脆弱なパスワードは、攻撃者がアセットに侵入する足掛かりとなります。今のところパスワードの使用を回避することはできませんが、適切なソフトウェアによりパスワードを安全に使用できます。

多くの点で、パスワードはセキュリティ対策として不備があり、安全性にかける脆弱なパスワードは、ユーザー、システム、データを危険にさらす最も重大な原因の1つです。犯罪者が中堅・中小企業のオンラインアカウントにログインできた場合の損害レベル、そして、最新のランサムウェアの被害者になる以前に、攻撃者がネットワーク管理者アカウントを取得した場合に被る被害を想像してみてください。

また、日常的に多くのユーザーや企業が侵害された脆弱なパスワードによる被害を受けており、パスワード侵害の話を常に耳にするという状況です。Words with Friends (WwF) というゲームをしたことはありますか? 昨年9月にあるハッカーが、2億1,800万人のWwFユーザーデータを製作会社であるZynga社から盗みました。被害状況については、こういった侵害を受けたデータ情報を収集して影響の有無をユーザーが確認できるサイトであるHave I Been Pwned? (HIBP) で確認できます。2019年末には、HIBPデータベース内の侵害を受けたアカウント総数は90億を超え、そのうちの50億8,161万3,319アカウントが、規模が大きな上位10件の侵害によるものでした。

攻撃者は、あるサービスから盗んだ認証情報を他のサービスへのログインに試用します。これはクレデンシャルスタッフィングと呼ばれ、重大な被害を引き起こす恐れがあります。複数のサイトで同じユーザー名 (おそらくはメールアドレス) を使い回していませんか?

パスワードよりも優れたセキュリティ対策が可能になりつつありますが、それぞれが固有の問題を抱えており、ログインが必要なすべてのサイトで使用できるとは限りません。実際問題としてほとんどの企業、特に中堅・中小企業は、しばらくの間パスワードの使用を余儀なくされます。そこで問題となるのが、パスワードを使用する場合の最も安全な方法、逆に言えば最も安全性が低い方法は何かということです。最も安全な方法とはベストプラクティスに従うことであり、パスワードマネージャーを活用することがベストプラクティスに従う唯一の現実的な方法です。

 

パスワードの正しい使用方法

• ベストプラクティス (実行すべきだと知っていても、非常に困難なため実行しないこと) は、以下のとおりです。
• 同じパスワードの使い回しをしない。Webサイトごとに違うパスワードを使用する。
• 「letsgomets」のような覚えやすいパスワードではなく、「8&TifWT4h6jS06」のように比較的長くて複雑なパスワードを使用する。
• 自分のパスワードが過去に侵害されたパスワードリストに載っていないことを確認する。

 

これらすべてを自分で実施するのは困難ですが、パスワードマネージャーのサポートにより、容易にベストプラクティスに従うことができます。コンピューターやスマートフォン上で動作するプログラムであるパスワードマネージャーは、さまざまなWebサイトのアクセスに使用するユーザー名とパスワードを管理します。他にも機能はありますが、管理することが主な機能であり、このYouTubeビデオではパスワードマネージャーに関する簡単なデモと説明をしています。

パスワードマネージャーのアカウントには強固なパスワードを設定でき、ワンタイムパスワード アプリやセキュリティキーなどの第2要素と組み合わせることが理想的です。アプリケーション、一般にはブラウザーがサイトのログインプロンプトを表示すると、パスワードマネージャーがそれを検知し、自身のデータベース内で該当サイトを検索し、そのサイトのユーザー名とパスワードを提供します。該当サイトに複数のログインアカウントを所有している場合は、そのすべてを提示して選択できるようにします。

パスワードマネージャーのデータベースは、ローカルストレージとプロバイダーのクラウドストレージの両方で強力に暗号化されています。通常、そのプロバイダーはパスワードマネージャーの認証情報を保存しないため、認証情報を喪失するとデーベース全体を失う恐れがあります。これは甚大な被害につながる可能性がありますが、パスワードマネージャーの十分なセキュリティを確保するために不可欠なことです。

 

マルチユーザー ライセンス

パスワードマネージャーの多くは、販売当初から今に至るまで1ユーザー単位での販売ですが、制限付きの無料版が提供されている場合もあります。中堅・中小企業で複数ユーザーのセキュリティを担当している場合は、複数ユーザーの管理機能とボリュームディスカントがあるものを探す必要があります。多くのパスワードマネージャー プロバイダーは、チーム、家族、企業向けの各種バージョンを提供しています。

中堅・中小企業には適していないツールを備えた高額なエンタープライズ向けに設計された製品は、あいまいな言い方をすれば、専門的に管理されたネットワークを保有する企業には適しているかもしれません。

以下は、完全なエンタープライズ統合を実装していない企業向けのパスワード管理製品のリストです。予想よりもはるかに多くの製品があり、見落としている製品がある可能性もあります。

• LastPass Teams
• 1Password Business
• RoboForm for Business
• Dashlane Business 
• Keeper Business 
• Zoho Vault for teams
• Password Boss for business
• StickyPassword for teams
• Bitwarden Teams
• TeamsID Business Password Manager
• TeamPassword

 

