パスワード管理機能、パスワードボールト、シングルサインオン。IDおよびアクセス管理テクノロジーを使用してセキュアなパスワードを作成および管理する方法として、おそらくこれらの用語を耳にしたことがあるでしょう。しかし、それぞれどのようなもので、どのような違いがあるでしょうか?
パスワード管理機能とパスワードボールトは、同じ種類の製品を指す2つの用語です。これらの製品は、さまざまなWebサイトやアプリのユーザパスワードを暗号化および保存する、セキュアなストレージシステムです。通常、従業員は1つのパスワードを使用してパスワード管理機能にログインし、その後、作業アプリとWebサイト用に作成したすべてのパスワードにアクセスできるようになります。
ただし、最新のパスワード管理機能には、これ以上の機能があります。ほとんどのパスワード管理機能は、従業員がWebサイトやアプリで使用するための強力でランダムなパスワードを生成します。そして現在ほとんどのパスワード管理機能で、ユーザがログインしているサイトの資格情報をフェッチして、ログインダイアログに自動入力するブラウザ拡張機能を利用できるようになりました。これにより、ユーザはパスワードすべてを覚えなくても簡単にログインできます。
シングルサインオン(SSO)は別のテクノロジーで、ユーザが1つのパスワードで1日に1回ログインするだけで、Webサイトおよびアプリに対してセキュアに認証されるようにします。その後、ユーザは作業アプリまたはサイトに、資格情報を再入力することなく自動的にログインされます。
SSOは、データベース内のユーザのパスワードを調べることに依存しません。その代わり、SAMLやOpenID Connectなどの標準に依存し、信頼関係を使用してログインします。つまり、サードパーティのサイト(アプリまたはWebサイト)はSSOツールを信頼して、ユーザが本人であることを検証します。
今日のほとんどのパスワード管理機能はクラウドベースです。もちろん、従業員のローカルマシンのデータベースに保存するパスワード管理機能を使用することもできますが、従業員が携帯電話や別のマシンからWebサイトにログインする場合に、パスワードにアクセスすることが困難になります。とはいえ、多くのパスワード管理機能は、すべてのデバイスおよびブラウザからアクセスできるようにするために、ブラウザ拡張機能またはモバイルアプリをインストールすることを要求します。クラウドベースのパスワード管理機能はまた、サーバやマシンに問題が発生した場合にパスワードを失わないようにするのにも役立ちます。
自分のパスワードをセキュアに保とうとしている個人にとって、クラウドのパスワード管理機能は理にかなっています。スプレッドシートに記録したり、同じパスワードをすべてのサイトで使用したりする(最も一般的な戦術)よりも優れています。
ただし、企業パスワードの課題の解決策を探している場合は、クラウドのパスワード管理機能は最適ではない場合があります。ビジネス向けのパスワード管理機能は、多くの場合、組織のユーザのパスワードをすべて1つのデータベースに保存します。こうなると、パスワード管理機能はハッカーの新しい攻撃対象領域になるだけです。このため、ISEからの最新ニュースはより警戒すべきものになっています。それによると、一部の主要なパスワード管理機能が、ロック状態であってもメモリ内のユーザ資格情報を公開しているということです。パスワード管理機能のマスターパスワードでさえ、公開される可能性があります。
パスワードボールトまたはパスワード管理機能のセキュリティを強化する1つの方法は、多要素認証(MFA)を要求することです。これにより、サイバー犯罪者はアカウントのユーザ名とパスワードを取得してもログインできなくなります。残念ながら、すべてのパスワード管理機能がMFAをサポートしているわけではなく、サポートしていたとしてもシームレスにサポートしているとは限りません。
また、パスワード管理機能は、シングルサインオン(SSO)のようなレベルのセキュリティを提供しません。アプリケーション内でロールや場所に基づいたアクセス権を管理できません。例えば、機密データへのアクセスを制限したり、機密性の高いアクセスを伴うアプリに対してより頻繁な認証を求めたりして、アクセスを改良することができません。安全性が低いと思われる場所からユーザがログインしているときに、一部のアプリやサイトへのアクセスを制限するといったスマート認証を実装できません。
SSOと異なり、ほとんどのパスワード管理機能は、ロールベースのアクセスのためにクラウドディレクトリまたはActive Directoryシステムと同期しません。このため、ITおよびユーザにシームレスな体験を提供できません。また、通常、多くの標準がコンプライアンスのために必要とする、きめ細かい制御と監査機能を提供しません。一方、SSOでは、誰がどこからログインしたかを確認でき、IPまでたどることができます。
最後に、ほとんどのパスワード管理機能は、WebサイトまたはWebアプリでのみ機能します。デスクトップやオンプレミスアプリケーションへの簡単なログインを実現することはできません。LDAPおよびOneLogin Desktopなどの製品を使用するSSOツールは、すべてのアプリケーションとデバイスで同じように機能するシングルログイン体験を従業員に提供できます。その結果、従業員の満足度と生産性が向上します。
MFAによって補強されたクラウドのパスワード管理機能は、シングルサインオンに投資する準備ができていない小規模企業にとって優れた最初の一歩になります。しかし、急成長中の企業や中~大規模の企業の場合、すぐにクラウドのパスワード管理機能では不十分になり、進化するセキュリティと使いやすさの要件を満たすために、より堅牢なシングルサインオンツールを探す必要が出てくるでしょう。