うんざりな「パスワード管理」を解消する“あるカギ”とは：面倒くさいセキュリティにさようなら

「『長くて複雑なパスワードを付けろ』『パスワードの使い回しはするな』、分かってはいるけれど、現場の身にもなってほしい」。そんなお悩みを抱える皆さまに朗報です。

パスワード管理のこんな光景、見覚えありませんか……？

※本稿のストーリーはイメージであり、実在の人物・団体とは一切関係ありません。

　「やれやれ、会社に来るだけでも一苦労なのに、今度はPCを持って移動、移動。おまけに“こいつ”だ。仕事って、どうしてこんなに面倒なんだろう」

　A社営業課長、ウエムラは登壇予定のカンファレンス会場に到着するなりため息をついた。通勤時間は3本の電車を乗り継いで延々１時間半。クタクタになって会社に着くと、今度は社内や社外、各所での打ち合わせやプレゼンが待っている。しかもそのたびに、面倒なPCへのパスワード入力が付きまとうのだ。

　「まったく……HDDの暗号化やら二段階認証やら、面倒なことばかり増やして、一体うちの情シスは何を考えてるんだ。現場の身にもなってみろ」

　そうこぼしながらウエムラは周囲を見回し、誰にも見られていないことを確認してから“いつものノート”をそっとカバンから取り出す。PCを起動するためのパスワードは会社から付与されたもので、あまりにも長く複雑だ。営業予算とクライアントの表情ばかりを考えざるを得ないウエムラにとって、そんなものを覚える余裕などない。

　「えーと、ぜっとじーえーえぬはちきゅー……」

　思わずパスワードを音読してしまうこともある。こんなことではいつパスワードが盗まれてもおかしくないが、HDD暗号化を解除すればWindowsログオン、お次は業務アプリケーションへのログインと、パスワードだらけの世界に、ウエムラは疲弊し切っていたのだ。講演資料に軽く目を通して、本番をイメージする。

　「よし、外にコーヒーでも買いに行こう」

　そうしてウエムラが控室を出るのと行き違いざまに入室してきた1人の男。彼こそは、A社最大のライバル企業B社の営業担当、イシカワであった。

「……」

　イシカワの目が怪しく輝いた数日後、課長ウエムラを悲劇が襲う。なんとB社が、自分がかねて狙っていたクライアントからの大型受注に成功したとのニュースが社内を駆け抜けたのだ。

　「B社め……、一体何を提案したんだ？」

　プロジェクトの中身を知って、ウエムラは自分の目をうたがった。なんとその内容は、なかなか首を縦に振ってくれないクライアント担当者に半年以上通い詰め、自ら練りに練った渾身の企画そのものだったのだ……。

面倒な「パスワード管理」をユーザーに求めないでください

　パスワードの管理が甘かったために、ウエムラはPCにある企画ファイルを盗み見られてしまうという悲劇に見舞われてしまった。だが、こんなユーザーを正面切って責められる人が、一体どれだけいるだろう？

　「長く複雑なパスワードを、サービスやアプリケーションごとにバラバラに設定する」。幾度となく語られてきたパスワード管理の大原則は、複数のWebアプリケーションを使いこなさなければ仕事ができない現在、もはや限界にきている。そんなパスワード管理の手間をユーザーに一方的に押し付けること自体に問題があるのだ。

　では、ユーザーに負担を掛けず、かつ“強固な”認証を実現する手だてはないものなのだろうか？ これについては、既に各方面で対策が進んでいる。例えば認証に関する標準化団体FIDOは「二要素認証」などのパスワード漏えいによる被害を防ぐ認証方式を提案しており、同団体に加盟するMicrosoftやGoogleなどの名だたる企業も、その実装に向けて動き始めている。また、金融機関のサービスを個人で使用しているユーザーならば、既に「ワンタイムパスワード」（OTP）にはなじみがあるだろう。「パスワードのない認証方式」、あるいは「パスワードが漏れても安全な認証方式」は、スタンダードになりつつある。

　ただし、これらは安全性という面ではユーザーにとっても望ましい変化だが、懸念点もある。例えば二要素認証の場合、やはり「面倒くさい」という声がよく聞かれる。OTP認証ならば、IDとパスワードの入力後、認証トークンやスマートフォンでOTPを確認し、再度入力するなどの必要がある。ログインのたびにこの手間を掛けるのは、ユーザーにとって軽くない負担だ。また生体認証の場合には、「自分の生体情報を登録するのに抵抗がある」という不安の声もある。

　では、こうした懸念を払拭し、ユーザーに極力負担を掛けず、失態を招くようなこともさせず、誰もが本来業務に集中できるセキュリティ施策はないものなのだろうか？――その答えの1つとして、今多くの企業から注目されているのが、認証デバイス「YubiKey」だ。YubiKeyは一体どのようにしてセキュリティとユーザーにとっての利便性を両立してくれるのだろうか？

「YubiKey」の何がすごいのか？

　YubiKeyは、米国やスウェーデンに拠点を置くYubicoが開発するUSB接続型の認証デバイスだ。指紋認証装置のようにも見えるが、その正体は「キーボード」。より詳しくいえば、「OTPを自動生成してくれたり、事前に登録した固定のパスワードを自動入力してくれたりする超小型キーボード」だ。

「YUBIKEY 4」

　ただし、キーボードといっても、入力用のキーが付いているわけではない。行う操作は、「PCなどのUSBポートへの接続と、YubiKeyへのタッチ」のみだ。これで、OTPや固定のパスワードを端末に入力できる。YubiKeyには現在4種類があり、それぞれ、対応するサービスやプロトコルが異なる。

