SaaSユーザーは約100のパスワードを使う、セキュリティをどう守るか？

Bleeping Computerは2月26日(米国時間)、「Cybersecurity Training Not Sticking? How to Fix Risky Password Habits」において、脆弱なパスワードを使用する従業員の意識を改善する方法を紹介した。企業や組織は従業員のセキュリティ意識を向上させるためにサイバーセキュリティトレーニングを実施するが、すべての従業員がその意味を理解し行動に移すわけではない。そのような従業員に対し、実施すべき取り組みについて解説している。
○パスワード管理の過大な負担と効率
一般的に一部の従業員は作業効率を重視するため、複雑なパスワードを覚えずに簡単なパスワードを使用する傾向にある。これはサイバー攻撃が「自分には関係ない」という意識に基づいている。この意識を変えるためにサイバーセキュリティトレーニングが実施されるが、継続的な行動に反映させることは難しいとされる。
LastPassの調査によると、サイバーセキュリティトレーニングを受けた人の79%はトレーニングが役に立ったと回答しているが、パスワードの再利用をやめたと報告した人は31%にとどまったという。Bleeping Computerはその原因の一つに管理するパスワードの多さを挙げている。SaaS(Software-as-a-Service)を導入した平均的な組織は130を超えるアプリケーションを使用するため、その従業員は約100ものパスワードを管理することになるという。
○トレーニングの支援
Bleeping Computerは従業員の意識を適切に改善するため、サイバーセキュリティのトレーニングをサポートする取り組みとして、以下5点を推奨している。
○パスワードの監査
Active Directoryを監査して対処が必要なパスワード関連の脆弱性のスナップショットビューを取得する。これによりセキュリティチームは必要に応じてユーザーにパスワードの変更を促すことができる。
○脆弱なパスワードのブロック
適切なパスワードポリシーを設定し、脆弱なパスワード(一般的な単語、キーボードウォーク、業界固有の単語)をブロックする
○侵害されたパスワードの使用を確認
過去に侵害されたパスワードの使用をスキャンする。発見した場合はユーザーに通知して変更を促す。
○パスワードマネージャーの使用
ユーザーにパスワードマネージャーの使用を奨励する。ただし、パスワードマネージャーのマスターパスワードを再利用しないように徹底する。
○多要素認証(MFA: Multi-Factor Authentication)の強制
セキュリティ層を追加するためにフィッシング耐性のある多要素認証を導入し、ユーザーに利用を強制する。この対策により、パスワードが漏洩した場合においても不正アクセスを軽減できる。
○パスワード監査ツール利用のススメ
加えて、Bleeping ComputerはActive Directoryのパスワードを継続的にスキャンして評価するセキュリティソリューションの導入を推奨している。このようなソリューションにより、監査実施後にパスワードを元に戻す従業員の行動を防止し、侵害を軽減可能。また、積極的な組織の取り組みを従業員に示すことで、従業員の意識改革につながるとしている。