ID／パスワードの管理が「悪化」 クラウドサービスは使われているのか：ID／パスワードの管理状況（2024年）／前編

業務で利用するID／パスワード管理は煩雑になる一方だ。時間がたつにつれて管理対象が増えていくことはもちろん、働き方の変化にも応じなければならない。こういった問題を解決するためにクラウドの利用は有効なのだろうか。

[キーマンズネット]

　新型コロナウイルス感染症（COVID-19）の影響を受けて、テレワークの拡大や在宅勤務環境の構築が進んだことは記憶に新しい。このような環境変化を受けてクラウドサービスを利用する企業が増え、業務で利用するID／パスワードの数が増加し、管理が煩雑になった。

　現状の管理はどのようになっているのだろうか。キーマンズネットは「ID／パスワード管理に関するアンケート」（実施期間：2024年2月21日〜3月1日、回答件数：222件）を実施し、企業におけるID／パスワード管理の現状を確かめた。

ID数の激増トレンドは落ち着いたのか

　まずは管理しなければならないIDやパスワードの数の変化だ。

　IDやパスワードを必要とする「システム数」を聞いたところ「5〜6個」（26.6％）、「7〜10個」（24.8％）、「16個以上」（15.8％）と続き、まとめると1〜6個が51.4％、7個以上が48.6％だった（図1）。

図1　ID／パスワードを求められるシステム数（外部サービス含む）

　個人が業務上使用する「ID／パスワードの数」は「3〜4個」（23.4％）や「5〜6個」（22.1％）に回答が多く集まり、全体でも「6個以下」が64.4％と過半数を占めた。

　ID／パスワード数について過去調査と比較してトレンドを見ると、2020年から2022年にかけては年々増加傾向にあったが、2023年6月に実施した前回調査からは落ち着きを見せ始めており、その傾向は現在も続いていることが分かった（図2）。

図2　ID／パスワード数（外部サービス含む）

　ID／パスワードの数が増加したのは前述の通り、COVID-19の影響が大きいとみられる。多くの企業がテレワークや在宅勤務といった働き方の変化に対応すべく、利用サービスの見直しや変更を実施したからだ。これがID／パスワード数の増加を招いたと考えられる。

　なお、この期間にID／パスワードが4個以上増加した割合は、100人以下の中小企業で61.3％、101〜500人以下の中堅企業で52.0％だった。比較的従業員規模が小さい企業で目立った（図3）。

　実際、直近2〜3年でのID／パスワード数の増減については「増えた」（61.3％）という回答が過半数で、2020年から2022年にかけてのコロナ禍に大幅に増加し、その後収束に伴って緩やかになりつつある。

図3　直近2〜3年でのID／パスワードの増加数

ID／パスワード管理システムやIDaaSの利用はどう変わったのか

　ID／パスワード数の増加に伴う生産性低下を防ぐために有効な手立ての一つが、管理システムの導入だ。

　調査によると管理システムを「導入済み」（22.5％）や「導入予定」（10.8％）という回答は、それぞれ9カ月前に実施した前回調査から2.3ポイント、3.5ポイント増えており、導入を進める企業が増加していることが分かる（図4）。

図4　ID／パスワード管理システムの導入状況

　システムの導入割合は従業員規模が大きくなるにつれて高まり、100人以下の中小企業の11.5％に対して、5001人以上の大企業では35.6％と約3倍もの開きが見られた。

　ID／パスワード管理システムの導入形態は「SaaS」（28.4％）と「IaaS」（18.9％）を合わせたクラウドサービスの利用が47.3％で、「オンプレミス」（47.3％）とほぼ同じになった（図5）。

図5　ID／パスワード管理システムの導入形態

　ただし、クラウドサービスの利用割合を過去の調査と比較すると、2020年9月時に33.3％、2022年8月時に49.5％、2023年9月時では56.6％と年々増加傾向にあったが、今回の調査では急転した。

　クラウド型のID／パスワード管理サービス「IDaaS」への移行予定を見ても「ある」（20.4％）は2割にとどまった。こちらも前回調査の35.7％から15.3ポイントも急減する結果となった（図6）。

図6　IDaaSへの移行予定

　従業員規模別では特に中堅・中小企業帯でIDaaSへの移行予定が「ない」という回答が目立ち、反対に大手企業においては「ある」が約半数と、こちらも温度差がはっきり現れた。

IDaaSへの移行をやめる企業　その理由は

　クラウド型ID／パスワード管理サービスの利用意向が低下している背景には何があるのだろうか。IDaaSへの移行予定が「ない」理由をフリーコメントで集めたところ、3つに分かれた。

　1つはサービスの可用性やセキュリティリスクへの懸念だ。「クラウドにアクセスできないとき、システムが使えなくなる恐れがある」や「社内ネットから外部への接続に問題がある」「セキュリティ対策でクラウドの利用が禁止されている」などが挙がった。

　2つ目はコスト面での懸念だ。「運用コスト、ベンダーロックインなどでコストメリットが見いだせない」や「費用と安全性に懸念がある」「コストが高く運用が大変」などの意見が寄せられた。

　最後の3つ目には最も多くの意見が集まった。現行のシステムで十分だという声だ。「Active Directoryの機能とパスワード管理ソフトで事足りているため」や「現状問題がなく直ちに移行する必要性がない」「自社開発製品を利用しており融通がきくため、現在の運用で問題がない」など、セキュリティや可用性、コスト面での懸念を乗り越えてまで導入しようとする動機が、以前と比べて薄くなっている可能性が感じ取れた。

　これはIDaaSに限らず「現在管理システムを導入していない」または「今後も導入予定がない」という回答で、さらに導入しない理由を聞いても同様の傾向が見られた。「社内での優先順位が低く予算が取れないため」（29.1％）や「必要性を感じないため」（28.4％）などが上位に並んだ（図7）。

図7　ID／パスワード管理システムを導入しない理由（複数回答可）

　IDaaS利用の優先順位が下がった背景はやはりCOVID-19にありそうだ。COVID-19の感染症法上の位置付けが「5類」に移行したことによるオフィス回帰の潮流が一因だろう。企業がテレワークの規模を縮小し、オフィスへの出勤を推奨するといった動きだ。

　公益財団法人日本生産性本部が2024年2月に発表した「第14回　働く人の意識調査」 によると、企業におけるテレワークの実施率は14.8％となり、2020年5月の31.5％からほぼ半減する形で過去最低を更新した。特に100人以下の小規模企業、101〜1000人以下の中規模企業での低下が大きいという。

　こうした調査からも、コロナ禍に業務利用のID／パスワードが一時的に増え、テレワーク環境構築のために中堅・中小企業が利用してきたクラウドサービスから離れる動きが考えられる。これがIDaaSの利用動機の低下の一因だという仮説が立てられそうだ。ただし、現段階では仮説に過ぎず、引き続き今後の定期調査で動向を追う予定だ。

　以上、前編では企業におけるID／パスワードの管理状況や管理システム・サービスの導入状況を紹介した。後編では引き続き、ID／パスワードの管理実態や運用課題の他、多要素認証やパスキー、シングルサインオンについて取り上げる。