fbpx

SSOとMFAがセキュリティを向上させる方法を理解する

今日、IT部門はあらゆる面から圧迫されています。予算は厳しく、コンプライアンス要件は大きく、ITは組織を安全に保ちながら、従業員、派遣労働者、ギグ労働者、ベンダー、パートナーがグローバルに分散したエコシステムで生産的に作業できるようにする役割を担っています。

今日の競争は激化しているため、企業や組織は俊敏性を維持し、変革を続け、新しい手順、システム、およびソフトウェアを迅速に実装できる必要があります。買収、合併、そして絶えず変化する労働力は、それを容易にするものではありません。

デスクでも、タブレットでも、携帯電話でも、従業員は会社のリソースにすばやくアクセスできることを期待しています。同時に、セキュリティについて妥協することはできません。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の従業員は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

これらすべての要件に対応することは、途方もない仕事です。IT部門はそれを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

SANS Institute1によると、調査対象のITプロフェッショナルの42%がエンドポイントが侵害されたと述べています。そして、2017年は侵害の最高基準でしたが、2018年はそれほど遅れていませんでした。

実際、特に新しいデバイスが急増しているため、侵害のリスクは増え続けています。上級IT専門家の82%は、セキュリティ保護されていないIoTデバイスが組織のデータ侵害を引き起こすと予測しており、80%がそのような侵害は破局的である可能性があると述べています。

データ侵害は間違いなく費用がかかります:

● 純粋なドルの観点から見ると、IBMとPonemonによると、違反に対する1人あたりのコストは148ドルに上昇しています。

● 違反の平均コストは、世界中で368万ドル、米国では790万ドルです。

● 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。

● ビジネスの損失は主に顧客の離職によるものです。消費者の75%が、データを信頼できない企業とは取引をしないと言っているためです。

顧客の喪失に加えて、企業にとってのもう1つの大きな影響は、知的財産(IP)の喪失です。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社が回復するまでには長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は非常に大きく、株価は破壊され、市場価値は約14億ドル減少しました。労働力を70%削減し、本社を移転して費用を節約する必要がありました。

これが、組織や企業に課される規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コスト。ただし、データとIPの保護に失敗すると、さらにコストがかかります。最近のセキュリティ侵害は何が問題になっているのかを示しています:

● Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。

● 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。

● 2016年に、ハッカーによって5700万件のUber顧客レコードが盗まれました。

これらすべての理由により、組織と顧客データを保護するためのテクノロジーと手順に投資することは、多額の投資を必要とします。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、および職務分掌(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、特定のポリシーを実施して遵守するためのポリシー管理が含まれます。

パスワードがコンプライアンス部門とIT 部門の焦点であるのは当然のことです。パスワードもハッカーの焦点です。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

● フィッシング。攻撃者は電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。

● スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報の提供を求めます。

● キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。

● クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。

● ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、ユーザー名とパスワードの可能な組み合わせを生成し、アクセス権を取得します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。

● 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労し、オンラインユーザーの73%がずっと同じパスワードを使用しているのも不思議ではありません。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用と個人用のアカウントに異なるパスワードを作成していません。10 個人のパスワードが侵害された場合、組織のデータも侵害される可能性があります。

IT部門は、強力なパスワードを確保するために、多くの場合、パスワードルールを実装し、それをテクノロジで適用します。最新の推奨事項は次のとおりです。

● 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンは実際にパスワードを予測しやすくします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90 日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増大させるだけであり、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の組織は、パスワードのセキュリティギャップを完全に埋める唯一の方法が、IT ツールボックスにシングルサインオン(SSO)と多要素認証(MFA)の2つのツールを追加することであると認識しています。

セキュアなSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

● 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。

● 複数のアプリやウェブサイトにアクセスする必要がある場合でも、従業員がログインする必要がある回数を減らします。

● ユーザーの身元を確認するために、パスワード以外の追加情報をユーザーに要求する。

● ユーザーがパスワードを忘れた場合でも、簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、1組の資格情報だけで1回ログインすることにより、ユーザーが複数のアプリケーションおよびWebサイトで安全に認証できるシステムです。SSO、ユーザーがアクセスに依存していることをアプリケーションやウェブサイトは、第三者が信頼され、ユーザーは、彼らがあると言う人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのIDを検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを要求するだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の追加の認証情報を要求します。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

● セキュリティとコンプライアンスの向上。

● 使いやすさと従業員の満足度の向上。

● ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。SSOでは、従業員が1日に1回だけログインし、1組の資格情報のみを使用するため、攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与が不要になります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、パスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるため、広く受け入れられ、セキュリティの重要なコンポーネントになっています。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの認証情報を獲得する可能性がありますが、たとえばハッカーに指紋や個人的なセキュリティの質問への回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、機能するユーザー名とパスワードを見つけることができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持ちません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報を取得した場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客サイトにいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。また、必ずしも会社のデバイスであるとは限りません。2016年の調査では、回答者のわずか20%が、個人用の携帯電話またはタブレットを個人的な目的でのみ使用したと述べています。また、モビリティ専門家に関する2018年の調査では、85 %がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると述べています。

それはいいです。SSOとMFAの両方がデバイス間で機能するためです。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。それは、彼らが自分の携帯電話、タブレット、からの情報にアクセスしているかどうかは関係ありません、またはコンピュータMFAの適応し、検証するための適切な追加データのためにそれらを要求する彼らのアイデンティティを。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加の情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。あなたはのユーザーの厳しい要件かもしれない特定のロケールまたは特定の役割や他の人にはあまり厳格な要件のユーザーのために。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報の使用を許可されます。

そのため、従業員が常に使用しているラップトップを使用していて、通常勤務している場所からログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密性の高い通常とは異なるデータにアクセスしようとすると、電話で追加のログイン情報の入力を求められる場合があります。または、マネージャーが通常のオフィスから離れた地理的な場所からログインする場合、セキュリティの質問に答えなければならない場合があります。

結論

セキュリティに関しては、すべての業界のIT部門が困難な状況にあります。需要は高く、収益、絶え間なく変化する労働力、新技術、グローバルエコシステムに起因します。しかし、失敗のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。2つのテクノロジーが鍵となります。シングルサインオンはハッカーの攻撃対象を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は、従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、組織の情報を保護しながら、俊敏性と生産性を維持できます。

SNSでもご購読できます。

コメントを残す

*