ID・パスワードの問題とSSOの関係について
公開日: |更新日:
この記事では、年々複雑化するパスワード問題の背景や安全な設定方法を紹介します。
年々複雑化するID・パスワード問題
インターネットサービスを利用する際に必要になるパスワードが、年々複雑化してきています。複雑化の原因は、パスワードの不正入手行為(通称:パスワードクラック)。本来は個人情報を守る目的で設定しているパスワードですが、近年、第三者のパスワードを不正に入手し、悪用する犯罪行為が起きています。
パスワードクラックで不正ログインされると、こちらの登録情報が相手に把握されてしまいます。企業側が不正ログインを受けた場合、機密情報や顧客情報の漏洩による問題が懸念され、莫大な金銭的被害を被ってしまう危険性もあります。こうした危険から身を守るためには、複雑なパスワードを設定する必要があるのです。
パスワードクラックへの対策は?
事業者側でできる対策には以下のようなものが挙げられます。
- ユーザー情報を暗号化する
- ログイン回数に制限をつける
- ニ段階認証を実装する
- パスワード設定時に安全度を示す
二段階認証にしたり暗号化したり、ログイン回数に制限を設けたりすることで、万が一パスワードが知られてしまっても、ログインされる確率を軽減できます。二段階認証を導入するサービスは今後も増加すると見込まれています。また、パスワードの長さや複雑さから強度を示し、ユーザー側にも視覚で訴えるのも有効です。
安全なID・パスワードの設定方法
安全なパスワードを設定するためには、誕生日や名前、わかりやすい言葉などの使用を避ける必要があります。セキュリティが高まるとして、次のようなことが推奨されています。
- 桁数を増やす…最低8文字以上
- 異なる文字を組み合わせる…アルファベットの大文字・小文字・記号・数字
- 複数のサービスで使い回さない
- IDとパスワードを別々にする
「長く複雑で他人から推測されにくいもの」が安全とされていますが、自分も覚えきれないデメリットもあります。自身もログインできなくなっては困るので、忘れないようメモをとっておきましょう。
脆弱性のあるID・パスワードとは
「長く複雑なものが安全だが、記録するのが手間な上忘れてしまうリスクがある」と、わかりやすいパスワードで設定している会社も存在するでしょう。以下のようなパスワードは第三者に推測されやすい傾向があります。
- 同じ英数字や記号が並んでいる…「12345」「abc」など
- わかりやすい言葉…「soccer」「apple」など
- 誕生日や名前…「19901029」「yamada」など
- 自分と関係のある数字や記号…社員番号や電話番号など
単純でわかりやすいパスワードは、覚えやすく入力しやすい反面危険です。サイバー攻撃者に認証を突破されてしまいますので、再設定を検討しましょう。
セキュリティ対策の徹底による弊害
セキュリティを強化することは、情報漏えいの防止につながります。しかし徹底のしすぎは、かえって業務効率を下げてしまう問題も。セキュリティ対策の徹底による弊害を紹介します。
多重チェックの導入により効率ダウン
厳重すぎるセキュリティは、ときに作業効率を下げてしまいます。たとえば、多重チェックの導入です。1人の確認だけではなく、もう1人が再度確認し、さらにもう1人が最終チェックをする、といった具合に何重にも確認作業を行います。
セキュリティ面においては徹底されており評価されるべきところですが、手間と労力がかかっており、業務効率が低下しているのがわかります。それぞれの業務で多重チェックがおこなわれているとすると、労力は相当なもの。業務に支障をきたしている場合もあるかもしれません。
また、確認の度にパスワードの入力が必要な場合も考えられます。長く複雑なパスワードを毎回入力するのは手間なため、「0123」と単純なものに設定してしまうのです。
行政も廃止したPPAPの問題
政府は2020年、パスワード付きzipファイルの送信・共有を廃止しました。理由には、以下のような問題があったとされています。
- 悪意ある人にメールを閲覧されていた場合、2通に分けても意味がない
- PCに不正アクセスされている場合、メールはすべて読まれることになる
- zipファイルで利用されている暗号方式は、フリーソフトによってパスワード解析できてしまう
