認証情報をセキュアに管理しよう!代表的な管理方法について解説

2022年11月23日(水) セキュリティ

こんにちは。マニュアル作成・ナレッジ共有ツール「NotePM」ブログ編集局です。

情シス担当者であれば、多くのクラウドサービスや社内システムを扱うことでしょう。そうした際の認証情報は、どう管理するのが良いのでしょうか。

一人であればまだしも、チームで認証情報を共有しなければならなかったり、他部署の人とも共有するケースがあります。平文でパスワードを渡してしまうと、情報漏洩につながる危険性があるでしょう。

今回は認証情報を安全に、セキュアに管理するための方法を解説します。

クラウドのパスワード管理を利用する

同じ部署内であれば、共通したパスワード管理ツールを利用する方法がお勧めです。Webブラウザに内包されているパスワード管理は、個人のプロファイルに保存されてしまうので、共有するのが難しいでしょう。

クラウドサービスであれば1PasswordLastPassが有名です。ビジネス向けに認証情報を共有する機能があり、個人のパスワードとともに利用できます。

ただし、この手のクラウドサービスを利用している場合、企業を退職した際に個人で使っている認証情報がなくなってしまう可能性があります。個人のものは利用しないようにするか、確実にエクスポートする必要があります。

ローカルのパスワード管理を利用する

機密情報をクラウド上に保存することに抵抗がある場合は、ローカルで使えるものを利用しましょう。例えばKeePassが挙げられます。各種クライアントがあり、ローカルファイルに暗号化されて保存されます。ファイルを分けることで、会社用と個人用に分けて管理できます。

KeePassはモバイルデバイスで利用するのが多少面倒なので、Webベースで使えるBitwardenを選択しても良いでしょう。オープンソース・ソフトウェアなので、自社サーバーに立てたり、セキュリティを自社仕様に合わせて利用できます。

認証統合を検討する

IDやパスワードが増えてしまうのは、管理の煩雑化につながります。そこで、積極的に認証統合を進めましょう。多くのクラウドサービスではSSO(シングルサインオン)を提供しており、自社の認証システムと統合できるようになっています。

このSSOで用いられるのはActive Directoryであったり、LDAP認証になります。自社ネットワークがWindows中心に構築されているのであれば、Active Directoryを用いるのがお勧めです。Azure Active Directoryを用いれば、認証システムをクラウドで構築できます。このAzure Active DirectoryをSSOに用いれば、各種サービスの認証統合が実現できます。

SSOはクラウドサービスだけでなく、自社システムへのログインであったり、サーバーへのSSH認証にも利用できます。管理する認証情報を減らすことで、運用負荷を下げられます。また、誰かが退職した際のフローも認証統合側の処理だけで済むようになります。

グループ管理・API管理

例えばTwitterではパスワードを共有するのではなく、TweetDeckへ管理者アカウントを追加する方法でアカウント管理を行えます。この場合、パスワードを共有する必要がないので、アカウントの管理に多要素認証を設定するなどセキュアに管理できます。

他のシステムにおいてもAPIキーを使って共有する方法があります。APIキーは管理画面で発行し、必要なくなったら削除するだけで機能が使えなくなります。GitHubをはじめ、APIトークンを複数発行できるサービスの場合、そういった管理が行えます。

ハードウェアキーの利用

最近ではハードウェアキーを用いた多要素認証が広まってます。YubiKeyなどのハードウェアキーを用いることで、パスワードを入力することなくログインできます。Windows Helloにもハードウェアキーが利用できます。

さらにiPhoneではPasskeysが提供され、WebAuthnに対応したハードウェアキー認証が使えるようになります。ハードウェアキーに対応したサービスはもちろん、認証統合サーバー側でも利用したい機能です。

ハードウェアキーの課題は紛失時の対応と、退職時の回収と再利用になります。スマートフォンを用いた多要素認証では、機種変更時の対応も煩雑になりやすいという課題があります。また、認証情報の共有がしづらく、あくまでも個人用アカウントのセキュリティ向上に対して用いるのが良いでしょう。

まとめ

かつてはパスワードを付箋紙に書いてパソコンに貼り付けるような運用が見られましたが、リモートワークが広まる中でパスワード管理が個々人のITスキルに依存するようになっています。情シス担当者としては、戦々恐々としていることでしょう。

しかし、今回紹介したような様々な解決策も存在します。それらを活用し、認証情報をセキュアに管理してください。

おすすめの情報共有ツール

マニュアル作成・ナレッジ共有ツール 「NotePM」 は、社内の知りたいことが簡単に確認できるツールです。「社内のほしい情報を探すのが大変」「ナレッジ共有が上手くいっていない」とお悩みの方は、NotePMの無料トライアル をお試しください。

NotePMサービス紹介資料はこちら >