【調査】漏えい秒読み？ パスワード管理のキケンな実態：ID／パスワード管理の実態とシステム導入状況（2023年）／後編

業務で利用するID／パスワード管理の最適解は何だろうか。後編ではパスワード管理に苦しむ声を紹介する。

[キーマンズネット]

　オンプレミスやクラウドサービスに限らず、利用するアプリケーションが増えるにつれてID／パスワードの数も増加する。IDとパスワードの管理を従業員任せにするか、管理者で統合管理すべきか。このような課題に直面する企業も少なくないだろう。

　キーマンズネットは「ID／パスワード管理に関するアンケート（2023年）」を実施した（期間：2023年6月9日〜6月22日、回答件数：386件）。本稿では前編に続き、企業におけるID／パスワード管理について現場の課題からID管理システムの活用例などを紹介する。

ID／パスワード管理システム「導入目的」の1位は？

　はじめに、ID／パスワード管理システムを「導入している」とした回答者に対して「導入目的」を尋ねた。回答が過半数だった項目は「シングルサインオンの実現のため」（68.9％）、「セキュリティ向上やリスクマネジメントなどのため」（56.6％）の2つだった（図1）。

図1　ID／パスワード管理システムの導入目的（複数選択可）

　ID／パスワード管理システムを「導入している」もしくは「導入予定」とした回答者に対して、ID／パスワード管理システムと連携している（させたい）システムを尋ねたところ、ID／パスワード管理システムと連携している（させたい）システムで「Microsoft 365」（63.2％）や「勤怠管理システム」（61.3％）といった利用頻度の高い情報系ツールが上位に挙がっていることから、従業員の使い勝手を向上させることで生産性を高めたいというのがシステム導入における最優先の動機なのだろう（図2）。

図2　ID／パスワード管理システムと連携している（させたい）システム及びサービス（複数選択可）

　この傾向は2022年8月に実施した前回の調査から続いている。オンプレミスとクラウドサービスの混在環境が広がり、従業員によるID／パスワードの個別管理と対応工数がより大きな課題となっているようだ。

パスワード管理の危険な実態

　ID／パスワード管理システムを導入していない企業の課題はどこにあるのだろうか。

　ID／パスワード管理システムを「導入していない」とした回答者に対してその理由を尋ねたところ、「社内での優先順位が低く予算が取れないため」（28.2％）や「必要性を感じないため」（27.5％）、「導入コストが高いため」（23.6％）などに回答が集中した（図3）。システム対応しなければならない他の課題と比して優先順位が低い、または費用対効果が得られないという認識だ。

図3　ID／パスワード管理システムを導入しない理由（複数選択可）

　このような企業では従業員に全ての運用がまかされがちだ。ID／パスワードの運用状況をフリーコメント形式で尋ねたところ、以下のようなセキュリティリスクを招く恐れのあるコメントが多く寄せられた。

・Microsoft Excelで管理
・Webブラウザの提案したパスワードをブラウザに保存
・紙のノートや手帳にメモ
・同じID／パスワードを使いまわす

　セキュリティ面のリスクは少ないものの、パスワードを失いやすい方法も挙がった。

・記憶に依存
・（何かと）関連付けて覚えている

　個人の記憶のみで管理していると万が一失念してしまった際の対応工数が大きくなり、リスキーな運用がなされていると言わざるを得ない。

　こうした状況も把握した上で重要なのは、業務アプリケーションの利用状況やID／パスワードの管理実態を定期的にモニタリングし、生産性の低下や情報漏えいリスクも鑑みて都度対応優先度を判断していくことなのだろう。

利用者と管理者の視点から浮かび上がる「ID／パスワード管理」の課題

　最後にID／パスワードの管理や運用についての「課題」や「悩み」をフリーコメントで聞いたので紹介したい。

利用者側の視点

　ID／パスワードを求められる業務アプリケーションが増えたことが大きい。テレワークなどの働き方の変化によって利用するサービスが増えたりセキュリティ要件が厳しくなったりすることで、管理するID／パスワードの数も増えている。

• 業務がデジタル化されるにつれIDが増え管理に手間取る
• アプリごとにIDとパスワードが存在して管理が煩雑になった
• 100個以上もあるパスワードを楽にセキュアに管理したい

　記憶管理の限界やそれによる生産性の悪化を挙げる声もあった。

• パスワードを忘れて円滑に業務が進まないケースがある
• 古いIDのパスワードを忘れる（特にWebブラウザで記憶させているID）
• パスワードをWebブラウザに記憶させることを禁止する一方で、パスワード管理ツールが提供されない
• 一部の基幹システムでシングルサインオンできず、連動もされないため不便

管理者側の視点

　最も多かったのは問い合わせ工数への不満だった。

• 社内業務システムのパスワード忘れが減らない
• ID管理が個人では煩雑になっており、パスワードを間違って確認や再発行の作業の手間が発生している
• パスワード忘れへの対応に手間取る、ID数が多いというクレームへの対応
• 管理すべき数量が増えていることが課題

　連携の不備やセキュリティリスクを訴える声もあった。

• シングルサインオンを導入しているがオンプレミスの環境のみでクラウド環境との連携ができていない
• テレワークやクラウドの利用が進んだことでID管理の安全性が確保できているかどうかが不安
• 従業員の退職によりパスワードが分からなくなる
• 担当者の異動や退職時の管理が煩雑

　ID／パスワード運用や管理における課題は各社さまざまで、一概に管理システムの導入が正解とは言い切れない側面もある。その中で最低限、実行しなければならないのは、業務で利用するIDとパスワードの数が増加傾向にある背景と、それにより引き起こされた現場課題を正しく認識することと、そうした環境変化に柔軟に対応できる準備をしておくことなのかもしれない。