エンジニアに最適なID・パスワード管理の方法は？「IDaaS」と「シングルサインオン」を解説

昨今はさまざまなクラウドサービスやアプリが増えているため企業ごとのSaaSの利用数も増加し、それに伴って1人が保有するID、パスワードも増えています。それぞれのID、パスワードが異なれば、それを全て管理することは不可能に近いのではないかと。全てを覚え続けるのも困難ですし、どこかに書いてしまったらセキュリティ面で非常に危険です。

企業にとっては、従業員の入社・退社におけるアカウント管理も課題となっています。退職してもアカウントをそのまま放置していると、セキュリティのリスクにつながります。退職者のアカウントのパスワードが分からず、社内では誰もログインできないという状況に陥っている企業も多いのではないでしょうか。アカウントの一元管理を行えるようにしておくと、退職者は社内での利用アプリ全てにログインできないよう設定できるため、情報システム部門やIT部門の業務効率化にもおすすめです。

そうですね。ユーザーにパスワード管理を任せていると、短く簡単なパスワードや、パスワードの使い回しなど、セキュリティ上の危険がかなり高まります。ID・パスワード管理システムを利用することでこれらの不安を払拭できるため、どのような業種・業種でも需要が高まっています。

大企業ではコーポレートガバナンスの観点から「当たり前のこと」になりつつありますが、最近の傾向として中小企業で利用されるケースも増えています。実は中小企業においても、これまで退職者の管理が手動だったり、手が回らなかったりするケースが多々ありました。そうしたケースにこそID・パスワード管理を自分たちだけで行わず、外部のシステムを使うのが良いと思います。情報漏洩やセキュリティ意識が高まっている今、退職者のアカウント放置を解決しようとID・パスワード管理システムを導入する中小企業が増えています。

やはりパスワードを忘れてしまうというのは、エンジニアに限らずどの業種でも多い悩みだと思います。セキュリティを強化するためには、パスワードを強固なものにする必要があります。しかしそうなると、長く覚えにくいパスワードとなり、それを人間の頭で覚える、個人で管理するというのはもはや限界に近づいています。

それ以外にもよく聞くのは、ID・パスワードの使い回しです。プロジェクトによっては、ツールのアカウントを他のメンバーと共有することもあるかもしれませんが、セキュリティ上のリスクが高いので避けた方がいいでしょう。

大まかな傾向でいうとオンプレミス型は、カスタマイズの柔軟性はあるものの初期費用が高い傾向にあります。また、ユーザー数が数千単位になるとコスト面でメリットがあるかもしれませんが、非常に運用の負担が大きいです。サーバールームを設置する場合、物理的な安全性も求められますし、地震や災害への対応、夜間の警備などのコストも必要になります。

クラウド上で運用したとしても、作業の負担は大きくなります。オンプレミス型と同じように保守やアップデート、運用を常に行わなければなりません。脆弱性の報告というのは毎週のように上がってきますし、オンコールのスタッフも必要です。サーバー落ちに対する体制作りも求められます。これらを考えると、運用を全て任せられてセキュリティ面で安心感のあるIDaaSを選ぶのが一番だと思います。

コーポレートガバナンス上もセキュリティ管理の重要度が高まっている今、IDパスワード管理は外部の事業者に任せて企業は本来の業務に専念するのが、最も安全で効率的です。

「GMOトラスト・ログイン」は IDとパスワードを一元管理し、ログインをセキュアで簡単にする国産のクラウドサービス（IDaaS）です。社員はさまざまな業務利用のSaaS、社内システムへGMOトラスト・ログインを入口にアクセスします。そのため社員が業務時にログインする必要があるものはGMOトラスト・ログインのみとなり業務でのID・パスワードの煩雑さから解放されます。

また、FIDO認証を併用するとログイン時のパスワードレスも実現できるため、もはやID・パスワードを覚えるという概念からも解放されます。また、自社開発しているため、UI/UXからサーバーサイドまで、お客様のニーズにスピード感を持って対応することが可能です。

