昨今、在宅勤務が常態化する中で、組織が直面するセキュリティ課題も変容している。とりわけ、近年巧妙化するフィッシングの脅威や複雑なパスワード管理は、組織のセキュリティ対策を講じる上で喫緊の課題である。

前編ではフィッシングへの回避策について述べたが、後編となる今回は組織がパスワード管理から脱却すべき理由について解説する。

複雑なパスワード管理

銀行口座、オンラインショッピング、業務アプリケーションへのアクセスなど、今日、日常の多くの場面でIDとパスワードの認証が求められる。しかし、人々は一つのパスワードを複数の場面で使い回すことが多く、それはサイバー攻撃者の間でも周知の事実となっている。サイバー攻撃者は不正アクセスを実行し、情報を盗み出す最も簡単な手段として、脆弱なパスワードを標的とする。

一方、頻繁に促されるパスワードの更新やパスワード設定における厳しい条件などによって、ユーザーの中では「セキュリティ疲れ」が生じているのも現状である。これを裏付けるように、当社の調査では、セキュリティ担当上級役員の86%は、「認証に関するユーザー体験の最適化は重要である」と回答している。

また、Ponemon Institute社の調査では、ITセキュリティ担当者とビジネスユーザーの過半数(55%)は、パスワードを必要としないアカウント保護を望んでいる、とまとめている。これらの現状を踏まえた上で、組織がパスワード管理から脱却すべき6つの理由を以下に紹介する。

複雑化するパスワード設定

仕事とプライベートを含めて、人々が使用しているパスワードの数は、一人当たり平均85個にも上るとされている。使用するパスワードの数があまりにも多いため、期限切れのパスワードを更新する際、大半のユーザーは一文字変更する程度で、パスワード更新の本来の意味を失ってしまっている。

また、多くの組織ではITチームにより安全性の高いパスワードの作成方法が推奨されているが、こうした方法は往々にして軽視されがちだ。仮に、推奨されているパスワード設定に則った場合でも、認証情報をブラウザに保存したり、Excelシートや付箋に書き写したり、一つのパスワードを複数の場面で使い回すなど、高リスクの習慣は一般化してしまっている。

パスワードや認証情報の窃取

サイバー攻撃者は、フィッシングやなりすましなどの一般的な手法を用いて、認証情報の窃取やクラッキングを容易かつ継続的に行っている。

Verizonが発表した「2021年データ漏洩/侵害調査報告書」によると、ハッキングによる不正アクセスの内、約80%は窃取された、あるいはブルートフォース攻撃(※1)を受けた認証情報に由来するとされている。

パスワード管理不備によるITチームへの負荷と生産性低下

パスワードの紛失や更新を怠ることにより、ユーザーがアカウントや社内リソースにアクセスできなくなった場合、ユーザーだけでなく組織のITチームの時間が奪われてしまう。その度に、ITチームは、パスワードのリセットやユーザーに必要なアクセス権の取得のサポートを行わなければならない。

当社の調査によると、パスワードに関する問題解決に費やされる時間の経済的損失として、従業員1,000人規模の企業では、年間約49万5,000ドルの支出が発生していることが明らかになった。本来のビジネス業務に集中できないことで、従業員の生産性は著しく低下するだけでなく、ITチームも長時間の労働を強いられてしまう。

パスワード管理ソフトの有効性

パスワード管理ソフトの導入は、認証情報の記憶や、ブラウザへの保存の必要がなくなるため、パスワードの保護手段として有効だと考えられている。しかし、自宅と勤務先で同一のパスワードを使い回しする場合などは、パスワード管理ソフトは決してフールプルーフ(※2)を保証するものではない。

さらに、異なるレベルのシステムアクセスを従業員毎に割り当てる必要がある組織の場合も、パスワード管理ソフトでは機密リソースにアクセスする人物や、その期間を管理することは不可能であり、十分な対応を施すことができない。

また、パスワード管理ソフトでは、ITチームが閲覧できるユーザーのアクセス関連のイベントは限定的であることから、セキュリティの溝が生まれ、リスクが高まってしまう。

パスワードレスの認証手法に対する意識の高まり

前述のように、ITセキュリティ担当者とビジネスユーザーの間ではパスワードを不要とするアカウント保護を求める声が高まっている。また、多くの個人や企業もこの手法に積極的であり、Microsoftが発表したデータによると、パスワードレスのログイン手法は既に毎月1億5,000万人が利用している。

さらに、Experianが発表した2021年版「Experian Global Identity & Fraud Report」では、物理的な生体認証手法(例:顔認証や指紋認証)に加えて、行動ベースの認証手法(例:ユーザー側の労力を必要とせず、受動的に観測されるシグナル)についても、一般消費者の間で快適性と優先度が高まっていることが明らかになっている。

機械学習やシングルサインオンがもたらす効果

今日、機械学習などのイノベーションは、ユーザーに求められるログイン回数を削減し、パスワードに関するストレスを最小限に抑えることに寄与している。また、適応型のシングルサインオン・ツールにより、企業はパスワードに関する従来のセキュリティ課題を克服し、ITヘルプデスクチームの負担になりうるマニュアル型のアクセス認証プロセスを自動化できる。

このアプローチでは、ユーザーとデバイスのコンテキストを分析することで、アクセス要求が「正常」であるかを判断できる。例えば、日常的なアクティビティの一環として、通常はアクセスしないデータベースにユーザーがアクセスを試みる場合や、デバイスの位置情報が通常とは異なる場合、システムはそのことを理解する必要がある。

コンテキストに異常がある場合、システムは、再認証の要求やアクセスレベルの調整などのコントロールを適応させる。このように、機械学習を通じたユーザー行動の分析により、リスクスコアに基づいて、必要に応じたセキュリティを適用し、ユーザーの負担を最小限に抑えることが可能である。

著者プロフィール


細田 博(ほそだ ひろし)

サイバーアーク ソリューションズ・エンジニアリング部 部長

入社以来、プリセールス部門を中心に技術部門全体を統括。20年以上におよぶ経験を生かし、ソリューションの立案から実装まで幅広い分野で活躍している。サイバーアーク入社前はServiceNowやDell EMCなどでプリセールスとして従事し、SaaS、IaaS、ハイブリッドクラウド、パートナーエコシステムの立ち上げを通して事業成長に尽力した。