パスワードは、ITシステムを利用するための代表的な認証手段です。
しかし、同じパスワードを使いまわすことで、1つのアカウントが侵害された場合、他のアカウントにも攻撃が及ぶリスクがあります。
また、テキスト情報であるパスワードを利用すること自体がセキュリティリスクとなるケースも存在します。
このようなリスクを軽減するため、パスワード管理ポリシーを制定して安全性を高めている企業も多いでしょう。
また、近年では「多要素認証」や「顔認証」、「シングルサインオン」などの新しい認証手段が開発されています。
多要素認証は、パスワードの代わりに2つ以上の認証要素を要求し、セキュリティを高めることができます。
顔認証は、物理的なパスワードの代わりに人物の「顔」で認証を行うため、より簡便でセキュアな認証が可能です。
シングルサインオンは、1つの認証で複数のアカウントにアクセスできる仕組みであり、管理を簡素化し、セキュリティの向上にもつながります。
この記事では、パスワードに関するセキュリティの課題や、課題を解決する考え方を解説します。
パスワードのセキュリティを損なう原因
パスワード文字列を利用した認証方式は、第三者が入力しても認証を通過してしまう根本的な課題が存在しています。
しかし、適切な管理を行なうことが難しいことによりセキュリティリスクを増加させてしまうケースも多くあります。
管理するアカウントが多い
外部のサービスはもちろん、社内システムにおいても従業員それぞれのアカウントを登録することは一般的に行なわれています。
様々なサービスを利用する現代のビジネス環境において、強固なパスワードが設定されたアカウントをそれぞれ管理することは、適切な方法が用意されていない場合では大きな負担となります。
管理方法に関する制限
パスワード管理ツール等の仕組みがない状態では、複雑なパスワード複数管理することは困難と言えます。
意味のある単語や生年月日などの個人に紐付く文字列も、パスワードに使用する文字列としては望ましくないため、全てのパスワードを暗記することは難しいでしょう。
とはいえ、メモ等にパスワードを記録しておくことも推奨されません。
そのため、一定の複雑さを持った特定のパスワードを使い回すといった選択をしてしまうケースもあるのではないでしょうか。
使い回しのチェックが困難
原則的に、パスワードは本人以外には知られないように管理されます。
IT管理者であっても、利用者が設定しているパスワード文字列を知ることはできません。
そのため、万が一パスワードの使い回しが行なわれていても、基本的にそれに気づくことはできないと言えます。
パスワードの使い回しは避けるべきですが、アカウント管理の負担が大きいことも現実的な問題と言えるのではないでしょうか。
セキュリティを担保するためのパスワード管理とは?
複雑さを維持しながらパスワードの使い回しを防止するためには、どのような管理方法が考えられるでしょうか。
パスワード管理ツールを利用する
設定したパスワードを堅牢な環境で記憶し、必要な時に取り出せるパスワード管理ツールを利用することで、複数の複雑なパスワードを負担なく管理することができます。
パスワードを記憶するだけでなく、複雑なパスワードを適宜作成してくれる機能を搭載したツールも多く存在するため、利用しやすいツールを選定するとよいでしょう。
ツールによってはクラウド上にパスワード情報を保存する機能を備えており、デバイスを変更してもパスワード情報を変わらず使用することが可能です。
ただし、クラウド上にパスワードが保存されるため、サービス提供元の環境で情報漏洩が発生してしまうリスクも考慮し、利用は慎重に検討する必要があります。
ブラウザのパスワード記憶機能を利用する
Webサービスを利用するのであれば、ブラウザのパスワード記憶機能を活用することができます。
基本的に無料で利用可能ですが、こちらもクラウド上にパスワードが保存されることを念頭に置いて利用の判断をする必要があります。
また、パスワードを管理できる対象はWebブラウザでアクセスできるサービスに限られることにも注意しましょう。
IPAのパスワード管理ガイドラインを活用する
安全なパスワードを暗記しやすくする仕組みが、IPAにて公開されています。
複雑な文字列を使用したコアパスワードを1つ用意し、アカウント毎の識別子を繋ぐ方法です。
コアパスワードと識別子の組み合わせによりパスワード文字列が異なるため、使い回しを防止することが可能です。
