「プライベートと勤務先で同じパスワード」 危険と認識、まだ2割ITmedia エンタープライズ読者調査

ITmedia エンタープライズと富士通は、企業における業務用PCとユーザー認証についての実態調査を実施した。

» 2015年01月20日 14時00分 公開
[ITmedia]

 ITmedia エンタープライズと富士通はこのたび、企業における業務用PCとユーザー認証方法についての読者調査を実施した。調査によると、懸念されるセキュリティ課題のうち「端末の紛失と盗難」と「内部関係者による情報の持ち出し」への対策が懸念とする回答がそれぞれ6割に達するという結果となった。

調査概要

  • 目的:企業における業務用PCとユーザー認証に関する実態の分析、考察
  • 調査方法:Webによるアンケート
  • 調査期間:2014年12月22日〜2015年1月7日
  • 有効回答数:427件

「パスワードの管理をユーザーに委ねる運用方法」がまだ多くを占めている

 業務端末より各種業務システムへログインする際の認証方法は、回答者全体の89.7%が「固定パスワード」で、これ以外に「ワンタイムパスワード」(8.9%)、「生体認証(指紋)」(8.2%)、「磁気/ICカードとの組み合わせ」(8%)が続いた。

 ワンタイムパスワードや磁気/ICカードは固定パスワードと組み合わせて運用するため、複数回答となる率が高く、個人情報を扱う端末など社内の一部のみとする回答も含まれると想定する。ただ、固定パスワードをユーザーに入力させる手段が存在する、つまり、パスワードの管理をユーザーに委ねる運用方法がまだ多くを占めている傾向も見てとれる。

photo 業務用PCログイン時のユーザー認証方法

 では、このパスワードのポリシーをどう設定しているか。会社で、パスワードの安全性を高める施策として何を実践しているかを問いたところ、「パスワードの最小文字数を指定」(60.9%)、「パスワードの有効期間を設定」(58.5%)、「パスワード文字種を複数組み合わせる」(55.3%)が上位となった。基礎の基礎と言える施策のため複数回答が多く、何かは当然実施していることが伺える。

 一方、「パスワード履歴を記録」(37.7%)といった管理側に必要な機能、そして「業務システムごとに異なるパスワードを設定」(10.5%)や「使用できないNGワードを指定」(17.3%)など、固定パスワード自体のセキュリティを高める対策の意向はやや少ないことも分かった。中には「教育や注意喚起のみ」という人も7.7%存在した。

photo パスワードポリシーの設定状況

「パスワードを使い回す」はNG? 情シスとユーザー間で意識差

 これら全体の傾向に対し、情シス部門は具体的に何を課題にしているか。ユーザーのパスワード管理状況について情シス部門へ具体的に何をリスクとして認識しているかを聞くと、「メモや付せんに書いて置いている」(44.2%)、「定期的にパスワードを変更していない」(42.3%)、「複数の業務システムでパスワードを使い回している」(41.7%)が上位となった。

 “付せんにパスワード”は昔から危険と言われていたことだけに、そのようなユーザーはさすがにもういないと思うかもしれない。ただ、認識するリスクとして最上位にあるということは、まだこのようなユーザーが存在すること、情シス担当者の指導や教育といったリスク回避の対策がいまだ必要であることを示した。

 一方、回答が多かった「複数の業務システムでパスワードを使い回すのはリスク」に対し、「プライべートと勤務先でパスワードを使い回す」こともリスクとして認識していた情シス読者は20.5%ほど、全体でも22.2%ほどしかいなかった。

photo リスクとして認識しているパスワード管理状況

 これらをふまえ、情シス部門は現在のユーザー認証方法にどんな課題を抱えているのか。「ユーザーの意識・リテラシーが低い」(61.5%)を筆頭に、「“なりすまし”のリスクがある」(32.7%)、「ID/パスワードが流出するリスクがある」(26.9%)など、システムをどう守っていくかに関わる項目に多く票が集まった。

 また、「ユーザーの意識・リテラシーの低さ」とともに「ユーザーのパスワード忘却時に工数がかかる」(26.9%)、「認証ログを残せない」(12.2%)、「パスワード増加などで、情シスの負担が増えている」(23.1%)など、管理部門ならではの悩みも多かった。業務用PCの導入を検討する際に信頼性を重視している読者が59.7%いる一方で、実際にはリスクの認識自体ができていなかったり、価格を優先したり、実態がともなわないでいることが明らかになった。特に「ユーザーの意識・リテラシーの低さ」は、情シスの61.5%に対して全体(ユーザーと経営者)では50.1%と、かなりの意識差があった。

 パスワードの流出時に影響範囲を最小限にとどめる効果のある「システム個別にパスワードを設定する」に関わるパスワード増加の運用方法においては、「ユーザー」も「情シス」も、どちらも負担が大きいと思っていることが分かった。

 業務端末へのユーザー認証手段にリスクが高まっている。ユーザーも情シス部門も、パスワードの管理がとても大変と感じている。しかし、ユーザーも、情シス部門も、有効な具体的な対策はとれていない。この現状は、固定パスワードをユーザーに管理させるこれまでの手段とは考え方を大きく変えた、新たなユーザー認証の手段が必要であることを端的に示しているのではないかと考えられる。

photo 現在のユーザー認証方法の問題点や懸念点
photo 業務PCの導入を検討する際に重視する項目

 今後、新しいユーザー認証技術や製品を選定するなら、どの点を重視すべきか。「運用・保守に関わる費用と工数」が48.1%、次いで「導入にかかる費用と工数」(42.3%)など、自身が実務として直接関わる運用や保守、工数とそのコストを意識した回答が多かったほか、ユーザーの利便性を高める「シングルサインオンへの対応」(38.5%)、「ユーザビリティの高さ」(34%)、「既存の業務システムとの連携」(23.7%)への意識も高かった。

 これらに並んで「内部関係者の情報持ち出しを抑制」(34%)も上位に入ったが、プライベートとビジネスでパスワードを使い回していることがセキュリティリスクになる「リスト型アカウントハッキング攻撃」対策までを考えている読者は17.3%と低かった。

photo 新しいユーザー認証技術/製品選定時に重視すること

回答者プロフィール

 回答者の割合は、業務部門ユーザーが48%、情シス担当者が37%、決裁者が15%。従業員規模は1000人以上32.1%、100〜1000人未満が37.5%、100人未満が30.4%。情シス担当者のうち、73.1%が「導入候補の製品を選定/検証する立場」に関わっている。

photo 回答者プロフィール(有効回答数:427件)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