国産のIDaaSの方が、日本の企業文化に合わせて使いやすいと思います。海外のサービスでは英語のメールが送られてくるなど、UI／UXで戸惑いを感じることも。従業員が安心して使えることを考えると、やはり国産の方がいいのではないでしょうか。

業務上で使用するアプリと連携しているものを選ぶのが重要です。業界、職種によって必要なアプリは様々だと思いますが、それら全てをカバーできなければ、IDaaSを利用できない部署が出てきてしまうかもしれません。

「GMOトラスト・ログイン」は7,800以上のクラウドアプリやシステムと連携していますが、それには安全性の高さが求められます。「GMOトラスト・ログイン」を運営するGMOグローバルサイン株式会社はSSLサーバ証明書を発行するパブリックな電子認証局としてセキュリティサービスを提供してきた20年以上の実績があり、重要な情報を守るノウハウでパスワードを保護しています。また内部統制の国際規格であるISOから、情報セキュリティ管理において安全なサービスであることが認められています。

定期的に外部機関によるペネトレーションテストを実施しています。ペネトレーションテストとはホワイトハッカーがサーバーやシステムの脆弱性を検証するテストのことで、実践的なテストに基づいて随時セキュリティ強化のアップデートを行なっています。

サイバーセキュリティにおける不正アクセスの約8割が「システムログイン時の脆弱性」ということが分かってきています。GMOトラスト・ログインを利用したクラウドへのログインを構造化することで、パスワードの配列の複雑化や認証強化に対応できます。

「GMOトラスト・ログイン」にログインさえすれば、画面にあるアプリやサービスをクリックするだけで、そのサービスページに遷移することができます。それぞれのサービスのIDやパスワードを入力する必要はありません。いわゆる「シングルサインオン(Single Sign-On)」という仕組みです。さらに、FIDO認証を組み合わせることでGMOトラスト・ログインへのID・パスワード入力も不要となり、パスワードレスが実現します。

ID・パスワードを管理する社内システム管理、情報システム・IT部署での運用リスクも軽減でき、「社員にはIDaaSへのログインパスワードのみを教え、IDaaSからログインする各システムのパスワードは教えない」という運用も可能です。

ダッシュボードから簡単に権限付与やユーザー追加などのアカウント管理が可能です。異動や組織変更に伴う変更も簡単に可能です。グループ単位での管理もできるので、開発チームや部署ごとにアプリの利用を許可することも出来ます。

各種のSaaSの利用状況やパスワード変更などの履歴（ログ）を取得し、レポートとしてエクスポートすることも出来ます。監査業務などでも活用いただけます。

さまざまな仕組みを使って、IDとパスワードは暗号化した状態で保管しており、ユーザーが求める必要な時以外は復元できないようになっています。そのため、もしデータベース自体が漏れたとしても悪用できないようになっています。

実は世界のトレンドで言うと、パスワードの頻繁な変更が推奨されていません。パスワードを設定する時に強度が出ることがあると思うのですが、そのときに強力なパスワードだと表示されるように設定することが重要です。

ただ、そういったパスワードは複雑であるため、覚えるのは困難だと思います。最近では強固なパスワードを設定し、シングルサインオンからアクセス、さらにシングルサインオンへもFIDO認証などでパスワードレスでログインするという、いかにログインをスムーズに効率化するかがトレンドになっていると思います。もちろんセキュリティ面の担保があってこその流れとなります。

パスワードの問題以前に、メール自体が安全性の高いものではないです。メールを暗号化できるサービスもありますが、送受信の双方がこのサービスを利用していなければいけません。そのため、もし重要なデータを送る場合はメールではなく、ストレージに入れて2段階認証などを設定しておくことをおすすめします。

大企業でもサイバー攻撃を受けるなど、セキュリティに関するニュースが増えてきており、セキュリティ対策への関心も高まっていると思います。その中で私たちは、企業のガバナンスとセキュリティを高めることを最優先に商品を提供していきたいと考えています。その中でも重要となるIDとパスワードに関する業務やコストはなるべく軽減し、本来の企業活動に注力していただけるようなお手伝いができればと思っております。