企業における従業員のパスワード管理のギャップを埋める

Khizar Sultan 氏、CyberArk ID ソリューション担当副社長

広範囲にわたる従業員のパスワード問題

ITチームやセキュリティチームにとって、パスワード関連の混乱は絶え間なく発生しており、際限のないリセット、脆弱で再利用された認証情報、危険な従業員の習慣など、日和見的な攻撃者が最大限に利用しています。毎秒 7,000 件ものパスワード攻撃が発生しており、企業のセキュリティ リスクと IT コストが上昇しています。

一方、労働力ユーザーはうんざりしています。彼らは、仕事をするためにさまざまなツールやリソースをナビゲートする際に、何十もの一意で強力なパスワードを覚えていることが期待されていますが、それはまったく非現実的です。労働者の 半数近く がいるのも不思議ではありません (49%) 複数の仕事関連のアプリケーションで同じログイン資格情報を再利用していることを認めており、36% が自宅と職場で同じ資格情報を使用しています。これは理解できますが、大きなリスクを生み出します。

一部の企業は、シャドーITの問題を悪化させる消費者向けパスワードマネージャーを自分で選択しています。実際、従業員の 65% が、生活を楽にするためにサイバーセキュリティ ポリシーを回避していることを認めています。付箋や紛失しやすいノートにパスワードを書き留めている人がいまだに多いことに驚かれるでしょう (そして他の人に簡単に見つけられる) または、単に携帯電話にメモとして保存します。たとえば、スプレッドシートなどの暗号化されていないローカル ファイルや、Chrome や Firefox などの安全でないブラウザベースのパスワード マネージャーに認証情報を保存することで、善意の人でも、誤ってリスクを生み出す可能性があります。

残念ながら、AI はフィッシングなどのパスワード窃取手法を新たなレベルに引き上げ、ユーザーのデバイスにマルウェアに侵入し、保存されているパスワードを見つけて抽出し、攻撃者に直接送信することがこれまで以上に簡単になりました。これにより、機密アカウントやデータへの不正アクセスが発生し、重大なセキュリティ リスクが生じる可能性があります。

もちろん、答えはパスワードを完全に排除することです。確かに世界はそう向かっていますが、今ここでパスワードは現実であり、パスワードを保護することは共通の責任です。多くの研究は、従業員の行動とパスワードの習慣を改善するためにサイバーセキュリティ教育が不可欠であることを示しています。さらに重要なのは、従業員が仕事の資格情報を安全に管理および共有しやすいソリューションを提供することです。

組織の従業員ユーザーの半数以上が、従業員が業務で使用するアプリケーションを通じて頻繁にアクセスされる企業の機密データにアクセスできます。

アイデンティティの変化する性質: 特権はどこにでもある

長い間、従業員のアクセスセキュリティに対する標準的なアプローチは、シングルサインオンによる認証などの基本的な制御を中心としていました (SSOの).しかし、これは現代の労働者の現実とアイデンティティの変化する性質を無視しています:平均的な従業員は、次の瞬間、タスクに応じて、高い特権を持つアカウントである低リスクのユーザーになる可能性があります。組織の従業員ユーザーの半数以上が、ビジネスアプリケーションを通じて頻繁にアクセスされる機密性の高い企業データにアクセスできます。

実際、ほとんどすべての従業員が何らかの機密アクセスまたは特権アクセスを持っています。残念ながら、これは、機密性の高い企業データとリソースが、悪者の手に渡るのに弱いパスワードが 1 つであと 1 つである可能性があることを意味します。

さらに、SSO は特定のビジネス アプリケーションしか保護できません。コラボレーション、銀行業務、配送に使用されるツールなど、多くのツールはフェデレーションをサポートしておらず、個々のユーザー名とパスワードでのみアクセスできます。これにより、ITチームやセキュリティチームがアクセスアクティビティを効果的に追跡し、パスワードの複雑さを制御し、ユーザーが不要になったアプリへのアクセスを取り消すことが困難になります。

すべてのパスワードマネージャーが同じように作られているわけではありません

これらのセキュリティギャップを埋めるために、多くの組織はビジネス版の個人用パスワードマネージャーツールに目を向けています。しかし、ほとんどの一般的な製品はパスワードの管理にとどまっており、ITチームやセキュリティチームが次のようなIDベースの脅威から組織を保護するために必要なエンタープライズレベルのセキュリティ機能を提供できません。

• エンドユーザーのアクティビティの可視性と制御。 これらのツールは、アプリへのアクセス方法やパスワードの共有方法を示すことができないため、従業員の DIY パスワード管理アプローチによって引き起こされるリスクを実際に悪化させる可能性があります。たとえば、多くの場合、ユーザーは、エンドポイントを標的とする攻撃者の重要な入り口であるパスワードをブラウザに保存することを選択できます。
• 高度な統合。 従業員のパスワード管理ツールが最も効果的であるためには、多数のIAMシステムやエンタープライズブラウザと統合してサポートする必要があります。しかし、現在市場に出回っている多くのパスワードマネージャーには高度な統合機能が欠けており、ログイン、ログイン後の継続的な認証、ブラウザセッション全体などの重要なポイントで拡張された保護を提供することは不可能です。
• 実証済みのセキュリティ実績。 近年、いくつかの人気のある個人用パスワード マネージャーが直接的および間接的にデータ侵害に見舞われ、ユーザーの個人データが侵害され、機密情報が危険にさらされています。これらのインシデントは、 (または超える) データ保護要件は、実証済みのセキュリティ実績を持つ経験豊富なベンダーによって支えられています。

このシリーズのパート 2 では、エンタープライズ パスワード セキュリティのギャップを埋めるための 4 つのベスト プラクティスについて説明します。これら 4 つの戦略的ステップを採用することで、組織は従業員が気に入るユーザー フレンドリーなエクスペリエンスを生み出すことができます (そして、)、必要なセキュリティ、制御、可視性も確保します。