大量の情報を処理して多くの成果を出すためには、ITシステムの活用が欠かせません。
多くのシステムは不正な利用を防止するために、IDとパスワードを組み合わせて利用するアカウントを設定しています。
しかし、セキュリティ意識が向上している現在においても、不正アクセスや情報漏洩のセキュリティインシデントは後を絶ちません。
アカウント情報が流出して不正に機密情報を奪取されてしまうケースは数多く存在します。
全てではありませんが、この現状は増加し続けるアカウントと付随するパスワードの管理を適切に行えないことも原因の一端と考えられます。
この記事では、重要なパスワードをどのように管理するべきかを考え、さらに安全にシステムを利用する方法を紹介します。
パスワード管理に潜むセキュリティリスク
複数システムやサービスを活用して業務を行なう現代のビジネス環境では、管理するべきアカウントの数が増加し適切な管理が難しくなります。
管理するべきパスワードが複雑
パスワードは自分が覚えやすければよいものではなく、下記のような条件が存在することが一般的です。
1.複雑性
小文字・大文字・数字・記号を組み合わせる、推測されやすい英単語や生年月日などを避けるといったルールが該当します。
クラッカーが不正なログインを試みる際に、小文字だけのパスワードよりも数字や記号が含まれている方が解読を困難にするため、セキュリティが向上します。
また、辞書に掲載されている英単語は「辞書攻撃」と呼ばれる手法で突破される危険があり、個人の生年月日はアカウントの持ち主の情報から推測することが可能となります。
2.文字数
8文字以上の文字列などの条件が該当します。
文字数が多いほどパスワード文字列を解析することが困難になるため、セキュリティが向上します。
3.使い回しの禁止
各サービスのパスワードを同一の文字列にすることを禁止するルールです。
万が一特定サービスのパスワード情報が漏洩してしまった場合、他サービスに対して同じパスワードを入力することでログインが成功してしまうリスクを削減します。
パスワードの使い回しについては、こちらの記事でも詳しく解説しています。併せてご覧ください。
パスワードの使い回しを防ぐ方法!原因と対策を明確にしよう
管理するべきアカウントが多い
シングルサインオンなどの仕組みを利用していない場合、アカウントはサービスごとに管理することになります。
複数のアカウントに対して前述した条件のパスワードを設定した場合、利用する全てのログイン情報を暗記することも困難です。
近年ではWebサービスやクラウドサービスの活用や、サービスの連携をしながら業務を行なうことも珍しくありません。
管理するアカウント数が増加傾向にある企業も多いでしょう。
このような状況で適切にパスワードを管理するためには、どのような方法が考えられるのでしょうか。
セキュリティ対策を兼ねるパスワード管理方法
複数存在するアカウントに対応するパスワードを管理するためには、下記の方法が考えられます。
パスワード管理ツールを利用
ローカル端末にインストールするタイプと、クラウド上で動作するタイプに大別されます。
パスワード管理ツールがシステム毎にIDとパスワードを記憶し、ログインなど必要なタイミングでパスワード情報を取り出して利用します。
ツールに記憶させたパスワードは厳重なセキュリティで保護されるため、漏洩の心配は少ないと言えるでしょう。
クラウド型であれば異なる端末からパスワード情報へアクセスすることが可能です。
ただし、 パスワード情報がクラウドサービス提供元の環境に保存される、サービス自体がサイバー攻撃の被害を受ける可能性など、クラウド環境であることを理解して利用する必要があります。
強固なパスワードの自動生成機能や利用しているパスワードの強度判定など、情報の保存以外の機能を搭載したツールも多く存在します。
ブラウザのパスワード管理機能を活用する
多くのWebブラウザでは、各サイトへのログイン情報を保管する機能が搭載されています。
サイト毎のパスワードを暗記する必要がなく、パスワードを手入力する必要も無いため効率良くログインを行えるでしょう。
パスワードがどの程度の強度で守られているのかはブラウザの開発元に依存するほか、クラウドでの共有機能を活用する場合は、社外の環境に情報が保管されることになります。
全てが自社環境で完結しないことを前提として利用しましょう。
パスワード管理台帳を作成する
Excelなどのソフトにアカウント情報を記載し、一元管理する方法です。
前述のパスワード管理ツールと比較してセキュリティ強度は落ちますが、一般的なソフトウェアで実現でき、使い方を学習する必要の無い点がメリットです。
ただし、セキュリティ対策の観点では望ましい方法とは言えず、情報漏洩などのセキュリティ事故に繋がる恐れがあることは十分に考慮する必要があります。
注意点として、パスワード管理台帳は必ずパスワード保護を施すこと、第三者がパスワード管理台帳であることを推測し辛いファイル名とすることが大切です。
コアパスワードを活用して暗記する
IPAより、パスワードの使い回しを防止し、かつ複雑性を維持したパスワードの作成方法が提唱されています。
