結果になりかねません。また、生産性の向上やコンプライアンスの強化を実現するためにも、IDやパスワード管理をしっかりと行う必要があります。
セキュリティの向上
セキュリティを向上させ、リスクを軽減するために徹底した管理が求められます。適切な管理が行われていないと、サイバー攻撃や不正アクセスのターゲットになり、個人情報や自社のノウハウなど、重要な情報が外部に漏洩するおそれがあります。
セキュリティリスクは内部にも存在します。内部の社員が機密情報にアクセスして流出させる可能性は否めません。組織の存続に関わるような機密情報に誰でもアクセスできるような状況では、いつ情報が外部に漏れても不思議ではないでしょう。
このようなリスクを回避するには、適切にアクセス権限を付与し、不必要に情報を拡散させないことが必要です。また、退職した社員が、以前使用していたIDやパスワードでシステムにログインする可能性もあるため、管理者には適切な対処が求められます。
生産性の向上
個々の社員が、複数のIDやパスワードを管理している状況では、生産性の低下を招きます。
それぞれのシステムにログインするたびに異なる文字列を入力しなくてはならず、作業の手が止まってしまうのです。入力ミスによりロックがかかってしまう場合もあります。
1回1回の時間はそれほど長くなくても、トータルで考えると相当な時間を損失してしまうでしょう。
IDやパスワードを一元化し、管理できる環境を整備すれば、上記のようなリスクを回避できます。社員の負担を軽減でき、生産性向上にもつながるでしょう。
管理者の負担軽減にもつながります。一元管理できる環境が整えば、ロック解除や再発行なども効率よく行えるようになり、負担が軽減するのです。負担が少なくなった分、ほかの業務に注力できるようになり、生産性向上につながります。
コンプライアンスの強化
内部統制監査により、IDやパスワードの管理が適切に行われていないことが発覚すると、是正勧告を受ける可能性があります。是正勧告を受けると、指摘されたところを改善する必要があり、工数やコストが発生します。
このような事態を避けるためにも、コンプライアンスの強化が必須であり、そのためには適切にIDやパスワードを管理できる環境や体制の構築が不可欠です。同じパスワードを使わないようにルールを設定するとともに、管理する体制を強化し、IDやパスワードの登録や削除を適切に行っているかどうかもチェックしなくてはなりません。
アクセス管理も強化しましょう。外部からのサイバー攻撃や内部不正による情報漏洩などを回避するには、通信ログや認証ログ、アクセスログなど各種ログのモニタリングが必要です。
適切なID・パスワード管理に必要な機能
適切なID・パスワード管理にはシングルサインオンの機能が有効です。また、セキュリティの強化を実現できる多要素認証や、アクセス権限の設定も求められます。
シングルサインオン
シングルサインオンは、一度の認証でさまざまなクラウドサービスにアクセスできる仕組みです。サービスごとに異なるパスワードで認証する必要がなくなり、ユーザーの利便性を高めます。
複数のクラウドサービスを利用している環境下では、1日に何度も異なるIDやパスワードを用いて認証を行わなくてはなりません。しかも、サービスによっては一定時間が経過すると、再ログインを求められることもあります。
シングルサインオンを導入すれば、上記の問題を解決し、業務の生産性向上にもつながります。スピーディーに必要なサービスへアクセスでき、時間を有効に使えるのです。
また、パスワードの流出に伴う不正アクセスのリスクも軽減します。管理対象のアカウントがひとつになるため管理がしやすくなり、漏洩するリスクが低下するでしょう。
多要素認証
多要素認証は、複数の要素を用いて行う認証方式です。ひとつの要素のみでは認証できないため、万が一パスワードが流出しても不正アクセスを回避できる可能性が高まります。
たとえば、パスワードに加えPINコードや秘密の質問への回答を求めるケースが挙げられます。パスワードの入力だけではログインできず、PINコードや設定した質問への回答が求められるため、第三者による不正アクセス防止に役立ちます。
なお、多要素認証の要素には、パスワードや秘密の質問など知識情報のほか、所持情報や生体情報なども挙げられます。所持情報とは、本人のみが所持しているモノ(たとえばICカードやスマートフォンなど)で認証を行い、生体情報は顔や指紋などで認証します。
リモートワークで求められるセキュリティの強化も、多要素認証の導入で解決できます。リモートワークへの移行に伴い、利用するクラウドサービスがさらに増える可能性があります。通信の傍受や盗聴などによりパスワードが流出し、不正アクセスを招くおそれがありますが、多要素認証でセキュリティを強化すればリスクを最小限に抑えられるでしょう。
アクセス権限の設定
適切なアクセス権の付与と管理も重要です。アクセス権の設定がいい加減だと、誰でも機密情報や個人情報へアクセスできてしまい、情報漏洩や改ざんのリスクが高まります。
また、過去に作成したアカウントが悪用される可能性があります。たとえば、退社した社員のアカウントが、アクセス権有効のまま放置されていた場合、悪意をもつ第三者や当人による不正アクセスを招くおそれがあるのです。
外部からの不正アクセスを防ぐのはもちろん、内部からの情報漏洩を回避するためにも、アクセス権限の設定と管理が適切に行われているかを確認しましょう。
適切なID・パスワード管理のためのアイデンティティガバナンス管理
アイデンティティガバナンス管理(IGA)とは、組織内に存在するIDやパスワード、ガバナンスを管理することです。IGAツールの導入により、ユーザーはひとつのパスワードで各種サービスへログインでき、アクセス権の要求や承認プロセスがスムーズになるメリットもあります。
IGA導入により、運用コストを削減できるのもメリットです。パスワード管理やアクセス権の棚卸しといった業務を自動化できるため、従来よりも少ないリソースで運用できます。また、管理者はユーザーのアクセス状況やルール違反などを常時チェックすることで、セキュリティを強化できるでしょう。
コンプライアンスの強化にもつながります。IGAの導入で各種規制のコンプライアンス要件を満たすことが可能で、適切にITの利用を管理していると監査に証明でき、社会的な信用力の向上も実現できます。
「SailPoint」のアイデンティティガバナンス・管理ソリューションは、企業が抱えるさまざまなビジネスセキュリティの課題解決に役立ちます。
まとめ
管理するID・パスワードの増加に伴い、個々の社員の負担も増え、セキュリティリスクも高まります。サイバー攻撃や不正アクセスで情報が漏洩すれば、社会的な信頼を失い、事業の継続すら危ぶまれるかもしれません。このようなリスクを避けるためにも、適切なID・パスワード管理が企業には求められます。
便利なツールの導入により、運用コストの削減やセキュリティ強化、コンプライアンス向上などの効果が期待できます。この機会に導入を検討してみてはいかがでしょうか。
