企業のIT管理者にとって必須業務のパスワード管理ですが、多くの企業が不十分な管理体制により、セキュリティ上のリスクを抱えているのが実態です。セキュリティ事故を防ぐためにIT管理者が知っておくべき、パスワード管理の基本と対処法を解説します。
目次 |
企業のパスワード管理に関する最新調査結果
企業の基幹システムにアクセスしたり、業務に必要なアプリケーションを利用したりするために用いるIDやパスワードを厳重に管理することは、IT管理者にとっては当たり前のこととして認識されているでしょう。しかし実態は、ずさんなパスワード管理をしている企業も少なくないのが実情です。
パスワード管理が不十分な企業は多い?
HENNGE株式会社が2020年に実施した、企業のパスワード管理に関する実態調査があります。これによると、自社のシステムにログインする方法は『ID・パスワードのみ』と回答した企業が88.4%です。
さらに全体の54.9%が、複数のシステムへのログインに、同じパスワードを使い回していると回答しています。
本来であれば、同一パスワードの使い回しは避けるというのが、パスワード管理の基本でしょう。しかし同じパスワードを複数のシステムへのアクセスに使っている企業が多いのが実態なのです。
その理由として、上記54.9%の企業のうち67.0%が、パスワードを管理するのに手間がかかると訴えています。つまり管理が煩わしいがために、同じパスワードを社員が使い回している企業が多いということです。
参考:企業のパスワード管理に関する調査結果|HENNGE株式会社
厳密な集中管理や権限管理が必要
このように、ずさんなパスワード管理によってセキュリティ上のリスクを抱えている企業は、意外なほど多いのが実態です。
社員が個々でログイン情報を扱っていたり、社員間でIDやパスワードを使い回していたりすると、誰かの管理ミスによって情報が流出してしまった場合、すべてのシステムが被害を受けてしまう可能性があります。
こういった事態を避けるために、企業のIT管理者はパスワードの集中管理と徹底した権限管理をしなければいけません。
システムのログインに必要なパスワードは、IT管理者が責任を持って集中管理するとともに、各システムの利用者に応じて、適切なアクセス権限の付与を行う必要があります。
個人にパスワード管理を任せるのは限界がある
企業によっては、個々の社員にパスワードの管理を任せている場合もあるようです。しかし、パスワードの管理を社員個人の裁量に任せるのはリスクが高く、セキュリティ事故が起こる可能性が高まります。
大量のパスワードを個人が管理すると使い回しが発生する
個人にパスワードの管理を任せている場合、企業側がいくらパスワードの使い回しを禁止していたとしても、同じパスワードを別のシステムにも利用する社員が出てきてしまうでしょう。前述の調査からも分かるように、多くの企業の社員が、パスワード管理は手間がかかり、煩わしいと感じているからです。
初めのうちは別々のパスワードを使っていても、徐々に複数のパスワードの管理が面倒になり、同じパスワードにしてしまう可能性は十分に考えられます。
また、付箋にパスワードを記載してデスクに貼っておくなど、アナログな管理をしたり、類推しやすいパスワードを使うようになったりする場合も多いでしょう。
パスワードの設定や変更ルールを、企業ユースと個人ユースの場合とで同じように捉えてしまい、ずさんな管理をしているケースは珍しくありません。
近年ではパスワードリスト攻撃による被害も急増
さらに近年では、いわゆる「パスワードリスト攻撃」による被害が急増しているので、パスワードの管理には特に注意しなければいけません。
パスワードリスト攻撃とは、悪意を持った第三者が企業のシステムにログインするためのIDやパスワードを不正に入手し、個人情報を盗み取ったり、機密情報を漏えいさせたりするサイバー攻撃の一種です。
例えば、企業のECサイトに不正ログインした攻撃者がポイントを不正利用した事件や、企業のデータベースに保存されていた個人情報が改ざんされた事件などが、実際に起こっています。
個人にパスワードの管理を任せておくと、徐々に管理がずさんになり、こういったサイバー攻撃を招いてしまう可能性が高くなります。
定期変更は意味がない?
パスワードを不正利用されないようにするには、定期的なパスワードの変更が必須だとこれまでいわれてきました。しかし、アメリカ国立標準技術研究所(NIST)が2017年に発行した「電子的認証に関するガイドライン」には、パスワードは定期変更すべきではない旨の記載がされています。
その理由として、パスワードの定期的な変更を強制された場合、システムのユーザーは頻繁に変更しても覚えておけるような、比較的簡易なパスワードにしてしまいがちだからです。
日本でも、総務省が管轄する内閣サイバーセキュリティセンター(NISC)から、パスワードの定期的な変更は不要との発表がされています。
つまり、パスワードの管理を個人に任せて定期的に変更させるよりも、IT管理者がしっかりと集中管理・権限管理をした上で、社員には固有のパスワードを使ってもらう方が、セキュリティ上のリスクは低いと考えられます。
参考: 安全なパスワード管理|総務省 国民のための情報セキュリティサイト
個人に頼らずシステム化で対応する
このように、企業がシステムのパスワードを管理する際には、社員個人に任せずIT管理者が集中的に管理する必要があります。その際に必要となるのが、「二段階認証」と「SSO」を中心とした、より安全でシステマチックな管理体制の構築です。
「二段階認証」と「SSO」
『二段階認証』とはIDやパスワード以外に、もう一つログインに必要な認証を加えることです。例えば、スマートフォンのアプリやセキュリティトークンなどがログインに必要になる仕組みにしておけば、パスワードが外部に流出してしまった場合にも、不正なアクセスを防げます。
また『SSO(シングルサインオン)』と呼ばれる、一つのID・パスワードによる認証だけで、複数のシステムやアプリケーションにログインできるようにする仕組みも活用するとよいでしょう。
社員は複数のパスワードを記憶あるいは記録しておく必要がなく、パスワードを管理する負担や情報流出のリスクを軽減できます。
なお、二段階認証システムやSSOを導入する際には、専用の管理ツール(パスワードマネージャー)の導入をおすすめします。
どちらの機能も実装されているツールが多く、複数のパスワードを一元管理するのに便利です。自社の既存のシステムのまま導入・運用できるものを選択しておけば、管理体制を大きく変えることなく、社員がスムーズに利用できるようになるでしょう。
セキュリティレベルをチェック
パスワード管理ソフトを導入する際には、できるだけセキュリティレベルの高い製品やサービスを導入することが重要です。管理ソフトには無料で利用できるサービスもありますが、有料版でしか利用できない機能があるケースは珍しくありません。
有料版だからセキュリティが強固であるとは一概にいえませんが、できるだけ法人の導入実績が豊富で、セキュリティの高さに定評のある製品を慎重に選択することをおすすめします。
まとめ
企業のパスワード管理の実態と、パスワードの集中管理・権限管理の必要性を解説しました。IT管理者にとっては、IDやパスワードの使い回しが危険であることは当たり前の話かもしれませんが、実際には多くの企業でパスワードが使い回されているのが実態です。
その背景としては、主に複数のパスワードを覚えたり管理したりするのに手間がかかると感じる社員が多い点が挙げられます。
そのため安全にパスワードを管理するには、社員個人に管理を任せるのではなく、パスワード管理ツールなどを活用して、システマチックに管理することが重要です。二段階認証システムやSSOの機能を利用すれば、社員は複数のパスワードを覚える必要がなく、情報が流出しても被害を最小限に抑えられます。
現状パスワードをアナログに管理している企業は、この機会にパスワード管理のためのシステムを導入してみてはいかがでしょうか。
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 1,600社、超高速開発による基幹システム構築 360社、セキュリティ 1,000社の実績があります。 |