自分だけが知っている複雑なパスワード文字列を作成し、ログインするサービスに応じた識別子を繋げる方法です。
この方法であれば1つのコアパスワードを暗記することで、サービス毎に異なる強固なパスワードを使用することが可能です。
パスワード管理自体を排除するアプローチ
前述したパスワード管理はセキュリティ向上のために有効ですが、現代では管理するべきアカウント情報自体を削減する仕組みも存在しています。
生体認証
人間の身体情報を利用して認証を行なう方法です。
パソコンやスマートフォンで行なう生体認証では、指紋や顔を用いることが一般的です。
キーボードから文字列を入力するパスワードと比較して、下記のメリットがあります。
1.パスワード管理が不要
文字列を覚える必要がなく、自分の身体情報がそのまま認証情報となります。
そのため、煩雑化しやすいパスワード管理の負担が大きく削減されます。
2.パスワード忘れや入力間違いによるロックが発生しない
キーボードからの入力操作が発生しないため、認証デバイスが正常に動作できる環境であれば認証ミスは基本的に起こりません。
パスワード変更直後は特にパスワードの入力ミスが発生しやすく、複数回間違えればロックしてしまう恐れもあります。
利用者の利便性はもちろん、社内システムであればIT管理者の負担軽減にも繋がると考えられます。
3.不正ログインのリスクを軽減
文字列のパスワードを入力する仕組み上、なりすましによる不正ログインリスクを解決することが困難です。
誰が入力しても同一の文字列であり、アカウント所有者本人の入力であることを証明することが難しいためです。
本人の身体情報を利用する生体認証であれば、なりすまし自体を困難にすることができます。
おすすめは顔認証システム
前述した生体認証のひとつである顔認証システムは、カメラで映した顔を認証に利用します。
上述した生体認証のメリットに加えて、顔認証には以下のメリットもあります。
1.完全な非接触認証
カメラで映した顔を読み取るため、認証デバイスと身体の接触を完全に無くすことが可能です。
コロナ禍の感染防止対策としてだけではなく、日常的な衛生面でもメリットと言えるのではないでしょうか。
2.高い認証精度
近年は、マスクやサングラスを着用していても高い精度で認証できる顔認証システムも存在しています。
1秒未満で認証が完了する製品も多く存在しており、カメラへ少し顔を向けるだけで認証が完了します。
これにより認証作業に伴う利用者のストレスや手間を軽減でき、セキュリティと効率の両立に繋がるのではないでしょうか。
シングルサインオン
1度ログイン認証を行なうことで、複数のシステムやサービスの利用が可能となる仕組みです。
これによりアカウント情報を複数覚える必要がなくなり、かつログインの手間も削減されるため多くの企業で導入されています。
シングルサインオンと顔認証システムを組み合わせることで、利用者のログイン負担はさらに削減されます。
1度顔認証を行なえば複数システムを利用できる環境は効率的であり、不正ログインのリスクも大きく抑えることに繋がると考えられます。
シングルサインオン機能を提供するサーバーが障害などで停止した場合、シングルサインオンの対象となっているサービス全てにログインできないなどの大規模障害に発展するリスクがある点には注意する必要があります。
株式会社イオンファンタジーでは、顔認証SSOを導入し、パスワードレス化とセキュリティ強化を同時に実現しました。これまで社内システムへのログインはシステムごとに異なるID・PWで行っており、セキュリティ上のリスクや非業務効率が課題となっていました。顔認証SSOを導入したことにより、年間で約6,000時間の省人化が見込まれます。さらに、パスワードを忘れた際の問い合わせやその対応工数の削減などにも効果が期待できます。
パスワード管理のためにはツールの利用や工夫も必要ですが、システム的な対応でアカウント保有者の負担が無くなるのであれば理想的です。
認証方法の進化はセキュリティと効率の両立を実現する
様々なシステムが複雑に連携する現代のビジネス環境では、以前のようにアカウント情報を人間が暗記しておくことは困難になってきました。
しかし、覚えやすいパスワードを設定する、メモを残しておくといった対策は、セキュリティの観点から望ましいとは言えません。
考えられる対策としては、厳重にパスワードを保護できるパスワード管理ソフトの利用やパスワードの入力機会を削減する認証システムが挙げられます。
コストや利用するシステムによって選択することとなりますが、セキュリティ品質や効率の面では生体認証の利用が有力と考えられるのではないでしょうか。
文字列のパスワードは情報漏洩により無力化されてしまう課題があり、入力を盗み見られる、ランダムな文字列を何度も入力されて突破されるといったリスクが常に存在するためです。
顔認証システムはシステムのログインに利用するだけではなく、オフィスや特定区画の入退場など、多くの場面で非接触認証を実現する技術です。
今後を見据えて、自社にマッチしたパスワード管理方法や認証システムを検討するとよいでしょう。