トランスリミット創業記.author = 高場大樹

株式会社トランスリミットの代表取締役によるスタートアップ創業期

企業やチーム内でのクソなパスワード管理から脱却するMeldiumのすすめ

今回は、私自身がずっと課題に感じていた「企業やチームでのパスワード管理」について。

前職で全社の情報システム部に所属していたことがあるので、以前から企業セキュリティにはかなり興味があるのですが、大企業では、セキュリティがガチガチで利便性が無い。逆にスタートアップは、セキュリティ?みたいな感じが非常に多いと思います。大抵の場合「セキュリティねえ、わかるよ、わかるけど面倒だよね」みたいな考えを持っている人が多く、あまり積極的では無いような気がします。一度失敗した経験が無いとあまり身近に感じないのではないでしょうか。

セキュリティ対策というとやることはたくさんあるけど、どの企業も抜けているんではないかと課題視していたのが、チームでのパスワード管理。自分自身もリスクあるなあと思いながら暗中模索していたんですが、ようやくそんな悩みを解決できるMeldiumというサービスを見つけてしまいました。しかも、課題を解決しながら更に便利にするという素晴らしさ。

宣教師として布教活動したいくらい気に入っています。

Meldium
https://www.meldium.com
※招待コード付きリンクとなっております。

なので、Meldiumの紹介をしつつ、そもそも何故必要なのかとか課題感を理解していただけるように思っていることを坦々と書きたいと思います。

株式会社トランスリミット、代表取締役高場大樹

企業やチームでのパスワード管理

企業やチームでのパスワード管理はリスクがたくさん。ひと度、パスワードが外に漏れてしまうと大切なデータ(商品情報、顧客情報などの機密情報)が外部の人に見られてしまったり、削除されてしまったり、最悪の場合は公開されてしまう可能性だってあります。

私は過去に情報システム部に所属していた経験もあるので、様々な事例を聞いたりするので、そのリスクを身近に感じています。大企業で情報漏洩なんかあったら大惨事ですよね。我々のようなスタートアップでさえも無頓着にはいられない。

ここでは、企業やチームでのパスワード管理の現状やリスクについて話したいと思います。

管理はちゃんとできてる?

まず、企業やチームでのパスワード管理はどのようにしているでしょうか。企業やチームでは、仕事で使う様々なシステム(社内・社外)にログインするためのパスワードを共有することが多々あります。ユーザごとにアカウントを分けることもありますが、システムによってはユーザごとにアカウントを分けられず、共有のアカウントを利用することもあります。

私の経験や聞いた話を元にしたあるあるパターン
(1) パスワードの掛かったエクセル
(2) Googleのスプレットシート
(3) パスワード管理ツール(Keepass)
(4) Active DirectoryやLDAPを使った個人認証
(5) 権限を持った特定の人しかアクセスできない

下に行くにつれて、セキュリティレベルの度合いが高くなるように並べました。実はつい最近まで、弊社は3番の「パスワード管理ツール(Keepass)」というものを使っていました。Keepassに様々なシステムのID/Passwordを保存して、Keepassの実態ファイルを共有ファイルに置いてメンバー間で共有していました。これ自体は悪いことでなく、割とちゃんとしている方かなあと思います。

もし他にもこんな方法があるぜ!って方がいましたら教えてください。

パスワードが記された実態ファイルの怖さ

あるあるパターンの1、2、3番に該当します。この3つは、共に実態のファイル(2番のGoogleスプレッドシートは実態に成り得る)です。実態のファイルということは、個人のコンピュータに保存したり、ファイルをUSBに入れたり、メールに添付したりと簡単にファイルを持ち出すことができます。悪意があってそのようなことをしたら捕まればいいと思うのですが、「間違ってメールに添付してしまった」とか「コンピュータを紛失してしまった」といったように、悪意が無くとも事故が起きる可能性は否めません。ただの凡ミスが大惨事になった例を知っています。

パスワード管理のためのマスターパスワード

あるあるパターンの1、2番に該当します。この2つは、共にファイルにアクセスをするマスターパスワードが必要となります。管理されているパスワードがどんなに複雑であっても、マスターパスワードが簡単であっては意味がありません。マスターパスワードが複雑になれば、どこかにメモをする。パスワードを管理するために新たなパスワードが存在することになるわけです。誰か1人がそのメモを漏らしてしまうと、関係ない人が管理されている全てのパスワードを知ることができるわけです。

めんどうなアクセス権限の管理

あるあるパターンの2、4、5番に該当します。この3つは人をベースにしたアクセス権限の管理方法です。誰がどこにアクセスをできるか権限を与えるのは一見ちゃんとしているように感じますが、例えば、Googleスプレットシートを共有していたAさんが会社を辞めたとした場合、誰かが忘れずにアクセス権限を無くしておかないと重要な社内情報が筒抜けとなってしまいます。このように管理する場所が分散することにより、管理が行き渡らなくなります。社内からしかアクセスできないようなネットワーク上でなら外部からはアクセスできないため問題とならないことではありますが、外部のシステムを使う場合は気を付ける必要があります。

全てに対応できないよね?