YubiKeyラインアップ

　このYubiKeyはAmazonなどでも数千円で購入可能で、これまで一部の個人ユーザーによって愛好されてきた。Google AppsやDropbox、GitHubなどのWebサービスに対応しており、「普段使いのアプリケーションで、安価に、かつ楽にOTP認証などを実現できるデバイス」として評価されてきたのだ。

YubiKeyの対応サービス

　そんなYubiKeyだが、昨今、企業での導入が検討されるようになってきている。国内販売代理店であるソフト技研 代表取締役 藤田法夫氏によれば、その最大の理由は「企業における二要素認証導入ニーズの高まりにある」という（関連記事）。前述の通り、「OTP」や「生体情報」を使った認証方式では、パスワード入力の手間や生体情報の登録に対するユーザー側の抵抗が拭い切れない。YubiKeyはそうした課題をクリアする認証デバイスとして注目されているのだ。

セキュリティの手間を省き、業務に集中できるようにする「YubiOn」サービス

　そんなわけで、簡単なパスワード管理の方法を探し求めていたウエムラの耳にもYubiKeyのうわさは飛び込んできたのだった。早速、ソフト技研にコンタクトを取るウエムラ。今回レクチャーをしてくれたのは、ソフト技研 クリエイティブデザイナーの星野智子氏だ。

ソフト技研 クリエイティブデザイナー 星野智子氏

星野氏　ソフト技研では、「YubiOn」というブランドの下、YubiKeyを使ったサービスとして「Windowsログオン」「業務システムでの認証サービス」「シングルサインオン（SSO）サービス」を提供しています。これらを導入すると、安全な認証を、とっても楽に実現できるんですよ！

ウエムラ　それぞれどんなサービスなんですか？

星野氏　「Windowsログオン」は、文字通りWindowsへのログオンにYubiKeyを適用するものです。ツールで設定するだけで、Windowsログオン時に「パスワード＋YubiKey」「YubiKey単体」のいずれかの認証方式を利用できるようになります。端末からYubiKeyが取り外された際にOSを自動的にロックすることも可能で、離席時のロック忘れも防止できます。今回は、「パスワード＋YubiKey」で試してみましょう。どうぞ、実際に触ってみてください！

ウエムラ　パスワードを入力して、YubiKeyを挿して……、ここにタッチすればいいのかな？ あ、ログオンできた。

星野氏　実はこれだけで、今注目されている「二要素認証」が実現できています。

ウエムラ　へえ、二要素認証って、面倒なイメージだったけど、これなら楽ですね。これは「指紋認証」というやつですか？

星野氏　いえ、よく勘違いされるのですが、YubiKeyは指紋認証デバイスではありません。指紋の読み取り装置のように見える部分は、静電容量式センサーといわれるパーツで、ここにタッチすることで、OTPが自動的に入力されます。

ウエムラ　普段はこのYubiKeyを持ち歩いていればいいわけですか？

星野氏　はい。そうすれば、たとえパスワードが漏れてもログオンされる心配がなくなります。YubiKeyはハードウェアとしてもとても頑丈で、高い耐水性、耐圧性、防塵性を備えていますから、誤って水中に落としてしまったり、踏みつけてしまったりしても、故障の心配はほとんどありません。カギなどと一緒に持ち歩く人もいますし、アクセサリーのように身に着けている人もいるんですよ！

ウエムラ　もし、YubiKeyをなくしてしまった場合は、どうすればいいんでしょう？

星野氏　例えば、「あらかじめ複数のYubiKeyを端末に登録しておき、バックアップ用のものを管理者に預けておく」などの運用が考えられます。二要素認証なら、YubiKey単体でのログオンはできませんから、管理者からバックアップキーを受領した後で、紛失したキーの登録情報を消去すれば対処完了です。

ウエムラ　なるほど。カギのように“モノ”として管理できるというのは、何となく安心感がありますね。他のサービスはどんなものなんでしょう？

星野氏　「業務システムでの認証サービス」は、企業独自の業務アプリケーションやWebサービスへのログイン、VPN接続などに二要素認証を導入するサービスです。管理者側では認証サーバの設定など幾つかの導入作業が必要となりますが、ユーザー側の負担はほぼ変わりません。Windowsログオンと同じように、ID、パスワードを入力して、YubiKeyにタッチするだけです。

サービス利用時のイメージ

星野氏　「SSOサービス」は、Google AppsやOffice 365、salesforceなどのクラウドアプリケーションでのシングルサインオンを実現するものです。お仕事でこうしたサービスを利用されていますか？

ウエムラ　はい。幾つか使っているものがあります。

星野氏　SSOサービスを導入すると、これらのクラウドサービスに、専用画面ログインからワンタッチでログインできるようになります。もちろん、ユーザーはYubiKeyにタッチするだけです！

SSOログオン画面

ウエムラ　へえ、こんなに便利なものを導入しない手はないな。早速情シスに掛け合ってみよう！

応用パターンは無限大？ 企業に合わせて形を変えるYubiKeyの可能性

　こうして、ウエムラの苦い経験をきっかけにYubiKeyが全社導入されたA社。直感的な使用感は、他の社員からも好評だ。情報セキュリティの不安を払拭し、課長としての自信も取り戻したウエムラは、今日も意気揚々とクライアント先へ向かう。実はYubiKeyに、「ICカードとして使う」「固定パスワードを登録する」など、数々の応用方法があるということをつゆほども知らずに……。

「ソフト技研では、顧客特有の業務要件やシステム環境に合わせた認証方式の実現を支援しています。二要素認証の導入などでお困りの企業の方は、ぜひお気軽にご相談ください！」

※本稿のストーリーはイメージであり、実在の人物・団体とは一切関係ありません。

提供：株式会社ソフト技研
アイティメディア営業企画／制作：＠IT 編集部／掲載内容有効期限：2016年10月28日