これらの製品は、他のユーザーとのログイン情報の共有機能を主なチーム機能として提供し、おそらく管理者によるユーザー管理機能も有します。管理者は、新規ユーザーの登録、共有項目やそれにアクセス権を持つユーザーの一元管理、デバイスの認可と取り消し、パスワードマネージャーの各機能へのアクセス制御などができます。

各ユーザーのアクセス権やアクセスレベルを制御するために最適な管理システムを実装している場合もあります。時間の経過とともに情報は変化するため、これらの各機能をどの製品が実装しているかは説明しませんので、導入時にご自身で比較してください。

そして、これらの製品はチーム機能を備えたものに限定しています。製品によって価格には大きな開きがあり、操作性にも違いがあります。PCMagでは、チーム機能と他の管理機能の比較は行っていないものの、10製品に関する最新概要など、パスワードマネージャーについて頻繁なレビューを実施しています。

さらに、Google Chromeにパスワードマネージャーが組み込まれていることにお気付きかもしれません。実際のところ、ほとんどの人にとってはGmailであるGoogle Accountの機能です。Googleクラウドベースの生産性向上のためのアプリであるG Suiteを使用している組織であれば、管理者が以下などの管理タスクを実行できます。

• Googleのパスワード強化ツールに基づいて、強化パスワードを義務付け、特定の強度を設定する。
• 最低パスワード数を設定する。
• パスワードの有効期限 (ユーザーによるパスワード変更が必要になるまでの日数) を設定する。以下で説明するように、有効期限はもはやベストプラクティスではありません。
• どのチームベースのサードパーティのパスワードマネージャーも、はるかに多くの機能を備えています。

 

セキュリティと利便性

このようなシステムを導入したら、前述のベストプラクティスの実装を開始できます。ほぼすべての製品が、レポジトリ内のパスワード分析を実施し、重複したパスワードや脆弱なパスワードを確認できるレポートを生成します。このレポートをもとに、企業は安全性の高いパスワード使用を実現できます。

セキュリティと利便性の間には、通常トレードオフが存在することを理解することが重要です。これはテクノロジーだけでなく実生活においても言えることで、例えば飛行機に乗るということがそれに相当します。というわけで、パスワードマネージャーはパスワードの使用を容易にするのではなく、パスワードの安全な使用を容易にします。

すべてのパスワードマネージャーの操作は、平均的なユーザーにとっては困難な可能性がありますが、1ログインずつパスワード管理システムに移行しながら、移行プロセスを進めることをお勧めします。または、ユーザーごとに異なる時期に移行することで、古いパスワード入力が可能な状態のまま、新しいシステムに慣れてもらう時間を提供できます。しかしこれによって、パスワードマネージャーを使用していないユーザーのログイン管理ができないため、パスワードマネージャーの本来の目的であるパスワードの安全性向上を先延ばしにすることになります。

ユーザーにとってパスワードマネージャーの難易度が高い最大の理由は、パスワードマネージャーが常にうまく機能するわけではないということですが、パスワードマネージャー自体に厳しい判断を下す前に知っておくべきことがあります。ユーザー名とパスワードをログインフィールドに自動入力するということは、ユーザー攻撃に使用される悪意のあるソフトウェアと同様のこと行う必要があります。そのため、ブラウザーやWebサイトは、実際の攻撃だけでなくパスワードマネージャーにも困難を強いる防御策をとっています。

私が個人口座を持っている、誰もが知る最大手の銀行のWebサイトにもこの問題があり、パスワードフィールドの自動挿入は何年も機能していません。2つのパスワードマネージャーを試しましたが、うまく機能しませんでした。この回避策は悪いものではなく、入力フィールドかブラウザーのエクステンションバーのどちらかにあるパスワードマネージャー アイコンを使用してパスワードをクリップボードにコピーし、手動で貼り付けます。大したことはありませんが、少し面倒であり、本来の目的を果たしていません。銀行のモバイルアプリケーションでは、デバイス上の指紋認証と顔認識を使用できるため、スマートフォンではこの問題は起こりません。

アメリカ国立標準技術研究所の最近のガイドライン ドキュメントでは、サイトとパスワードマネージャーとの連携動作が推奨されていますが、このメッセージはまだ浸透していません。 (自社のインターネットサービスを提供しているシステムで、顧客が問題なくパスワードマネージャーを使用できるかを確認する良い機会かもしれません。)

パスワードマネージャーの使用は、古くて安全性の低い方法でのパスワード使用に比べて決して容易ではなく、取り入れる気のないユーザーにとっては純粋に負担としか受け取られません。そのため、ユーザーに移行計画を説明する際は、パスワードセキュリティへの真剣な取り組みが会社にとっていかに重要であるかを伝える必要があります。そのような改善の取り組みは、少なくとも今後実装するあらゆる技術と同様に重要であり、セキュリティシステムやプロシージャーを最大限に活用することにつながります。

 

パスワードマネージャー：リーダーへのアドバイス

• 内部システムと外部アカウントのパスワードに対するベストプラクティスの実施をベンダーやパートナーに強く要求する。
• 従業員の協力なくして、適切なセキュリティの実装は困難なため、企業におけるセキュリティへの真剣な取り組みの重要性を従業員が確実に理解できるようにする。
• 記憶やポストイットメモの使用だけでは、パスワードを安全に使用することはできないため、主要パスワード管理機能をすべて備えた管理システムが必要。

_{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。}