コミュニティ
HPE Blog, Japan
1819503 メンバー
2863 オンライン
109603 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

煩雑なパスワード管理に有効な「パスワードマネージャー」。ビジネス利用には注意点も?

‎08-14-2024 04:00 PM

 

煩雑なパスワード管理に有効な「パスワードマネージャー」。ビジネス利用には注意点も?煩雑なパスワード管理に有効な「パスワードマネージャー」。ビジネス利用には注意点も?

クラウドサービスの利用が増える中、多岐にわたるパスワードの適切な管理方法に悩む方は多いのではないでしょうか。その解決策として登場したのが、パスワードマネージャーです。専用のツールを導入することなくブラウザの機能として利用できるものもあり、すでに利用している方もいるでしょう。今回はパスワードマネージャーの有用性、利用上の注意点などについて解説します。

 

 

パスワードの使いまわしを防ぐ「パスワードマネージャー」

パスワードマネージャーとは、クラウドサービスやWebサービスの認証に用いる複数のパスワードを1箇所で安全に保存・管理するためのツールです。

既存のアカウントの認証情報をすべて管理できるほか、ツールによっては認証情報を暗号化した状態で保管したり、第三者から推測されにくい文字列のパスワードを生成したりするなど、セキュリティを強化できる機能を備えるものもあります。

ビジネス用途、プライベート用途問わず、昨今ではWebサービスなどの利用が拡大しており、それに伴って利用時に必要な認証情報の1つであるIDとパスワードの重要性が増しています。パスワードマネージャーはこうした認証セキュリティを高めるのに役立つツールです。

 

パスワードマネージャーが求められる理由とは

 

管理するべきパスワードの量が増加

パスワードマネージャーが求められる背景は、先述の通り、Webサービスやクラウドサービスの拡大です。

トレンドマイクロが実施した「パスワードの利用実態調査2023」によれば、一人あたり平均14Webサービスを利用しているとされています。一般的にパスワードは長く複雑なものを設定することが有効とされていますが、そうしたパスワードを利用しているサービスの数だけ記憶しておくことは簡単ではありません。

83.8%がパスワードを使いまわし

パスワードマネージャーが求められる理由として、もう1つ重要なものがパスワードの使い回しの回避です。上記調査によると、Webサービス利用者のうち83.8%が複数サービスの認証に同一のパスワードを使っていることが明らかになりました。

メールアドレスやパスワードはひとたび流出してしまうと、犯罪者はユーザーがパスワードを使いまわしやすいという性質を利用し、その組み合わせを使ってほかのサービスへの不正アクセスを試みます。パスワードの使い回しは情報漏えいを一気に拡大させてしまう非常にリスクが高い行為です。

そのため、Webサービスのパスワードは原則として、すべて固有のものを設定することが必要です。しかし先述のようにWebサービスの利用が増加する中、それぞれを固有なものに設定して管理するのは難しいですが、パスワードマネージャーのように一括管理できるサービスがあればそうした負担を軽減できます。

 

パスワードマネージャーの種類

パスワードマネージャーは、大きく「ブラウザ型」と「アプリ型」に分けられます。前者の「ブラウザ型」は、Webブラウザに標準搭載されていたり、ユーザーが拡張機能として利用したりするものです。パスワードマネージャーを利用できるブラウザであれば、専用アプリを導入する必要はなく、認証情報を異なるデバイス間で同期することもできます。

後者の「アプリ型」には、クラウドサービスとして機能が提供されるものと、自身のパソコンやスマートフォンにアプリをインストールするものがあります。アクセスするシステムやWebサービスなどに応じて適切なID・パスワードの候補が表示され、ユーザーはその中から利用する認証情報を選択できます。

