ID・パスワード管理に求められること4つ

ID・パスワード管理に求められることは下記の4つです。

1. 安全なパスワードを作成する
2. パスワードを厳重に保管する
3. パスワードを使いまわさない
4.多要素認証を積極的に取り入れる

1つずつ見ていきましょう。

（１） 安全なパスワードを作成する

ID・パスワード管理においては、安全なパスワードの作成を徹底するべきです。

不正なアクセスから情報を守るためには、安全なパスワードを作成することが欠かせません。具体的には、下記のようなパスワードを指します。

名前や誕生日でパスワードを作成する、覚えやすい組み合わせの数字を使うなどしてしまうと、総当たり攻撃をされた際、簡単にパスワードを突き止められてしまいます。

最も安全なパスワードは「不規則な文字列」です。大切な企業の情報を守るために、安全なパスワードを作成しましょう。

（２）ID・ パスワードを厳重に保管する

ID・パスワードは、従業員以外が目にする可能性を無くしておくのが望ましいです。

パスワードの目的は、従業員しか知り得ない情報を入力することによって、従業員であることを確認するものです。何かにパスワードをメモして、それを従業員以外が見てしまっては、従来の目的を果たせなくなってしまいます。

理想をいえば、パスワードを記憶してだれにも話さずメモにも残さない状況、従業員以外のだれもパスワードを知る方法がないのがベストです。

とはいえ、数字やアルファベット、記号を含めた複雑なパスワードが必要となった現在、パスワードをすべて記憶するのは現実的ではありません。

（３）パスワードを使いまわさない

パスワードは、使いまわさないことを心掛けましょう。

サイバー攻撃では、ひとつのIDとパスワードの組み合わせを発見したら、別のWebサービスへの不正ログインを試みる方法もあります。

つまり、同じパスワードを使いまわしていると、他のサービスへログインされてしまうこと になります。
万が一不正ログインされた際の被害拡大を防ぐためにも、同じパスワードを使いまわすのは避けましょう。

（４）多要素認証を積極的に取り入れる

パスワード以外の認証手段の活用として多要素認証があげられます。

多要素認証（MFA：Multi-Factor Authentication）とは、2つ以上の要素の認証を組み合わせてセキュリティを強固にする認証方式です。

多要素認証が使われている場合、PC上で一度IDとパスワードを入力し、その後に自身のスマートフォンに送られてくるワンタイムパスワードを入力することでログインができます。

多要素認証を導入することで、セキュリティ強化やユーザーの利便性向上に繋げられます。パスワード以外の認証手段の活用として、多要素認証を積極的に取り入れましょう。

ID・パスワードを管理する上での注意点3つ

ID・パスワードを管理する上での注意点は下記の3つです。

1. ブラウザのパスワード自動入力機能は使わない
2. 信頼できない通信は使用しない
3. フィッシング詐欺には気をつける

それぞれ詳細まで解説します。

（１）ブラウザのパスワード自動入力機能は使わない

ChromeをはじめとするWebブラウザの多くは、Webサイトで求められるパスワードを保存し、ユーザーに代わって自動入力してくれる機能を備えています。

Webサイトごとに異なるパスワードを入力する手間が省けるため、ユーザーとしては便利な反面、安全面を考えると注意しなければならない機能です。

なぜなら、あなた以外の第三者があなたの端末を使ってWebブラウザを起動した際、自動入力機能によって各種Webサイトにアクセスできてしまうからです。

たとえば、端末を紛失した場合やカフェなどで作業している場合、簡単にIDとパスワードが知られてしまうでしょう。また、ID・パスワードが、ハッキングのリスクも少なからずあります。

安全面を考えれば、Webブラウザのパスワード入力機能は使わない、もしくは端末の操作に厳重なロックをかけるなどの対策が必須です。

（２） 信頼できない通信は使用しない

暗号化されていない通信内容の場合、盗聴されてパスワードが盗まれる危険性もあります。最近では、盗聴リスクのことを考え、ID・パスワードをSSL/TLS経由で暗号化し、送信されること がほとんどです。

