導入事例

IDパスワードは個人、
デバイスは共有する状態でのパスワード管理の壁

多要素認証の実現以前に、IDパスワード管理はどうされていましたか。

(川野さま) そもそも「IDパスワード管理」は、完全に個人任せで使い回しや漏洩リスクへの対策は軽微な状態でした。もちろん一定期間で変更を促すような仕組みはとってはいますが、実際に対応するユーザー側のセキュリティリテラシーに任せた形でIDパスワード管理を行ってもらっていたので、把握はできていない状態が続いていました。

その上で、今回導入したオートモーティブ事業部しかり、BPO事業における業務形態としては、センターにその日出社した従業員がデスクのPCを利用する、デバイスを共有利用するパターンがほとんどです。そのため、デバイス毎に個々人のアカウント情報を保存されても複数混在してしまうので、本当にIDパスワード管理は個人にどうにかしてもらっていた、というのが実情でした。

結果として「パスワードを忘れてしまった」とか「リセットしてほしい」とか「パスワードの有効期限までに変更しなかったのでリセットしてほしい」といった依頼は、IT部門に日々数件寄せられるようで、運用のフロントを担うIT部門としては煩わしい細々した業務として負担にはなっていました。

このような状況は長らくIT部門とも協議しながら課題や対策の必要性認識していたものの、新しいソリューションやセキュリティ強化関連のツールに関しては長らく情報収集にとどまり、なかなか踏み切るにいたらずにいた、というのが実情でした。

いざ具体的な製品選定時に、GMOトラスト・ログインが候補にあがったきっかけは何でしたか？

(仁部さま) 元々弊社で数年、GMOグローバルサインのSSLサーバー証明書を利用していて、その中で御社のメールマガジンからIDaaSを提供されていることを知りました。当時は「SKUID（スクイド）」という名前でしたよね。SSLやクライアント証明書以外に、パスワード管理のツールがある情報はキャッチアップしていたので、複数のサービスとの連携や多要素認証の実現という面で検討候補に入れていました。

（サービスリリース時からご存じでいてくださって嬉しいです…！）

実際に御社でのIDaaS比較時、決め手となったポイントはどんな部分でしたか？

(仁部さま) 大前提として、「簡単に使える」という点は重視していました。ユーザーも管理者も使いこなせない・機能や構成が複雑すぎるものは導入しても不満や定着しないといったことが懸念されるためです。
具体的な比較を開始当初は、IT部門がGMOトラスト・ログインと海外製品との２つを候補に、加えて情報セキュリティ室ではいわゆる“パスワードマネージャー”を候補として情報を持ち合いました。
パスワードマネージャーでは、パスワードそのものを把握するための用途や機能が備わっている一方、IDaaSでは認証を連携したり、パスワードを文字列として提供せずに共有することで第三者への漏洩などを防ぐといったそれぞれの違いを理解するところから検討していましたね。
最終的には、費用バランスとの兼ね合いを見て、パスワードそのものを把握するよりも、認証情報を連携することでセキュリティを強化するIDaaSを優先しました。
実際、海外製品のIDaaSは、自社の規模と要件を網羅した場合、GMOトラスト・ログインの約５倍近い費用になる見込みだったので、コストメリットはGMOトラスト・ログインが断然よかったです。

今後GMOトラスト・ログインには、パスワードの使い回しや漏洩検知の機能が備わることを期待しています。