現在、日本で導入・利用されているクラウド製品は多岐に渡りますが、「業務で用いられるクラウド製品」と仕事に限定すると、かなり絞り込むことができます。その中でも、メールサービスである「Gmail」、Office製品スイートである「Office 365」、そして業務用チャットツールの「チャットワーク」は特に普及しているサービスです。
では、頻繁に使うこれらの製品に対して簡単・安全にログインするにはどうすればよいか、お伝えします。
ブラウザでパスワードを保存+自動ログインは安全?
「簡単で安全といっても、実は全く困っていない。なぜなら、ブラウザがGmail・Office 365・チャットワークのIDとパスワードを保管してくれ、自動でログインできるから」。このようにお考えの方は多いかと思います。確かに、ブラウザのID・パスワード管理機能や自動ログイン機能は幅広く利用されています。しかし、この機能は安全ではないことが昨今明らかになっています。
専門家が指摘するのは、以下の2点です。
1つは、「正当な権限さえあれば、パスワードが平文で確認・表示できる」点です。ブラウザに保存されているパスワード、つまりパソコン内に保存されているパスワードは、暗号化されているため通常は確認ができません。しかし、パソコン自体に不正アクセスされ、ブラウザに「正しいパスワード」を入力されると、ブラウザで管理しているID・パスワードが根こそぎ持ち去られてしまうことを意味します。
次に2つめの危険は、Webサイトのログイン画面が攻撃され改ざんされていた場合、改ざんされたサイトにアクセスするだけで、ID情報が持ち去られることです。具体的には、クロススクリプティングという攻撃手法となり、画面上に見えないように設置されたログイン画面に、ブラウザがIDを自動入力してしまい、攻撃者はその情報をこっそり持ち去るという手法となります。パスワードが取得できなかったとしても、「現在利用されているID情報」を特定すると、以後の攻撃や不正アクセスがやりやすくなってしまうため、ID情報を渡すことも危険であると指摘されています。
このように、ブラウザでID・パスワードを管理するのはもはや安全とは言えないのです。ブラウザ上にID・パスワードを保存していて自動ログインを行っている方は、できるだけ早くやめることをお勧めいたします。
クラウド対応シングルサインオンツールで簡単・安全なログインを実現
ブラウザでID・パスワードを管理する方法が安全でない場合、次の選択肢は「クラウド対応シングルサインオンツール」が選択肢となります。
こうしたツールは主に2種類あります。
1つは個人向けのツールで、利用者=管理者である前提で作成されているツールです。一般的には「パスワードマネージャー」と呼ばれています。これらのツールは、個人がパスワードを安全な場所に保存して一元管理する上では十分な機能を提供しています。よって、個人が自宅で所有しているパソコンであったり、個人事業主が普段仕事で使うパソコンで使う、という用途にぴったりです。
もう1つは法人向け、組織向けのツールです。少数の管理者の下に多くの利用者がいるという前提で開発されているツールで、ツールの利用者=管理者ではないという組織での導入に適しています。例えば、「管理者がID・パスワードを作成し、利用者にはそれらを一切教えずにログインさせる」場合もあれば、「利用者が過去に登録したクラウドサービスのID・パスワードをツールに登録してログインする」場合もあります。組織やツーに適した運用がサポートされており、一般的に「IDaaS (Identity as a Service: クラウドサービス対応シングルサインオンツール)」と呼ばれています。
個人向けのパスワードマネージャーは、トライアルで使ってみて、気に入ったら月額費用をクレジットカードで支払う形ですぐに利用できます(無料プランが提供されている製品もあります)。そして、法人向けのIDaaSは、トライアル期間は無料であるものの基本は有償の製品となります。費用感としては、1ユーザー当たり1カ月400円から1,000円程度です。
法人が安全で簡単なログインを無料で行う方法
法人向けのシングルサインオンツール、IDaaSは基本有料で2週間から30日程度のトライアル期間を経過すると、全く使えなくなるか、非常に限定された機能(クラウドアプリ登録数上限が非常に少なく、必要なアプリを全て登録できない)しか使えなくなります。よって、社員数 x 数百円という予算を毎月準備せねばなりません。
社員数が10人程度であれば、400円 x 10人 = 月額4,000円程度で済みますが、これがもし社員数100人だと月4万円、1000人だと月40万円、1万人だと月400万円というように、毎月の費用負担としては無視できないほど高額になります。年額で考えると、これらの金額の12倍(12カ月)が必要となってしまいますので、あっという間に数千万円の出費となってしまいます。月額料金の中には、自社では使わない機能も含まれていますので、金額には納得感がないケースも多いかと思います。
これに対して、当社が提供するクラウドサービス向けシングルサインオンツールである「トラスト・ログイン」は、企業で利用するのに問題ない基本機能(ユーザー数制限、アプリ数制限なし)を無料で提供しております。実際、システム開発会社、士業などの専門家法人、NPO、その他多様な企業様に既に導入頂いております。
- 参考リンク: トラスト・ログイン 料金・機能
トラスト・ログインでは、「IPアドレス制限」「ワンタイムパスワード」といったオプション機能を、一部有償で提供していますが、「自社で導入する機能のみ安価に購入できる」ため、総費用を安く抑えることが可能です。もちろん、Gmail, Office 365, チャットワークのシングルサインオンにも対応していますので、ブラウザの自動ログインに頼らず安全に認証を行っていただけます。
有償のシングルサインオン製品をいきなりご検討される前に、基本機能が無料で利用できるトラスト・ログインをまずトライアルでご利用ください。トライアルで製品ならびサポートにご満足いただけましたら、導入範囲の拡大、ならび有償オプションをご検討頂ければと思います。