業務で利用するID/パスワード管理の最適解は何だろうか。後編ではパスワード管理に苦しむ声を紹介する。
オンプレミスやクラウドサービスに限らず、利用するアプリケーションが増えるにつれてID/パスワードの数も増加する。IDとパスワードの管理を従業員任せにするか、管理者で統合管理すべきか。このような課題に直面する企業も少なくないだろう。
キーマンズネットは「ID/パスワード管理に関するアンケート(2023年)」を実施した(期間:2023年6月9日〜6月22日、回答件数:386件)。本稿では前編に続き、企業におけるID/パスワード管理について現場の課題からID管理システムの活用例などを紹介する。
はじめに、ID/パスワード管理システムを「導入している」とした回答者に対して「導入目的」を尋ねた。回答が過半数だった項目は「シングルサインオンの実現のため」(68.9%)、「セキュリティ向上やリスクマネジメントなどのため」(56.6%)の2つだった(図1)。
ID/パスワード管理システムを「導入している」もしくは「導入予定」とした回答者に対して、ID/パスワード管理システムと連携している(させたい)システムを尋ねたところ、ID/パスワード管理システムと連携している(させたい)システムで「Microsoft 365」(63.2%)や「勤怠管理システム」(61.3%)といった利用頻度の高い情報系ツールが上位に挙がっていることから、従業員の使い勝手を向上させることで生産性を高めたいというのがシステム導入における最優先の動機なのだろう(図2)。
この傾向は2022年8月に実施した前回の調査から続いている。オンプレミスとクラウドサービスの混在環境が広がり、従業員によるID/パスワードの個別管理と対応工数がより大きな課題となっているようだ。
ID/パスワード管理システムを導入していない企業の課題はどこにあるのだろうか。
ID/パスワード管理システムを「導入していない」とした回答者に対してその理由を尋ねたところ、「社内での優先順位が低く予算が取れないため」(28.2%)や「必要性を感じないため」(27.5%)、「導入コストが高いため」(23.6%)などに回答が集中した(図3)。システム対応しなければならない他の課題と比して優先順位が低い、または費用対効果が得られないという認識だ。
このような企業では従業員に全ての運用がまかされがちだ。ID/パスワードの運用状況をフリーコメント形式で尋ねたところ、以下のようなセキュリティリスクを招く恐れのあるコメントが多く寄せられた。
・Microsoft Excelで管理
・Webブラウザの提案したパスワードをブラウザに保存
・紙のノートや手帳にメモ
・同じID/パスワードを使いまわす
セキュリティ面のリスクは少ないものの、パスワードを失いやすい方法も挙がった。
・記憶に依存
・(何かと)関連付けて覚えている
個人の記憶のみで管理していると万が一失念してしまった際の対応工数が大きくなり、リスキーな運用がなされていると言わざるを得ない。
こうした状況も把握した上で重要なのは、業務アプリケーションの利用状況やID/パスワードの管理実態を定期的にモニタリングし、生産性の低下や情報漏えいリスクも鑑みて都度対応優先度を判断していくことなのだろう。
最後にID/パスワードの管理や運用についての「課題」や「悩み」をフリーコメントで聞いたので紹介したい。
ID/パスワードを求められる業務アプリケーションが増えたことが大きい。テレワークなどの働き方の変化によって利用するサービスが増えたりセキュリティ要件が厳しくなったりすることで、管理するID/パスワードの数も増えている。
記憶管理の限界やそれによる生産性の悪化を挙げる声もあった。
最も多かったのは問い合わせ工数への不満だった。
連携の不備やセキュリティリスクを訴える声もあった。
ID/パスワード運用や管理における課題は各社さまざまで、一概に管理システムの導入が正解とは言い切れない側面もある。その中で最低限、実行しなければならないのは、業務で利用するIDとパスワードの数が増加傾向にある背景と、それにより引き起こされた現場課題を正しく認識することと、そうした環境変化に柔軟に対応できる準備をしておくことなのかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。