多くの企業がサイバー犯罪を恐れ、さまざまなセキュリティ対策を行っている。しかし、意外と見落としがちなのがパスワードの管理だ。実はサイバー犯罪の多くは、パスワードの漏えいや盗難から起きている。とはいえ、多くのサイトやサービスで使い分けているパスワードをすべて記憶するのは現実的ではない。そこで推奨されるのが、パスワード管理専用のソリューションの導入だ。
11月22日に開催された「デジタル×テクノロジー 2023」では、Keeper Security APACのアジアパシフィック地域営業統括本部 統括本部長・黒田和国氏が登壇。黒田氏は、企業が抱えるパスワード管理の課題を取り上げながら、セキュリティ強化と業務効率化を実現するソリューション「Keeper Password Manager」の特長をデモンストレーションとともに紹介した。
情報漏えいの82%はパスワードや認証情報の盗難が原因
多くの人が自身の銀行やクレジットカードのパスワードが漏洩しないように厳重に管理する一方で、会社で使用する業務ツールなどのパスワードについては、それほど重く捉えていないという人も少なくない。こうした背景から、多くのサイバー攻撃の手口にパスワードが利用されていると黒田氏は警鐘を鳴らす。
「実は企業における情報漏えいの要因の82%は脆弱なパスワードや認証情報、機密情報などの盗難によるものなのです。たとえば、誕生日6桁などの単純なパスワードは、すでに“ダークウェブ”と呼ばれるハッカーたちのための闇サイトに流出している危険性が高いです」(黒田氏)
とはいえ、セキュリティを意識して複雑なパスワードを設定すると、今度は「覚えられない」「思い出せない」といった課題が出てくる。実際に90%の人がパスワードを忘れて困った経験を持ち、60%の人がパスワードを使いまわしているのだという。パスワードの使い回しは決して褒められたことではないと多くの人が理解しながらも、11個以上のアカウントを保有している人は30%にのぼるといい、大量のパスワードを管理する煩雑さからつい使いまわしてしまうのだろう。
また、Chromeなどのブラウザにパスワードを保存する機能が搭載されており、これを利用している人は多いだろう。しかし、実はISMS(情報セキュリティマネジメントシステム)はブラウザ上のパスワードマネージャーを非推奨としているため、ビジネス上の利用においては注意が必要だ。
Keeper Securityのパスワード管理ソリューションが、セキュリティ性向上と業務効率化の両方を実現
企業のパスワード管理において、「セキュリティ」と「利便性」の両立を叶えるにはどうすればよいのだろうか。そこで注目したいのが、パスワード管理ソリューション「Keeper Password Manager」だ。
「まずは従業員任せのパスワード管理から脱却しませんか? 当社が提供するパスワード管理ソリューションを使えば、従業員はパスワードを覚える必要がなくなり、会社全体の生産性が向上するでしょう」と黒田氏は力を込める。
Keeper Password Managerは、従業員が個々にパスワード管理を行う「ユーザーボルト」と、企業のパスワード情報を一元管理できるダッシュボード「管理コンソール」を備え、「従業員」と「管理者」の双方に大きなメリットをもたらす。
まず、従業員にとってどのような効果があるのだろうか。
Keeper Securityのパスワード管理ソリューションでは、ユーザーボルトで強固なパスワードを自動生成しパスワード群を管理してくれる。「マスターパスワード」と呼ばれるたった一つパスワードさえ覚えていれば、その他のパスワードについてはもはや覚える必要がない。Chrome、Firefox、Safariなど6種類のブラウザに対応した拡張機能「Keeper Fill」を使うことで、ブラウザ上のIDやパスワードの自動入力もできる。また、既存のパスワードデータのインポートも可能だ。前述のブラウザに保存されているパスワードデータや、Excelに管理しているデータをすばやく取り込むことができる。
さらに、SAML 2.0を使用したシングルサインオン(一度のユーザー認証で複数のシステムの利用が可能になる仕組み)との連携も可能である。すでに利用中のアプリケーションがシングルサインオン対応していない場合でも、本ソリューションで接続すればパスワードレスでアクセスでき、ログイン時の煩わしさからも解放される。
