ID／パスワード管理の実態とシステム導入状況（2022年）／前編

業務システムのクラウドシフトが勢いを見せる中、付随して問題となるのがID／パスワード管理。この2年間で管理対象のID／パスワードはどれほど増え、システム管理はどこまで進んだのか。ID／パスワード管理にまつわる実態調査を基に、現状を見る。

[キーマンズネット]

　働き方の多様化に伴ってクラウドシフトが進む中、それに比例して個人が管理するID／パスワードも増加傾向にある。それを問題視してシングルサインオンの仕組みやIDaaS（Identity as a Service）を取り入れる企業も見られる。

　そうした事情を背景に、キーマンズネットは2022年8月5日〜12日にわたり、ID／パスワード管理に関するアンケート調査を実施した。前編、後編にわたって、253人から得た回答を基に、管理するID／パスワードの数と組織におけるID／パスワード管理の実態を紹介する。なお、グラフで使用している合計値と合計欄の値が丸め誤差により一致しない場合があるため、あらかじめご了承いただきたい。

ID／パスワード、2年で「11個以上」が6.5ポイント増

　まず、勤務先で利用する業務システムのうち、IDやパスワードを求められるシステムは幾つあるかと尋ねた項目では、最も多いのが「7〜10個」で25.3％、続いて「5〜6個」（24.1％）、「16個以上」20.6％が上位に挙がった。これを2020年9月に実施した同様の調査と比較すると「7個以上」の割合が49.3％から51.8％と、2.5ポイント増加した（図1）。

図1　務先で利用する業務システムのうち、IDやパスワードを求められるシステムは幾つあるか

　関連して、業務で利用するID／パスワードの数を尋ねたところ、「3〜4個」が最も多く26.9％、そして「5〜6個」（22.9％）、「16個以上」（18.6％）と続いた。こちらも2020年の調査と比較すると「7個以上」が増加し、ID／パスワード管理に頭を抱える従業員の光景が透けて見える。

　実際、この2〜3年の間で業務で利用するID/パスワード数が「増えた」と回答した割合は63.2％と半数を超え、ほぼ全ての企業規模別で同様の傾向を示した（図2）。

図2　直近2〜3年で、業務で利用するID／パスワードは増加したか

　増加したID／パスワードの数は「3個」が最も多く26.9％、次いで「5個」（24.4％）と続いた。「6個以上」（6.3％）とした回答者の中には、「10個」「25個」との回答も見られた（図3）。

図3　業務で利用するID／パスワードはどれくらい増加したか

IDaaSへの移行は進んだか、後退したか？　この2年で起きた変化

　増え続けるID／パスワードの打ち手として、ID／パスワード管理システムを導入する企業もある。勤務先でID／パスワード管理システムを導入しているかどうかを聞いたところ、「導入済み」と回答したのは26.5％、「導入予定」は9.5％となった一方で、「導入の予定はない」は64.0％だった。この結果を従業員規模別で見ると、従業員素が「1001人以上」では３〜4割近くが導入済みであるのに対し、それ以外の企業では2割程度にとどまった（図4）。

図4　勤務先でID／パスワード管理システムを導入しているか（企業規模別）

　業務システムのクラウドシフトが顕著な中で、ID管理基盤も同じ傾向が見られるのだろうか。以降では、ID管理システムの導入形態とIDaaSへの移行予定の有無、IDaaSへの移行を阻害する要因に触れ、2年前の結果と比較しながら傾向を分析する。中には「IDaaSは二度とごめんだ」という声もあったが、それはなぜか。

　まず、ID／パスワード管理システムを「導入済み」とした人に対して導入形態を尋ねると、「SaaS」が35.2％、「クラウドで運用（IaaS）」が14.3％と、これらを合わせるとクラウドを利用する割合は49.5％と半数近くを占める。一方で、「オンプレミスで運用」は36.3％であった（図5）。

図5　ID／パスワード管理システムの導入形態

　2年前の調査では、「オンプレミス」」（60.0％）半数以上を占め、ID管理基盤もクラウドシフトが進んでいる様子が見て取れる。中でも「クラウドで運用（IaaS）」が2年前と比較して11.0ポイント増加し、「SaaS」の5.2ポイント増の2倍以上の伸びを見せた。なお、利用するクラウドサービスとしては「Microsoft Azure Active Directory」が高く、56.3％だった。

IDaaSへの移行計画、73.9％が「ない」　その理由は？

　ID管理基盤のクラウドシフトの傾向を探るために「オンプレミスで運用」「クラウドで運用（IaaS）」と回答した人を対象に、勤務先では今後ID管理システムをクラウドサービス（IDaaS）に移行する予定はあるかどうかを尋ねたところ、73.9％が「ない」との回答だった（図6）。

図6　勤務先では、今後ID管理システムをクラウドサービス（IDaaS）に移行する予定はあるかどうか

　移行予定が「ない」とした理由として最も多かったのが、クラウドシフトの障壁になりがちなセキュリティの懸念で、「情報流出リスクの対応と社内説明が大変」「データ流出リスクなどセキュリティに不安がある」などの声が上がった。中には、「クラウドサービスが（障害などで）停止すると業務が止まるため、クラウドは信用できない（前例あり）」といった、過去にクラウドサービスを利用したことでトラブルに見舞われた苦しい経験を持つ人もいた。

　その他、「利用料が高額」「移行コストの増加が懸念」など、現システムからクラウドへの移行コストを懸念する声や、「海外本社が一括管理しているため自社だけでは判断できない」「グループ会社で（共通のシステムを）運用しており、クラウドへの移行は聞いていない」といったシステムの管轄組織が別のため、自社だけでは決められないといった声もあった。

　一方で、ID管理基盤をクラウドへ移行する予定が「ある」とした人の理由として、「自社管理システムを削減する方針のため」「ローカル管理に限界を感じたため」といった声が上がった。ワークシフトとともにクラウドサービスの利用が増加したことで、従業員のID／パスワード管理が煩雑になり、IT部門への問い合わせコストが増大している様子がうかがえた。

　前編では業務で利用するID／パスワードの増加傾向や、ID／パスワード管理システムの導入状況、クラウドサービスの利用増加傾向などを紹介した。後編では、ID／パスワード管理システムの導入目的や導入しない理由など、ID管理の課題と対策について触れていく。