IdPがあるのにパスワードマネージャーは必要か？

前回の記事で、ID管理はまずIdPから始めることが基本となるとお伝えしました。

今回は、IdPを導入しているのにもかかわらず、なぜ Keeper のようなパスワードマネージャーが必要なのかについて説明します。

IdPを導入することによって、1つのIDを管理することで複数のサービスにログインできるようになるということは前回でも説明しました。これはSSO（シングルサインオン）という仕組みです。

ただし、実際は、SSO非対応サービスも数多く存在しています。SaaSサービスに関しては、上位プランのみSSOに対応しているケースも多く、ログインにパスワードを利用せざるを得ないケースも多いのではないでしょうか。

また、管理者が把握していないアカウント（無料のSaaSアカウントなど）の利用があったり、1つのアカウントを複数名で利用するケース（取引先から渡されたIDを共有していること）も多いかと思います。これは、SSO対応の範囲外となります。

このような「SSOの抜け道」をカバーする必要があり、これに対応できるのがパスワードマネージャーです。

まず、SSO非対応のサービスや共有アカウントのID・パスワードをマネージャーに保存しておきます。実際に利用する際は、まずパスワードマネージャー自体にログインします。保存されているサービスにログインしようとすると、パスワードマネージャーがIDとパスワードの入力を自動で補助します。

また、SSOの抜け道をカバーする以外にも、パスワードマネージャーには以下のような機能や効果があります。

例えば、クレジットカード、SSHキー、証明書、APIキー、トークンなど、業務で秘匿性の高いクルデンシャル情報を扱っているケースも多いかと思います。これらを、パスワードマネージャーに保存し、認証情報を安全に管理できるようになります。

複雑で強力なパスワードを自動で生成する機能があり、サービスごとに強度なパスワードを考える必要がなくなります。

Keeper を使って、ユーザーにIDやパスワードを安全に共有することが可能です。

また、Google や Microsoft のAuthenticator機能も付帯しているので、 二要素認証コードも Keeper で管理することが可能です。共有しているアカウントで、二段階認証がONになっている場合、二要素認証コードを Keeper で管理することで、コードの共有もスムーズになります。

※デバイスへのアクセス自体を多要素認証などで厳重にロックすることや、重要度に応じてYubikeyなど他の認証手段との組み合わせをご検討ください

ID管理の対策として、IdPの導入は有効です。ただし、実際には、SSO非対応サービス、共有アカウントなど、SSOの対応範囲外であるID・パスワードも多く存在しています。

業務において、IDやパスワード以外にも機密度の高い認証情報を扱っていることが多く、それらはExcelやドキュメントの管理になっているケースがほとんどです。

これらの「SSOの抜け道」や、重要なクルデンシャル情報を安全に保護するためには、パスワードマネージャーは必須となります。

さらに、強度の高いパスワードの生成や、共有機能などを活用することで、業務効率の向上にもつながります。

弊社では、Keeper というパスワードマネージャーをご提供しております。Keeper またはパスワードマネージャーの導入を検討している場合は、こちらからお問い合わせください。