パスワードマネージャーとSSOの棲み分け
弊社では、パスワードマネージャー「Keeper」を販売・提供させて頂いております。 「Keeper」を利用することで、パスワードを安全に保護・共有し、安心して協働できるようになります。 また、それと同時に、Microsoft Entra ID (旧称 Azure Active Directory) や Okta などの IDaaS 製品の販売ならびにこれらを利用した IdP (ID基盤) 導入支援も行っております。
パスワードマネージャーとIdPは共にWebサービスなどにアクセスするためのアカウントを管理するという機能について、同じような捉え方をされることがあります。事実、安全にユーザーのアカウントを保管・管理するという意味では一緒です。他方で、これらは競合するサービスではなく、補完し合うものだと考えています。今回はその点について、ご紹介できたらと思っています。
IdPとパスワードマネージャー、どちらを先に導入するか?
「IdPとパスワードマネージャーの棲み分け」について、教えてほしいという声は、先に私が登壇したイベントにおいても、事前に寄せられた質問の1つでした。また、似た様な質問は普段、パスワードマネージャーをお客様にご紹介する際にも頂戴することがあります。
この質問の大前提として、質問者の方はすでにIdPを導入済みか、導入をご検討されているということになると思っています。
その場合、結論としては、
- まず、IdPを導入し、その後にパスワードマネージャーを導入することをお勧めします。
- もし、緊急の要件があり、すぐにパスワードマネージャーを導入しないとならない場合は、対応後、可能な限り早めにIdPを導入、整備しパスワードマネージャーと連携することをお勧めします。
- IdPとセットでパスワードマネージャーを入れる場合、IdPを基本のログイン基盤とした上で、パスワードマネージャーもIdPを利用してのSSOのみでのログインにします。その上で、SSOができないWebサービスなどにパスワードマネージャーでアカウントを管理し、ログインしましょう。
その他、IdPの導入を未検討・導入予定がないという場合は、すぐにパスワードマネージャーを導入しましょう! パスワードマネージャーを導入した方が良い理由は、先に公開している以下の記事をご参考にしてください。
なぜ、パスワードマネージャーが必要なのか
パスワードの保護や管理がなぜ必要なのか、サイバー攻撃の傾向と合わせて考えてみたいと思います。
IT Admin Blog by ZUNDA
なぜ、IdPが先なのか?
IdPを先に導入した方が良い理由は、1つには「基本的にはID・パスワードよりもSSOを優先した方が良い」と考えているからです。もう少しお話しすると、IdPを活用しながらSSOを行うことで、「いつ」、「だれが」、「どの様なサービスを利用したか」が把握することが可能になります。テレワークなども増えている昨今の職場事情を考えると、これまでの様に会社から社員がアクセスすることを前提とした管理では、足らないことも増えてきていると思います。
また、パスワードはそれ自体が非常に重要な情報資産になります。IdPとMDMなどと組み合わせて、パスワードマネージャーへのログインをより安全にしていくことも、非常に大きな意味を持ちます。
そして、まずは可能な限りWebサービスやSaaSなどへのログインをSSOに置き換えつつ、足らない部分を「SSOにちゃんと対応しているパスワードマネージャー」で補うことが重要になると考えています。
「SSOにちゃんと対応している」という点については、以下のポイントが重要だと思っています。
- IdPの提供するシングルサインオン機能だけでかんたんに利用できること。「マスターパスワード」や「秘密の質問」などサービス独自の認証は必要としない。
- IdP と同期ができ、社員の入退社や部署(グループ)の所属が自動的に取り込めること。
- IdP がもつ高度な認証機能が活かせること。例えばSSOログイン時に端末情報を確認することで社用端末のみ利用可能とするとともに、端末情報の検証をバイパスされないよう、SSOを回避したログイン手法 (パスワードや秘密の質問など) を禁止できること。
これらの点が満たされていると、ユーザー利用の観点からもセキュリティの観点からも安心できるかと思います。
どういったアカウントをパスワードマネージャーで管理するのか?
言い換えると、「どういったアカウントはSSOでの運用に向かない・できないのか」ということになると思います。
共有アカウント
IdPで管理するアカウントは基本的には1ユーザーが1IDを持つことで、その効果を発揮します。先ほど述べた様に「いつ」、「だれが」、「どの様なサービスを利用したか」が把握することが可能になるからです。もし、 共有アカウントのIDをIdP上で作成し、そのログイン・パスワードをチームで共有しているとしたら、だれがいつ使ったのか判別できず、管理の意味をなしません。
一方で、共有アカウントをパスワードマネージャーで管理・運用する場合、まずは誰がいつパスワードマネージャーにログインしたかが分かり、さらにどの記録を利用したかも分かれば、IdPで「いつ」、「だれが」利用したかがわからなくても、パスワードマネージャー側で判別することが可能です。
弊社が取り扱っている「Keeper」では他のサービスと違い、「どの記録を利用したか」もわかるのでおすすめです。
上位プランのみSSO対応のWebサービスのアカウント
これはもう、どうしようもないことですが、予算にも限りがあると思います。そのため、上位プランやSSOがオプション機能として提供されている場合で契約ができない時は、パスワードマネージャーで管理するとよいかと思います。
多くのパスワードマネージャーでは、自動入力機能をサポートしています。パスワードマネージャーに対してSSOでログインできる場合は、間接的ではありますが、該当するWebサービスにSSOでログインしている様な体験を実現することも可能です。
まとめ
簡単でしたが、SSOとパスワードマネージャーの棲み分けについて、解説してみました。IdPとパスワードマネージャーはどちらか一方を導入するものではなく、両方組み入れることで、より確かなセキュリティ体制を構築できるものです。ぜひ、2つ合わせてご検討いただけると良いかと思います。(その場合、先に導入するのはIdPの方がお勧めです。)
Keeper managed by ZUNDA について
ZUNDA株式会社は Keeper Security Inc 認定のMSP代理店として、パスワードマネージャーKeeperを法人・組織の皆様にお届けしております。
組織におけるパスワードの管理の効率化やセキュリティの向上を実現すべく、日本語による充実のサポートと運用管理(マネージドサービス)を日本のお客様に提供します。
詳しくはKeeper managed by ZUNDA 紹介サイトをご覧ください。