しかし、フリーWi-Fiなどのなかには、セキュリティ対策が十分で無いものも未だに多いのが現状です。外出先や出張先で接続したフリーWi-Fiが攻撃者が盗聴している場合、あなたが入力したIDとパスワードの情報が盗まれているかもしれません。

フリーWi-Fiの他にも、ソフトウェアの脆弱性をついた攻撃や、送信先の改ざんなど、あらゆる場所に攻撃者が潜んでいる危険性があります。

企業の大切なデータを守るためには、信頼できる通信以外は使わないようにしましょう。

（３）フィッシング詐欺には気をつける

ID・パスワードを安全に管理する上で、フィッシング詐欺には細心の注意を払う必要があるでしょ う。

フィッシング詐欺とは、偽メールをユーザーに送り付け、本物そっくりの偽サイトに誘導し、個人情報などを入力させて情報を抜き取る手法です。

メールやSMSで送られてくるURLは、極力クリックしないことが大切です。仮にアクセスする際 は、ドメイン元や送信元を必ずチェックしましょう。

また、セキュリティソフトを導入することで、迷惑メールが届くリスクを大きく軽減できます。フィッシ ングサイトにログインしようとすると、ブロック機能を発動するセキュリティソフトもあります。

ただし、セキュリティソフトも万全ではないので、ユーザーは常に危機感を持つ必要があるでしょう。

ID・パスワード管理サービスの3つの選定基準

本章では、ID・パスワード管理サービスの選定基準をご紹介します。複数のサービスを比較するなら、次の3点は押さえておきましょう。

・国産かどうか
・運用コスト
・管理画面

それぞれ解説します。

（１）国産かどうか

ID・パスワード管理サービスは、国産化かどうかも重要な選定基準です。

国産のID・パスワード管理サービスを推奨する理由は、3つあります。

・本社が日本なので時差に関係なくサポートを受けられる
・言語対応していない機能がないので誰でも使いやすい
・国内のWebサービス（SaaSなど）の対応数が多く、シングルサインオンを活用しやすい

国産のSaaSを多く利用している場合、ID・パスワード管理サービスも国産のものを利用すると業務が捗りやすいです。

（２）運用コスト

運用コストが高価でないことも選定基準の一つです。

運用コストは、自社で利用しているSaaS数や従業員数によって左右されます。

サービス毎にプランの数や内容が異なるため、費用対効果の高いプランで自社の運用体制にあったサービスを導入することが重要です。

サービスの中には、特定の範囲や期間中なら無料で利用できるものもあり、正確なコストを把握しづらいのが現状です。

導入後の運用コストを把握したい場合は、いくつかのサービスに同じ条件で見積もりを出してもらうことをおすすめします。

（３）管理画面

選定基準3つ目として、管理画面のわかりやすさがあげられます。

管理画面が使いづらいと、従業員がサービスを最大限に活用できないからです。

サービスを活用できない場合、情シスなどのアカウントを管理する部署は、管理画面のオペレーション業務に追われてしまいます。

サービスの導入で情シスの負担が軽減される予定が、導入前よりも負担が増加してしまうことになるのです。

そのため、誰でも簡単に操作できる管理画面のサービスをおすすめします。

企業のID・パスワード管理は「メタップスクラウド」

弊社は、SaaS管理とID管理（ID・パスワード管理）を可能にする「メタップスクラウド」を提供しています。

ユーザー認証を一度行えば複数SaaSを利用可能にするシングルサインオン（SSO）機能や、無駄なSaaSアカウントの発見などが可能です。

また、リモートワークなどの新しい働き方に対応していて、セキュリティ対策も強化できるので安心です。

まとめ

本記事では、ID・パスワードの管理方法や、管理サービスの選定基準を紹介しました。

昨今では、企業へのサイバー攻撃やハッキングなどが多発しており、被害を防ぐためにはID・パ スワードの適切な管理が必要不可欠です。

ID・パスワード管理サービスを活用すれば、強固なセキュリティがある上に、パスワードの管理も簡単になります。ID・パスワード管理サービスを活用して、リスクを最大限に抑えましょう。