この記事は機械翻訳されました。
具体例として、Boxへのアクセスがブロックされてしまったユーザーのケースを考えてみましょう。数字、文字、記号の組み合わせを正確に入力したつもりでしたが、3回連続で失敗したためアクセスが拒否されてしまいました。チームの締め切りに間に合うよう、重要なドキュメントにアクセスする必要があるため、パスワードリセットを依頼し、ITチームの対応を待たなければなりません。以前は、簡単なフレーズをパスワードに設定し、いつも使っていたため、こうした問題はありませんでした。しかし、現在のITポリシーでは、すべてのアプリケーションでユニークで複雑なパスワードを設定する必要があります。
これはよくあるケースであり、組織全体でパスワード管理を改善すれば解決できる問題です。実際、ハッキング関連のセキュリティ侵害の81%が、窃取されたパスワードや弱いパスワードを悪用して行われたというデータがあります。このため、ITチームが厳しいポリシーを導入するのは理にかなっています。しかし、従業員にとっては、複数のアプリケーションやデバイスで多くの認証情報を管理するのは負担が大きいのが現実です。その結果、覚えやすい(つまり脆弱な)パスワードを使ったり、パスワードを使い回したり、パスワードを忘れるたびにヘルプデスクにリセットを依頼したりすることが少なくありません。この依頼への対応がITチームにとって大きな時間的負担となっています。
パスワードは確かに重要なツールやデータを保護するための追加的な保護手段となりますが、こうした生産性とセキュリティの課題に対する強力な解決策を見つけることは、現代の企業にとって極めて重要な課題となっています。
パスワードマネージャーの問題
パスワードマネージャーは、ユーザーが持つ複数のユーザー名とパスワードを一元管理できる中央ストレージハブとしての役割を果たします。これにより、覚える必要のある認証情報の数を減らす助けにはなりますが、万能な解決策ではありません。
パスワードマネージャーには、人為的なミスによるリスクが伴います。ログアウトを忘れる、弱いマスターパスワードを設定する、二要素認証などのセキュリティ機能を利用しないといった行為が、保護されているはずのパスワードを危険にさらすことがあります。さらに、オンラインパスワード管理サービスでは、過去に深刻な欠陥が見つかり、保存されたパスワードのセキュリティが脅かされた事例も報告されています。そのため、企業にはこれらのリスクを軽減するため、統合的で慎重に設計されたパスワード管理戦略が必要です。
効果的なパスワード管理戦略の基盤を構築する
パスワード管理戦略は、クラウド移行のどの段階にある企業にとっても、現在のパスワード運用を評価し、将来的にパスワードを最適に保護する方法を見極めるための手段を提供します。この戦略の主な目的は、堅固なセキュリティを確保すると同時に、ユーザビリティを向上させ、インフラストラクチャの課題を軽減することです。
まず、現在のパスワード管理に関する内部ポリシーを確認し、見直すことから始めましょう。ヘルプデスクのログを分析すると、組織内でのパスワード関連の問題点が明らかになり、現行ポリシーの複雑さや、最も多くリセット要求が発生しているアプリケーションが浮き彫りになります。この段階では、ユーザーの利用を促進する使いやすさの要素を把握しつつ、有効期限ポリシーを導入することで、パスワードセキュリティをさらに強化する方法を検討することも重要です。
2018年のOktaの「Businesses @ Work」レポートによると、Okta Identity Cloudを利用している多くの組織は以下のパスワードポリシーを適用しています。
- 8文字以上である
- 少なくとも1つの小文字、1つの大文字、1つの数字を含む
- 最大10回のパスワード試行後にアカウントをロックする
- リカバリトークンの有効期限を1時間に設定する
- ユーザー名を含むパスワードを禁止する
こうしたポリシーは堅実な出発点となりますが、これは強力なパスワード管理戦略の始まりに過ぎません。
セキュリティを強化するための2つのシンプルなソリューション
クラウドIAMソリューションは、組織の負担を軽減し、パスワード管理を簡素化するとともに、モバイル対応、生産性の向上、数千台のデバイスを無数のアプリに安全かつ効率的に接続するオプションなど、さまざまなメリットを提供します。
シングルサインオン(SSO)ソリューションは、比類のない使いやすさとシンプルさを提供することで、利用率を大きく向上させます。Oktaのシングルサインオンは、従業員が必要とするすべてのWebアプリやモバイルアプリへのアクセスを一元化し、ログイン時間を50%短縮します。その結果、ログインに関するヘルプデスクへの問い合わせも50%削減されます。
2つ目の重要な要素は、追加の認証要素を導入することです。多要素認証(MFA)は、すべてのパスワード管理戦略に欠かせない要素です。パスワード推測アルゴリズムがますます高度化する中、組織は強力なパスワードを設定するだけでなく、すべてのログインでMFAを適用することでパスワード管理戦略を強化する必要があります。これには、追加のメールアドレス、テキストメッセージ、音声でのワンタイムパスワード(OTP)や、Okta Verifyのようなアプリを利用したプッシュ通知を導入する方法が含まれます。また、MFAはNISTなどの規制コンプライアンスにも必須の要素です。
堅実なパスワード戦略の最終段階は、継続的なレビューと改善です。組織は、新しい戦略の効果を評価するために、定期的にヘルスチェックを実施する必要があります。その結果をもとに、ITチームは残された課題を特定し、ユーザーの利用促進と全社的なセキュリティを強化できます。
チーム全体での実装や導入をスムーズに進めるためのヒントをお探しですか。Oktaの導入ツールキットをこちらからダウンロードできます。
効果的なパスワード管理の実践
堅固で安全なパスワード管理ポリシーの策定は、規模を問わずどの組織にとっても課題となり得ます。調査に基づいた明確なパスワード管理ポリシーの策定は重要な第一歩ですが、真の成功はその実行にかかっています。たとえば、Envision Healthcareでは、パスワードリセットによって年間10万ドルのコストが発生し、IT管理者にとって大きな課題となっていました。しかし、エンドユーザーが覚える認証情報を1つだけにしたことで、パスワードリセットをほぼ完全に解消できました。
クラウドベースのIAMパスワード管理戦略の導入は簡単です。Oktaを利用すれば、初日からすべてのアプリやプログラムがすぐに利用可能となり、複雑な準備作業はすでに完了しています。プロセスは、アプリを追加し、ユーザーを登録して、起動するだけというシンプルな流れです。
