2024年は脱パスワードが進むか？ 企業規模で見る「パスキー」の導入割合：ID／パスワードの管理状況（2024年）／後編

業務で利用するID／パスワード管理は煩雑になる一方だ。そこでシングルサインオンや多要素認証などパスワード以外の手法に目が向く。調査の結果、これらの認証方式が浸透し、パスキーを導入する企業も増えていることが分かった。

[ITmedia]

　社内外問わず業務で利用するシステムやサービスが増えれば、必然的にIDやパスワード管理の手間が増え、情報漏えいリスクも増してしまう。利用者視点での効率重視か、管理者視点でのセキュリティ重視か。このようなID／パスワードの運用管理の課題はどの企業でも直面するだろう。そこでキーマンズネットは「ID／パスワード管理に関するアンケート（2024年）」（実施期間：2024年2月21日〜3月1日、回答件数：222件）を実施し、企業における現状を確かめた。

　後編では前編に引き続き、企業におけるID／パスワード管理の実態について紹介しよう。多要素認証やシングルサインオン（SSO）、パスキーについても興味深い結果が得られた。

SSOに多要素認証　パスワード以外の認証方法で最も注目されているのは？

　まず、ID／パスワード管理システムの導入及び導入予定企業に対し「導入目的」を聞いた。

　すると「シングルサインオンの実現のため」（50.0％）が最も多く、次いで「セキュリティ向上やリスクマネジメントなどのため」（43.2％）、「コンプライアンスや内部統制のため」（41.9％）、「社員の業務効率化のため」（41.9％）が上位に並んだ（図1）。

図1　ID／パスワード管理システムの導入目的

　ID／パスワード管理システムと連携している、またはさせる予定のシステムを聞いたところ「勤怠管理システム」（54.1％）や「グループウェア」（52.7％）などの情報系システムや「基幹システム」（51.4％）に票が集まり、従業員の利用頻度が高いシステムとの連携意向が高い傾向が見られた（図2）。

図2　ID／パスワード管理システムと連携している（させる予定）のシステム

　また「Microsoft 365／Office 365」（48.6％）や「Google Workspace（旧　G Suite）」（18.9％）」などのクラウドサービスとの連携ニーズも高く、オンプレミスとの混在環境であっても、SSOのように1つのログイン情報で複数サービスにアクセスできるような効率的な管理手法にニーズが集まっているようだ。

222人が吐露した「ID／パスワード運用」の課題・悩み

　業務利用アプリケーションやサービスの増加に伴うパスワード管理を効率化することと、情報漏えいなどのセキュリティリスクを低減させること。この2つがID／パスワードの運用で大きなカギとなるようだ。

　全体に対してID／パスワード運用についての「課題」や「悩み」をフリーコメントで聞いたところ、利用者側からは「対象システムごとにIDが異なるのが煩雑」や「テレワークになりクラウドサービスの利用が増加してID管理が個人では煩雑になった」「パスワードを探す手間、忘れてしまった時の再発行の手間がかかる」など、非生産的な運用実態について多く不満が寄せられた。

　当然、利用者の管理が煩雑化すれば、管理者側でも「パスワードを忘れる社員が多く困っている」や「SaaSの利用が増えたと同時にID管理しなければならない数量も増えた」といった運用課題が発生する。また「ルールを決めて運用は従業員に任せているが、数が多いのでルールが守られているか不安がある」や「PCにIDやパスワードの情報を残している人もいるので個人情報が容易に見えてしまう」「パスワードを付箋紙などでPCへ貼り付け、対応する人がいる」といったセキュリティの懸念も挙がり、冒頭の2点をどうバランスさせるかが、運用上の課題となっていることが分かった。

脱パスワードで注目のパスキー、企業での導入は進んでいる？

　ID／パスワード運用における「管理の効率化」と「情報漏えいリスクの低減」へのニーズの高さは、他の調査結果からも見て取れる。現在利用しているパスワード以外の認証方法を聞いたところ、「シングルサインオン」（47.3％）が最も多かった。「多要素認証（ユーザーの知識を利用するもの）」（29.7％）や「多要素認証（ユーザー所有物を利用するもの）」（25.7％）といった多要素認証における”知識認証”の採用が続いた（図3）。

　一般消費者向けの認証サービスとして導入が進んでいるパスキーの導入比率が23.0％に上り、特に従業員数100人以下の企業で40.4％と高いことが意外な結果となった。

図3　現在利用している“パスワード以外”の認証方式

　導入予定を聞いたところ、「シングルサインオン」（33.3％）のような利便性を高める認証方法はもちろん、多要素認証、中でも指紋や虹彩といった”生体認証”に関心が集まっていることから、サイバー攻撃や内部不正などによる情報漏えいリスクへの懸念がうかがえた（図4）。導入予定についてもパスキーの比率は20.7％とシングルサインオンに次いで高かった。

図4　今後導入予定の“パスワード以外”の認証方式

　今回の調査から、多くの企業で利用サービスの増加によって煩雑化するID／パスワードの管理効率化や情報漏えいリスクへの対応に手を焼いていることが分かった。

　業務利用している社内外のシステムやサービスの認証基盤を1つにまとめ、ユーザー認証を一本化する環境を作ることで認証ポリシーの統一を図ることが望ましいが、環境構築に係る負荷を考えるとそうした選択ができる企業は多くはないと考えられる。

　まずやるべきことは自社のID／パスワード運用や管理の実態を知り課題に向き合うことと、働き方の変化やクラウドサービスの利用増といった自社を取り巻く環境変化を把握することだろう。そうすることでID／パスワード運用で自社が取るべき最適解が見えてくるはずだからだ。今回の調査結果がその一助となると幸いだ。