利用者はコアパスワード1つと、識別子のルールを暗記することで各サービスへログインすることができるため、負担は少ないと言えるでしょう。
安全なパスワードを設定し、それを管理するためには人間の記憶だけでは非常に困難です。
適切なツールや仕組みを用意し、無理なく管理できる環境を整えることが大切です。
パスワードに代わるセキュリティの認証方式
適切なパスワードを設定することでセキュリティを強化することはできますが、パスワードという仕組み自体、安全性が高いとは言えません。
第三者であっても、正しいパスワードを入力すれば認証に成功してしまうためです。
この問題を解決するためには、パスワードに代わる認証の仕組みを利用することが有効です。
生体認証
IDとパスワードを入力する代わりに、生体情報を用いた認証を行なうことができます。
PCやスマートフォンであれば、指紋認証や顔認証が一般的です。
生体情報は偽装が難しく、第三者による不正アクセスが行なわれるリスクを大きく削減することに繋がります。
また、キーボードから文字入力を行なう必要がないため手間が少なく、パスワードを暗記する必要がない点も大きなメリットです。
多要素(2要素)認証
多要素認証とは、複数の認証手段を組み合わせた認証システムです。
通常のIDとパスワードに加え、認証コードの入力や生体認証を追加で求めることで、第三者による不正アクセスを防止することができます。
認証コードであれば、事前に登録したスマートフォンへ認証コードを送付する方法が一般的です。登録されたスマートフォンを持っている本人以外は認証コードを知ることができないため、コードを入力することはできません。
生体認証であれば、利用者本人の生体情報が必要となるため、コード入力の手間をかけずに安全な認証を行なうことができます。
シングルサインオン
1つのアカウント情報で複数のサービスへログインできる仕組みです。
管理やログイン作業の負担を大きく軽減することができますが、アカウント情報が漏洩すればシングルサインオン可能なサービス全てに不正アクセスされてしまうリスクもあります。
上述の生体認証や多要素認証と組み合わせ、容易に不正アクセスが行なわれないように対策することが重要です。
パスワード認証は特別な仕組みを用意しなくても利用できますが、セキュリティ面に課題が残ります。
認証方法を見直すことで、セキュリティの向上や従業員の負担軽減を見込むことが可能です。
セキュリティと効率を両立する認証方法
「生体認証」と「シングルサインオン」を活用することで、認証にまつわるリスクや負担を大きく削減することを期待できます。
生体認証とシングルサインオンの組み合わせ
前述のとおり、生体認証は文字列のパスワードと比較して不正アクセスが起こりにくく、認証の手間を削減することができます。
認証は生体認証で実施し、シングルサインオンにより他サービスへのログインを行なうことで、最低限のログイン作業で高いセキュリティを担保することが可能です。
顔認証の活用
生体認証の方式は複数ありますが、セキュリティや効率の観点で顔認証システムには大きな優位性があります。
スムーズな認証
カメラに顔を向けるだけで認証が完了するため、非常にスムーズなログインが行えます。
認証精度も高く、マスクやサングラスを着用していても認証できるサービスが多く存在しており、ストレスのない仕組みを構築することが可能です。
非接触
認証デバイスと直接接触する必要がないため、感染症対策としての効果を期待できます。
新型コロナウイルスだけではなく、インフルエンザやその他の感染症はパンデミックが発生すると業務に多大な影響を及ぼす恐れもあります。
少しでも感染症の予防に繋がることは、組織にとって大きなメリットと言えるのではないでしょうか。
上述の方法であれば、高いセキュリティを担保しながら効率的なアカウントの利用を実現することができます。
安全にビジネスを継続するために
現代のビジネス環境において、ITサービスの活用は多くの職種において欠かせない要素となっています。
それによりビジネスの発展や効率化を期待できますが、情報漏洩や不正アクセスなどのセキュリティインシデントが発生するリスクを無視することはできません。
IDとパスワードによる認証はコストが掛からず、誰にでも分かりやすい利点がありますが、そのセキュリティリスクは意識した方がよいでしょう。
利用者を認証する仕組みとして、強固で利便性の高い顔認証を選定することは、セキュリティリスクを大きく削減することができます。
また、シングルサインオンを併せて導入することで業務効率の向上も見込めるでしょう。