「あるシングルサインオンを導入している企業では、業務で使用する18のアプリケーションのうち、8割に当たる14のアプリケーションがSAML非対応でした。そこで、Keeper パスワードマネージャを導入し、組織のパスワードレス化を実現させました」(黒田氏)
iOSやAndroidといったモバイル環境にも対応済みであり、Mac、Windows、Linuxのデスクトップアプリも用意されているため、オフラインモードでもアクセス可能なのも本ソリューションの大きな特長だ。これらの機能が、従業員の利便性を格段に引き上げることは間違いないだろう。
続いて、管理者の目線ではどのようなメリットを得られるのだろうか。
パスワードを個人で管理するだけでなく、別の人に共有することもできるのだが、共有した相手に対して「パスワードの変更可否」や「さらなる共有の可否」といったセキュリティレベルも設定できる。また、管理者はユーザーに対して強制ポリシーも設定できる。二要素認証を強制したり、社外への共有を制限したりといった管理が可能なので、情報漏えいなどセキュリティ事故のリスクを大きく軽減できる。
このほかにも、サイバーセキュリティ対策を強化させるための優れた機能が多く搭載されている。具体的には、パスワードの脆弱性やダークウェブに漏えいしたかどうかを確認できるモニタリング機能「BreachWatch」や、退職した社員を経由した漏えいを防ぐ機能「プライバシースクリーン」、さらには高度なレポート機能と、情報漏えいなどがあった場合にアラートする機能なども備えている。
3つのセキュリティ認証を取得した、世界唯一のパスワード管理ソリューション
Keeper Securityは、情報セキュリティに関する国際規格「ISO 27001」、米国公認会計士協会によるサイバーセキュリティコンプライアンスフレームワーク「SOC 2(Service Organization Control Type 2)」、さらに米国政府全体機関によるセキュリティ認証「FedRAMP」の認定を取得している。数あるパスワード管理ソリューション企業のなかでもこの3つの認定を取得しているのは同社だけだ。
また、同社は東京・大阪の2拠点に国内のデータセンターを構えており、機密情報は国内に保管しておきたいという日本企業からも絶大な信頼が寄せられている。国内でもすでに大手製薬会社やゲーム開発会社、出版社、証券会社など、多くの国内企業がKeeper Securityのパスワード管理ソリューションを導入している。
多数のアカウントとパスワードの管理が求められ、さらに8割以上の情報漏えいがパスワードや認証の盗難から起こる現代において、従業員自身がパスワードを管理するのは適切とはいえない。運良く今まではセキュリティ事故が起きていなかったとしても、パスワードを考えて記憶し、管理することにリソースを使うのは、本質的ではなく、業務の効率を落としてしまう要因になりえる。パスワードの生成や管理は、信用性が非常に高いKeeper Securityのパスワード管理ソリューションに任せることが、セキュリティ面でも業務効率化の面でも正しい選択といえるだろう。
Keeper Security APACの社員が語る、エンドユーザー任せのパスワード管理の危険性
https://news.mynavi.jp/techplus/kikaku/20230901-2753267/
パスワード流出の怖い話(1)
https://news.mynavi.jp/techplus/kikaku/20231031-2785790/
パスワード流出の怖い話(2)
https://news.mynavi.jp/techplus/kikaku/20231122-2784898/
企業プロフィール
Keeper Security APAC株式会社
〒105-0001 東京都港区虎ノ門4丁目1−13 プライムテラス神谷町 4階
TEL:03-4520-3510
製品ページ:https://www.keepersecurity.com/ja_JP/enterprise.html
[PR]提供:Keeper Security APAC