ブラウザ型でもアプリ型でも、ツールそのものにログインするためのパスワード(マスターパスワード)は必要です。裏を返せば、ユーザーはマスターパスワードさえ覚えておけば、利用したいシステムやサービスにログインできます。しかし、管理対象のすべてのパスワードはこのマスターパスワードに委ねられるので、ユーザーはマスターパスワードを適切な方法で保管しておく必要があります。

 

パスワードマネージャーを利用するメリット

パスワードマネージャーはいくつかのメリットがあります。

簡単な管理でセキュリティを強化

最大のメリットはパスワード管理の煩雑さを解消しながらセキュリティを強化できることです。複雑なパスワードを自分で考えるのは、意外と難しいですが、攻撃者から突破されにくいパスワードを自動生成できる機能があるため、セキュリティの強化が期待できます。

複数のデバイスで使えるものも

ブラウザ型もしくはクラウドでの利用方法を選択する場合は、デバイスを問わず利用できる点もメリットと言えます。パソコンやスマートフォンなど利用するすべてのデバイスに認証情報が同期されることはもちろん、スマートフォンでログインする場合はURLを基にアクセス先を判断してパスワードを自動入力できるため、業務を効率化できます。

パスワード以外の情報も管理可能

ツールによって異なりますが、中にはパスワード以外の重要な情報、例えばユーザーの氏名や住所、クレジットカードといった情報を管理できるものもあります。これらの情報をWebフォームへ自動で入力してくれるため、ログインプロセスが簡素化されます。



パスワードマネージャーの注意点と課題

パスワードマネージャーは非常に利便性の高いツールですが、利用に際しては注意が必要です。

1つ目は、ツール自体にセキュリティの問題(脆弱性)が存在する可能性があることです。実際に、過去に脆弱性が指摘されたパスワードマネージャーもあり、もしこの脆弱性が悪用されれば多数のユーザーのログイン情報が漏えいする可能性があります。

2つ目は、ベンダー都合によってサービス提供が終了する可能性が捨てきれないことです。他のサービスとの互換性がない場合は、保管した認証情報の移行が難しくなります。

3つ目は、「ブラウザ型」に存在する問題です。仮にデバイスがマルウェアなどの悪意あるウイルスに感染した場合、保存しているパスワード情報をすべて窃取されるリスクがあります。また、ブラウザにログインしたままデバイスのそばを離れた際に、第三者がデバイスを操作してパスワードを盗み取れるという側面もあります。

4つ目は、「アプリ型」で生じる問題です。信頼性の低いクラウド事業者のサーバーが攻撃を受けた場合、攻撃者が大量のユーザーの認証情報をダウンロードできてしまう可能性もあります。また、自分のパソコンやスマートフォンにツールをインストールして利用する場合であっても、デバイスの紛失や故障によって、ローカルに保管したすべてのパスワードにアクセスできなくなる可能性があります。

5つ目は、企業が主体となって従業員のログイン情報を一元管理できない点です。企業がパスワードマネージャーを利用する上では、エンドポイントセキュリティ製品に含まれるパスワードマネージャー機能を使う方法も考えられます。しかし、上述した通りセキュリティ上のリスクがある点を考慮する必要があります。

 

ログインプロセス簡素化と利便性向上を両立するHPE

ログインプロセスを簡素化しつつ安全性を高める方法としては、パスワードマネージャー以外にシングルサインオン(SSO)があります。SSOは一度のユーザー認証によって、複数のシステムやサービスの利用が可能になる仕組みです。通常、複数の業務アプリやクラウドサービスなどを利用する場合は、システムごとに認証が必要になります。SSOを利用すれば、認証にかかるユーザーの負担を軽減することが可能です。

SSOだけでもセキュリティを強化できますが、さらにセキュリティを高める方法としては、IDやパスワード以外に指紋など他の要素を使って認証を行う「多要素認証」があります。

ヒューレット・パッカード エンタープライズでも、多要素認証を採用したSSO製品を提供しています。セキュリティ強化と利便性を両立する1つの方法として、採用を検討してみてはいかがでしょうか。

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります