賢く安全なパスワード管理

カテゴリー： 組織・人事

公開日 2023.08.09

現在、何個のパスワードをお持ちですか？

現代では私生活においてもビジネスにおいても、日々何らかのITサービスを利用していることと思います。そして、Windows、勤怠システム、スケジューラ、生産管理システムなど、システムの数だけ個人を識別・認証するためのIDとパスワードが存在しています。

パスワードの使いまわしはセキュリティの観点では論外ですが、複数桁の英数字記号の羅列を脳内にのみ記憶しておくには、どうしても限界があります。

パスワード管理を取り巻く環境

ソリトン社調査の昨年の日本人パスワード漏洩ランキングでは、「password」や「12345678」等の簡易に予測可能なパスワードが未だに利用されているのが実態です（図表１）。

パスワードの複雑性を上げることでセキュリティ自体は向上しますが、分析・解析も技術的には可能ですし、パスワードのメモが漏洩してしまったりする可能性も捨てきれません。

そこで、多要素認証（Multi-Factor Authentication、以下MFA）というアカウントやシステムへのアクセスを保護するためのセキュリティ手法が注目されています。これは、通常のIDとパスワードだけでなく、追加の認証要素を必要とするものです。

一般的に次のような要素が使用されます。

1. 1.ハードウェアトークン：ハードウェアデバイス（例：セキュリティキー、USBトークン）を使用して、追加の認証要素を提供します。ユーザーは、デバイスに挿入するなどして、正当なユーザーであることを証明します。
2. 2.ソフトウェアトークン：スマートフォンアプリやコンピュータソフトウェアなどのソフトウェアを使用して、追加の認証要素を提供します。トークンは、生成される一時的なコードやワンタイムパスワード（OTP）などを使用して認証を行います。
3. 3.生体認証：指紋認証、虹彩スキャン、声紋認証などの生体情報を使用して、ユーザーを識別します。生体認証は個人の固有の特徴を利用するため、高いセキュリティを提供します。

これらの要素を組み合わせることで、「仮にIDとパスワードが漏洩してしまったとしても、生体認証での認証ができないため、第三者はシステムにアクセスできない」という堅牢な環境が実現できます。

パスワード統合管理＋多要素認証

IIJはクラウド型のID管理・認証管理サービス（IDaaS）をクラウドサービスとして提供しています。機能としては大きく２つあります。

一つは、シングルサインオン（SSO）機能です。これは、複数のサービスでそれぞれ存在している複雑なパスワードをシステムで統合的に管理して一つのIDとパスワードでまとめ、ログインできる技術です。これにより、複数のIDやパスワードを覚える必要がなくなり利便性が向上します。

もう一つが前述した多要素認証です。ユーザ単位で選べる認証要素を設定することができ、「汎用的なメール OTP（One Time Password）認証」、「独自スマートフォンアプリを利用したアプリ認証」、「端末を制限するデバイス証明書認証」といったように、多岐にわたる認証要素を提供しています。

その他、世界中で利用されているMicrosoft365や国際認証規格であるFIDO2認証済みサービスとの連携などの各種機能も拡充しています。

パスワードを見直す際に、合わせてパスワード管理方法も見直してみてはいかがでしょうか？