あるあるパターンの4番に該当します。Active DirectoryやLDAPを使った個人認証とは、企業内で発行されるID/Passwordを利用して全てのシステムを同じID/Passwordで個人認証をする仕組み。実際には使うシステム全てを裏で繋げています。パスワードは、3ヶ月に1回変更を義務付けられたりしていて、非常に強固なセキュリティを実現できると思います。ただ、社内で正式化されているシステムならアクセスできても、世の中にある全てのシステム全てに対応はできません。そもそもActive DirectoryやLDAPなんかを使えるところは、かなりの大企業であり、中小企業やスタートアップでは、そんな仕組みを用意しているところは少ないのではないでしょうか。

固すぎて利便性が失われる

あるあるパターンの5番に該当します。権限を持った特定の人しかアクセスすることができないというのは、セキュリティ面からすると、その人次第では、非常にセキュリティの高い仕組みとなり得ます。ただ、他のメンバーも閲覧する必要がありその頻度も高いようなシステムだったとしたら、その権限を持った特定の人は代わりログインする必要がある。権限を持った特定の人とは大抵の場合、偉かったり忙しかったりします。知りたい情報があるのに捕まらなかったり、そもそも声を掛け辛い人だったりと、非効率であり機会損失しか思い浮かばない。権限が特定の人に集中すると、大抵は利便性は失われスピードも落ちます。社内の稟議フローをイメージしてみてください(笑)

Meldiumはパスワード管理のベストソリューション

企業やチームでのパスワード管理は、これまで語ったように様々な問題を抱えています。これから紹介するMeldiumを使わずに解決できる方法を知っている人は是非教えて下さい。

弊社では、約1ヶ月前から10名程で利用しており、14日間の試用期間後は20名までのプランを課金して利用しています。価格帯は非常に安価で、20名までなら月額24ドル、100名までなら月額67ドルです。14日間の試用期間があるので、納得してから課金すると良いでしょう。

Meldium
https://www.meldium.com

Meldiumとは

株式会社トランスリミット、代表取締役高場大樹

Meldiumとは、企業やチームのパスワード共有/管理を安全に提供するパスワード管理システムで、シングルサインオン(Meldiumにログインしておくだけで、各システムでそれぞれログインする必要ない)も同時に提供します。Y Combinator出身の企業で2014年9月にLogMeInという企業が買収しています。

クラウド上でパスワード管理

株式会社トランスリミット、代表取締役高場大樹

Meldiumを利用すれば、パスワード情報を含むアカウントをクラウド上で管理することができます。管理されているアカウントはグループ分けをすることができ、どのユーザがどのグループに対してアクセスする権限があるかを細かく設定することができます。

シングルサインオンで簡単ログイン

Meldiumは、1900を超えるシステム(北米発祥のサービスでメジャーどころは大体抑えている)と連携しており、Meldium上のリンクをクリックするだけで何の入力の必要もなくシステムにログインができます。シングルサインオンの利用はブラウザの拡張機能をインストールしておくことで利用することができます。

共有ブックマークにもなる

株式会社トランスリミット、代表取締役高場大樹

上記で紹介したブラウザの拡張機能は、ブラウザ自体にアイコンとして表示されます。アイコンをクリックすると、利用出来るアカウント一覧が表示され、Meldiumのサイトへアクセスすることなくログインしたいサイトを選択することができます。共有ブックマークのような使い方ができるため、それぞれがブックマークを登録する手間を省いてくれます。

パスワードを伝えない

Meldiumは、連携しているシステムのログインには上記のシングルサインオンが有効となります。その特性を利用して、管理者以外はパスワードの表示やコピーをできないようになっており、Meldiumを利用しないとシステムにログインができない仕組みとなっています。ひとつひとつコピーして保持しておかれることも無くなります。

誰が何をしたか履歴が残る

Meldiumは、システムへのログイン、アカウントの編集など、誰が何をしたのかがログとして残ります。共有のアカウントであっても誰が何したのか分かる仕組みが備わっています。

統合的なアカウント管理

Meldiumは、共有のアカウントだけでなく、社内で利用している個人アカウントの管理もしてくれます。弊社では、GitHubやSlack、Trello、GoogleAppsなどの管理もしています。同じメールアドレスで登録されたシステムであれば、すべてが自動でリンクされて、誰がどのシステムをどのアカウントで利用しているか分かるようになっています。新人が来たらまずMeldiumのアカウントを作って、そこからGitHubやSlackへの招待をすることだってできます。

セキュリティは課題要素

正直な話、すべてのアカウント情報をクラウドに置いているためセキュリティ上のリスクは非常に高いです。Meldiumがハッキングされた時には目も当てられませんから。ただ、MeldiumはYCombinator上がりの話題のスタートアップ(日本ではまだ知名度無い)だし、先日大きな企業に買収されたということもあるので、セキュリティ面はさらに力を入れてくるだろうと思います。そう信じたい。

まとめ

如何でしたでしょうか。企業やチームでのパスワード管理は様々な問題を抱えています。そろそろずさんな管理から脱却しませんか。

Meldiumはというと、セキュリティ面での不安は少なからずあるとは言え、この便利さを持ってすると利用しない手は無いのではないでしょうか。恐らく日本の大企業では使用許可は下りないでしょう。弊社では、リスクはあると知りつつ利便性を最優先し、リスクなんか百も承知で使い始めました。

なので、スタートアップな皆さんに勧めたい!
Meldiumは下記のリンクから利用登録をしていただけますと幸いです。

Meldium
https://www.meldium.com
※招待コード付きリンクとなっております。

追記:リンクについて指摘がありましたので、注意書きを加えました。