テレワーク業務のIDとパスワード、どう管理すればいい?
総務省が発表した「情報通信白書令和4年版 HTML版、データ集」によりますと、業務でクラウドサービスを利用していると答えた企業は毎年増加を続け、最新データの2021年には7割にも上ります。
インターネットに接続できる環境さえあればどこからでも業務が行えることから、テレワークの浸透と共に、クラウドサービスを利用する企業は、今後も増加していくと予想されます。 そこで重要となる、クラウドサービスのIDとパスワードの管理について、気になる点をまとめてみました。
図引用:総務省|https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf306000.html#d0306220
目次
パスワードの変更は必要?不要?
パスワードの定期変更が不要になった理由
IDとパスワードの管理の必要性
高性能なIDaaSソリューション OneLogin
パスワードの変更は必要?不要?
各種クラウドサービスを利用するためには、サービス個々にIDとパスワードを入力する必要があります。
企業としては、これらをどのように管理すべきなのでしょうか。
従来は「同一のパスワードを長期間使い続けることはせず、定期的に変更しましょう」といわれていたものが、
ここ数年の間に「パスワードの定期変更は必要ない」という認識へと変わってきました。
本当にパスワードを定期的に変えなくても安全なのでしょうか? 認識が大きく変わった背景を見ていきたいと思います。
パスワードの定期変更が不要になった理由
2018年に総務省から「パスワードの定期変更は不要である」との発表がなされました。その後、現在に至るまでこの方針に変更はありません。
また内閣サイバーセキュリティセンター(NISC)が発表する「インターネットの安全・安心ハンドブック」でも、同様の記載が見られます。
総務省
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
内閣サイバーセキュリティセンター(NISC)
インターネットの安全・安心ハンドブック Ver 4.20(令和4年2月1日)(p.61)
「第3章1-8 パスワードの定期変更は基本必要なし。ただし流出時は速やかに変更する」
https://security-portal.nisc.go.jp/handbook/handbook-03.pdf
定期的なパスワード変更が必要なくなった理由は、パスワードの作り方がパターン化して推測しやすいものになりがちであること、そして複数のサービス間で同じパスワードを使い回す傾向が高まるためです。
アカウントが乗っ取られたりサービス側からパスワードが流出したりしていなければ、パスワードを変更する必要はなく、強固なパスワードをそれぞれに設定することが重要であるといわれるようになりました。
近年は、Webサイトへのサイバー攻撃から大量の個人情報が漏洩する事件が頻発しています。「パスワードを使い回しているかも?」と心当たりのある方は、今すぐパスワードの見直しをしましょう。
IDとパスワードの管理の必要性
クラウドサービスの数だけ固有のパスワードが必要になるならば、当然、パスワードを管理する必要性がでてきます。パスワードをメモ帳やエクセルなどで管理している人もいるかもしれませんが、セキュリティの観点からすると、盗難や紛失、盗み見などで漏れる危険性があり、安全とはいえません。
パスワード管理でよく利用されているものとしては、パスワードマネージャーがあります。これは、パスワードを保存してくれるWebブラウザの機能で、すでに利用されている方も多いのではないでしょうか。
パスワードマネージャーのイメージ
パスワードマネージャーは、複数クラウドサービスのパスワードを保存することができますので、便利な機能ではありますが、主に個人が利用するもので、残念ながら情報システム部門が社員のパスワード管理をすることには向いていません。
業務利用のパスワード管理を個人に任せてしまうと漏洩の危険性がありますし、さらに社員自身がパスワードを忘れて業務がストップしてしまう危険性もあります。そのため、「IDとパスワードの管理体制を強化するシステム」の導入を検討される企業が増えています。
では、企業が社員のIDとパスワードを管理する場合、どのような機能を選ぶべきなのでしょうか? それを考える前に、まずはテレワーク勤務が増えたことによってどのような課題がでてきているのかを整理してみましょう。
これらの課題を解決しないまま放置しますと、業務効率の低下だけでなく情報漏洩のリスクにも繋がりますので、課題を認識されているようでしたら、ID管理システム(IDaaS)の導入を検討してみてください。
高性能なIDaaSソリューション OneLogin
OneLogin(ワンログイン)というサービスをご存知でしょうか。
OneLoginは、業務で利用するさまざまなクラウドサービス、例えば、メールやドキュメント作成のMicrosoft 365 やGoogle Workspace、営業支援のSalesforce、各種チャットツールなどに、1つのIDでシングルサインオンするための認証サービスです。
シングルサインオンとは、たった1つのログインID・パスワードで、複数のシステムの利用を可能にする仕組みを指します。
OneLoginの利用によって、複数のクラウドサービスをワンクリックだけで安全に利用できるようになります。
わずらわしいログインID・パスワードの入力が一度で済ませられるだけでなく、社員自身によるパスワードの管理も不要になります。
また下記のような機能も提供されています。
多彩な機能
① 複数の認証方式をサポート
SAML認証、FORM-BASED認証(IDパスワード代行入力)、ログインフォーム自動検出や登録など、豊富な認証方式をサポートしています。
② ユーザーの自動作成や削除が簡単(ユーザープロビジョニング機能)
IDの追加・変更・停止・削除や、ライセンスの付与・削除などを、クラウドサービスにリアルタイムに反映することができますので、人事異動などに伴う変更管理が容易に行えます。
③ 二要素認証のアクセスコントロールが可能
多要素認証を簡単に実装することができます。
④ アクセスコントロール
社外からのアクセスを禁止にするなどのアクセス制御の設定が可能です。
他にイベントログレポート機能も充実しています。非アクティブのユーザーや、アプリケーション利用状況、ログインアクティビティなどの状況把握も可能です。
信頼性の高いサービス
OneLoginは世界200カ国以上※1、5,500社以上のお客様に利用されており、6,000種類を超えるクラウドサービスとWebアプリケーションと連携が可能※2です。なお、このようなサービスを利用する上では、システムダウンよる業務影響について留意していくことが必要ですが、OneLoginは 2021年のアップタイムが99.97%となっており非常に信頼性が高いサービスであるといえます。※3
※1 https://www.cybernet.co.jp/onelogin/
※2 https://www.onelogin.com/
※3 https://www.onelogin.com/status
導入効果・お客様の声
- 多彩な認証連携がサポートされており、導入しやすかった。
- ADと連携させるためにわざわざ専用サーバーを構築する必要がないのが良い。
- リアルタイムでクラウドサービスのアクセス制御設定が変更できるので、運用効率化を図ることができる。
- 多要素認証(MFA)対応やADを廃止して、ディレクトリサービスのクラウド化への移行を実現した。
- 日常的に社員からパスワード忘れやパスワードリセットの問合せが多かったのが解消された。
- 積極的にクラウドサービスを活用できるようになり、業務の効率が上がった。
OneLoginについて、「導入がしやすい」「運用面での効率化が図られた」と挙げるお客様が多いことがわかります。
さらには「業務生産性の向上が実感できた」という声も聞かれます。
ITセキュリティのご相談は三菱HCキャピタルITパートナーズへ
私ども三菱HCキャピタルITパートナーズは三菱HCキャピタルグループのIT戦略子会社として位置付けられ、PCを中心としたレンタルおよびPCの運用を軸とし、さらにはITセキュリティ全般に関するサービスを取り扱うセキュリティ・ソリューション・アグリゲーターとして、お客様毎のITセキュリティ戦略に寄り添った活動を推進しております。
OneLoginにご興味ございましたら、弊社までどうぞお気軽にご連絡ください。