- パスワード付きzipファイルでは、ウイルスチェックができない
- 送る側・受け取る側の双方に手間がかかる
zipファイルの利用は、安全とは言い難く、送る側・送られた側双方にとって労力のかかる方式であることがうかがえます。政府が率先してこの方式を取りやめたため、民間企業でも廃止する動きが活発化しています。
社内限定の情報も社外へ持ち出される
社内限定の情報も社外へ持ち出されてしまう課題も挙げられます。企業内ではパスワード設定のほかにも、さまざまな情報漏洩対策がおこなわれています。次のような対策を講じているところも多いのではないでしょうか。
- セキュリティポリシーの策定
- 利用ルールの策定
- メールフィルタリング製品の導入
- デバイスの利用制限製品の導入
- ファイルの暗号化製品の導入
しかし個人情報が漏れてしまい、ニュースで話題になるといったトラブルも起きています。背景には、社外にファイルを持ち出したことにより情報が漏れてしまったことが考えられます。近年はコロナ禍によって在宅ワークが増えました。不特定多数の人が利用できる場でのWi-Fiは情報が漏れてしまう可能性があります。すべての情報が社外に持ち出されることを前提とした対策が必要とされています。
SSO製品で効率的なセキュリティ対策が可能
インターネットサービスを登録するにあたり、パスワード設定は欠かせません。キャッシュレス決済も主流になりつつあり、ネット上は個人情報であふれています。個人情報を守る、金銭的な被害から身を守るためには、安全なパスワード設定が必要です。
とはいえ、長く複雑なパスワードをいくつも管理するのは手間であり、自身で把握しておくのも難しいでしょう。作業効率の低下やシステム担当の負担増加の問題もあります。
こうした問題の対策として、シングルサインオン(SSO)製品の導入も上げられます。SSO製品を導入すると、システムごとにIDやパスワードの入力をする必要がなく手間が軽減できます。またメモ書きしたパスワードの流出といったセキュリティリスクも減らせるため、セキュリティ対策・業務効率のジレンマを解消できる可能性もあります。
セキュリティ対策については、現状のリスク・コストを踏まえ、会社ごとにどのような対策が有効であるかを考える必要があるでしょう。
無料トライアル×5,000種以上のアプリ・サービスに対応
シングルサインオン(SSO)
製品で比較
2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中から、それぞれ「オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業」「今回調査を行ったクラウドシステムの中で、自社システムの導入社数実績が最も多かった企業(※編集チーム調べ)」「無料プランがあり、既存環境の変更をせずに使用できる唯一の企業」をそれぞれ選出。対応アプリ数と導入・サポート、費用で比較しました。
※横スクロールします。
オンプレミス
AccessMatrix
|
クラウド
Okta |
クラウド
トラスト・ログイン |
|
対応アプリ・ サービス |
全てのアプリ
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
7,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
5,000種以上
デスクトップアプリ webアプリ(saml対応) webアプリ(saml非対応)
|
---|---|---|---|
導入・ サポート |
|
|
|
料金 |
380円/ユーザー/月額
|
要問合せ
一般的な利用例は、月額2ドル~
|
330円/ID/月額
|
※選定条件:2024年4月19日時点でITreviewで「シングルサインオン」を扱っていると掲載されており、製品の公式HPが確認できた35社の中で.、下記の条件に当てはまるものをピックアップ。
・AccessMatrix USO
オンプレでスモールスタートでき、既存環境の変更をせずに使用できる唯一の企業
・Okta
今回調査を行った会社の中で、シングルサインオンを含む自社提供サービスを導入している会社の数が18,000社とNo.1
・GMOトラスト・ログイン
無料プランがあり、既存環境の変更をせずに使用できる唯一の企業
よく読まれているページ