SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

あふれるSaaSで頭を抱える情シスへ──SaaSならではの「データ活用」「困りごと」を改善

情シスが把握すべき、SaaSアカウント管理における「パスワード/SSO/IDaaS」の“利点と欠点”

第2回:複雑化するID管理、SaaS時代の問題と解決策

 企業のSaaS導入数は年々増加しており、社内のDXは進む一方、増え続けるSaaSのアカウント管理は情シスの負担が最も大きい作業の一つとなっている。今回は、SaaSのアカウント管理としてよく用いられる通常の「パスワード管理方式」と「シングルサインオン方式」のメリット・デメリットをSaaS事業者の立場から解説。最後にモダンなアカウント管理として「IDaaS」の活用について説明する。

スタンダードかつシンプルな「パスワード管理方式」

 「パスワード管理方式」は、一番シンプルなID管理方式だ。ほぼすべてのSaaSが対応しており、追加開発やオプション料金なしに利用できる。あらゆるユーザーにとって慣れた方法であり、利用方法がわからないという問い合わせもほとんどない。ただ、よく指摘されているようにパスワード方式にはいくつかの問題がある。まず、複雑なパスワードを覚えられないことである。これによって起きる問題はいくつかある。

 一つは、パスワードを忘れてしまうことだ。SaaSによっては管理者しかパスワードリセット権限がないことがあり、情シスの負担を増やす要因となる。もちろん、各従業員に割り当てられた会社のメールアドレスで登録する形式がとられていれば、個々人でパスワードをリセットしてもらえる。しかし、パートタイムやフリーランスなど入れ替わりが多い現場では、一人ひとりにメールアドレスが付与されないケースも少なくなく、そうした従業員も対象とした場合には、各従業員のメールアドレスと紐づけることなく管理者がIDを作成してユーザー登録をしていることだろう。そうした場合、SaaSのパスワードリセットは情シスの仕事となり、従業員が多ければ多いほどその頻度は増えてしまう

 もちろん、パスワードを忘れるたびに問い合わせることは、ユーザー側にとっても面倒であり、これを避けるために「パスワードの使い回し」という問題が発生するのである。一般的にパスワードを使いまわすことは、セキュリティを考慮して避けなければいけないことの一つだ。たとえば、別サービスで既に漏洩したID/パスワードを利用した「リスト」型攻撃は世界で1日平均数億回、多い日は10億回以上実行される日もある。

 最近では、この問題を解決するために「パスワード管理サービス」が使われることが多く、ほとんどのブラウザで標準機能として搭載されている。パスワードの自動生成を行い、ブラウザに記憶させることで“元のパスワードは覚えない”という運用が好ましい。「他人が操作するかもしれないので、ブラウザに記憶させてはいけない」という企業も散見されるが、パスワード利用時に生体認証を組み合わせることもできるため、覚えないことを前提としたパスワード管理方法を模索する方が望ましいだろう。また、こうしたサービスは既に漏洩している恐れのあるパスワードを利用した場合に警告を表示してくれることもある。そうした機能性を見ても「リスト型」攻撃や「辞書型」攻撃への対策になる。

普及してきた「シングルサインオン方式」にも課題あり

 パスワード管理方式に次いで、シングルサインオン(SSO)方式もSaaSではよく採用されている。前述したパスワード管理方式には、パスワードの使い回し問題やアカウント管理の手間といった問題があった。一方でSSO方式は、特定のサービスをIDプロバイダー(IdP)として、IDの一元管理が可能だ。たとえば、MicrosoftアカウントやGoogleアカウントを使ってSaaSにログインすることでSaaS側のID管理の手間を減らすことができる。また、多くのIdPにおいて、標準の管理機能があったり、ログイン履歴などが残っていたりするため、管理コストが大きく下がり、安全性も高まる。

 しかしながら、SSOにも問題点がいくつかある。

 たとえば、希望するIdPでのSSOにSaaSが対応していないことは非常によくある問題だ。特に新興SaaSには先端技術が使われた素晴らしいものがある一方で、こうした機能開発は後回しになりやすい。無理して依頼すると高額なカスタマイズ費用が発生することもある。ただし、SSO対応によって情シスの管理コストが大きく削減され、安全性も飛躍的に高まるだけに多少コストがかかったとしてもSaaS側に対応を依頼するケースも多いのが実情だ。とはいえ、「いずれは様々なIdPへ対応しなくてはいけない」という認識をもつSaaSベンダーがほとんどであり、依頼が複数社から寄せられれば対応しやすくなるため、もし社内で使ってるIdPがあれば一度打診してみると良いだろう。

 他にも、SSOで発生しがちな問題として、IdP側のサービスへの不正ログインが挙げられる。このとき、SSOで連携しているすべてのサービスに不正ログインされてしまうというリスクがある。つまり、IdP側のサービスは死守すべき管理アカウントとなってしまうが、単に管理アカウントを増やしてパスワードの使い回しのリスクを高めるよりも、一つの信頼できるサービスアカウントを厳重に管理する方が安全性を高く保てる。もちろん、IdPのほとんどで多要素認証への対応が行われており、海外からのログインを検知する機能があったり、監査ログなども充実していたりと、SaaSベンダー側が要件を満たしていない場合でも、IdPプロバイダーによる対策によっては、安全にアカウントを管理することができる。

次のページ
利用者増える「IDaaS」、2つの留意すべきポイント

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
あふれるSaaSで頭を抱える情シスへ──SaaSならではの「データ活用」「困りごと」を改善連載記事一覧

もっと読む

この記事の著者

中山 智文(ナカヤマ トモフミ)

カラクリ株式会社 取締役CTO兼CPO 中山智文(なかやまともふみ)
1992年生まれ。2016年、東京大学大学院在学中に自身の研究分野である人工知能・データサイエンス技術の社会実装を進めるため、カラクリ株式会社を共同創業し、CTOに就任。主にエンタープライズのカスタマーサポート向けAIソリューション群を...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17390 2023/02/28 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング