ファイナンシャルスタンダード株式会社様

「セキュリティ対策は性善説に立たず」全社でパスワードレスを導入
結果的に業務の効率も上がり、テレワーク下で安全な働き方をノンストレスで実現

コロナ禍で緊急事態宣言が発令されていた2021年6月、クラウドサービスの利用拡大に伴いセキュリティ対策としてCloudGate UNOを導入されたファイナンシャルスタンダード様。単なるシングルサインオンではなく、「パスワードレス」としてCloudGate Authenticator（以下、CGA）の生体認証を導入。同社代表福田様にテレワーク下で経営者として重視したセキュリティ対策を伺いました。

個人情報を扱うからには「ゼロトラスト」の構築が必要、パスワードレスはその要だった

テレワーク下でのセキュリティ対策はどのように考えられたのですか？

まず、セキュリティ対策のルールを考えたとき「性善説に立たない」ということを重視しました。セキュリティ対策を構築する際、社員がルールを100%守ってくれるであろうと信用するのではなく、ルールは破られるものだという前提で作らなければいけないということです。つまり、「性善説に立たない＝ゼロトラスト」の対策をしなければ色々な問題が起こってしまうのではないかと考えました。

ゼロトラストの一環としてどのような対策を導入されたのですか？

対策としては、複数のクラウドサービスと連携しなければいけなかったため、SSOサービスとしてCloudGate UNOを導入し、クライアント証明書による端末制限とCGAの生体認証を使ったパスワードレスに対応しました。弊社はGoogle Workspaceや Salesforceの他にもテレワークによって様々なクラウドサービスを利用するようになり、もちろんその中には個人情報を扱うものもあります。自宅から、どの端末からでもサービスにアクセスできてしまうという状況は良くないため、端末制限をかけるためにクライアント証明書を入れ、さらに社用端末として全社員にスマートフォンを配布しているため、パスワードのセキュリティ対策として生体情報を利用したパスワードレスを導入しました。

CloudGate Authenticatorの生体認証でログインする仕組み

ファイナンシャルスタンダード株式会社
代表取締役 福田猛様

パスワードレスを導入することを決めた理由を教えていただけますか？

セキュリティのためですね。パスワードは漏洩するもの、パスワードは問題があると考えたんです。 パスワードが多くなると、どこかに保存するようになり、最終的には分かりやすいところに保存してしまいます。さらにパスワードを保存して、入力してとなると手間がかかるため、同じようなパスワードを使ってしまうようになり、結果として1つのパスワードが漏れるだけでも、リスクの所在が分からなくなるんですよね。パスワードレスはこの問題に対処できますし、ゼロトラストにも繋がるなと。個人情報を扱うからには「ゼロトラスト」の構築が必要で、パスワードレスは要のセキュリティ対策になっていると考えています。

パスワードレスとは

セキュリティ対策の一環が、導入してみたら効率的で
ストレスのない利用を実現

福田様ご自身がパスワードレスとしてCGAを活用されてみていかがですか？

セキュリティ対策として導入したのですが、生産性が向上したなと感じています。 私自身も毎日利用していますが、パスワードを使うことを考えると非常に楽ですし、手間もかかりません。私は顔認証を使っているので、マスクを少しずらさないといけないというのはありますが、労力をかけずに効率的でストレスなく利用できるということはありがたいですね。

社員の方が活用・運用している中で気になる点はありますか？

大きな懸念は今のところはないですね。 弊社には、様々な企業をみてきた経験豊富なファンドマネージャーが在籍しているため、セキュリティへの注目度が高い社員がいます。そういった社員からは、「ここまでクラウドサービスを利用してきている会社はなかった、今後さらにクラウド化していく中で、このようなサービスが確実に伸びていくのではないか」という意見も出ています。さらにOTP（One Time Password : ワンタイムパスワード）を利用したことがある社員からは「OTPは番号を入力しないといけないため手間だったが、今は朝一のワンアクションでサービスにアクセスできるため、苦にならない」といった使い勝手が良いという声も聞いています。

社員の方が実際にCGAの生体認証を使いCloudGate UNOにログインしている様子

今後日本でのパスワードレスの導入は案外早く進んでいく

今後セキュリティ対策として改善したい点はありますか？

弊社だと証券会社のプラットフォームで色々なビジネスを展開しているんですが、そこへのログインは未だにパスワードを使っているんです。定期的にパスワードを変更しないといけないですし、そうすると記憶させて保存してしまったりとで安全性は低くなってしまいます。また、毎日入力するものなので、非常に面倒で手間がかかります。こういったことを考えると生体認証の方が圧倒的に毎日使うものとして、利便性も高いですし、セキュリティも安全になりますから、そこもパスワードレスにできたらなと思いますね。

日本での生体認証などを用いたパスワードレスの導入は進んでいくと思われますか？

日本人は変化が嫌いで苦手だと言われることもありますが、若い人ほどそれを当たり前に使うようになっていくでしょうし、順応性があると私は思っているため、パスワードレスの導入は案外早く進むのではないでしょうか。一度やってみて、それが良いものであれば価値観が変わり、覚えると順応するといったように。例えば、銀行でも指紋認証が増えてきていますし、生体認証も増えてきています。こうやって利用する機会が増えると、入力するよりもそっちの方が便利だとなりますし、いざ慣れると安全性も高いってことが認知されるようになると思います。皆さんもぜひ生体認証を使ったパスワードレスを活用されていくといいなと思いますよ。