fbpx

テクノロジー業界のパスワード問題を解決する パスワードの保護は侵害を防ぐための鍵

すべてのビジネスはサイバーセキュリティに苦労していますが、テクノロジー業界よりも失敗の代償を高くするものはないでしょう。あなたのビジネスがテクノロジーであるとき、サイバー犯罪の餌食になることは重大な失敗と見なされます。

それでも、テクノロジー企業には、他の業界と同じ制限と課題があります。厳しい予算、コンプライアンス要件、従業員、パートナー、ベンダー、顧客のグローバルに分散されたエコシステムです。その上、ハイテク企業は他の業界のビジネスよりもはるかに高い変化率に対応しています。競争は熾烈です。特に、ベンチャーキャピタル企業によって燃料を供給され、攻撃的な成長軌道を示しようとするスタートアップにとっては特にそうです。ハイテク企業は機敏で、新しい内部システムとソフトウェアを迅速に実装できる必要があります。テクノロジー業界はまた、買収と合併の割合が最も高いことの1つです。つまり、ITは定期的に新しい要員を組み込み、さまざまなシステムを調整する必要があります。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の労働力は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

テクノロジー業界では、従業員はテクノロジーに優しく、SaaSソリューションをより迅速に使用する傾向があります。テクノロジー企業は、IT部門が提供するものに加えて、基幹業務の所有者が自分でアプリケーションを選択して導入できるようにする可能性が高くなります。

これらすべての要件に対応することは、途方もない作業です。テクノロジーIT部門は、それを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

Ponemon Instituteによると、テクノロジー業界では、調査対象となった17の業界のうち4 番目に多いデータ侵害が発生しています。そして、2017年は侵害の最高基準でしたが、2018年もそれほど遅れていません。

侵害のリスクは、特に新しいデバイスが急増するにつれて、ますます増大し続けています。上級IT専門家の82%が、セキュリティ保護されていないIoTデバイスが組織内でデータ侵害を引き起こすと予測し、80 %がそのような侵害は破局的である可能性があると述べました。

データ侵害は費用がかかります

  • 純粋なドルの観点から見ると、IBMとPonemonによると、テクノロジー業界の違反に対する1人あたりのコストは170ドルに上昇しています。
  • 情報漏えいの平均費用は世界で368 万ドル、米国では790 万ドルです。
  • 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。
  • 75%の消費者がデータを信頼できない会社とは取引しないと言っているため、ビジネスの損失は主に顧客の離職によるものです。

テクノロジー企業にとって最大の影響の1つは、顧客を失うことに加えて、知的財産(IP)を失うことです。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社の回復には長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は計り知れず、その株価は破壊され、その市場価値は約14億ドル減少しました。コストを削減するために、労働力を70%削減し、本社を移転する必要がありました。

これが、防衛などのデリケートな業界のテクノロジー企業に課せられている規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コストは必要です。しかし、企業データとIPの保護に失敗すると、さらにコストがかかります。以下は最近のセキュリティ侵害は何が問題になっているのかを示しています:

  • Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。
  • 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。
  • 2016年に、ハッカーがUberの顧客レコードを5,700万件盗みました。

これらすべての理由により、企業のデータとIP を保護するためのテクノロジーと手順に投資することは、多額の投資に費やされます。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、職務分離(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、ポリシーが適切に適用されていることを確認するためのポリシー管理が含まれます。

パスワードがテクノロジー企業のIT部門の焦点であるのは当然のことです。パスワードはハッカーの焦点でもあります。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

  • フィッシング。攻撃者は、電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。
  • スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報を提供するようにします。
  • キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。
  • クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。
  • ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、アクセス可能なユーザー名とパスワードの組み合わせを生成します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。
  • 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、彼らは複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労しているのも不思議ではなく、オンラインユーザーの73%が複数のアカウントで同じパスワードを使用しています。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用アカウントと個人用アカウントに異なるパスワードを作成していません。10 個人用パスワードが侵害された場合、組織のデータも侵害される可能性があります。

多くの場合、IT部門は強力なパスワードを確保するために、パスワードルールを実装し、それをテクノロジーで適用します。最新の推奨事項は次のとおりです。

  • 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンにより、パスワードの予測が容易になります。
  • 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ P などのパスフレーズを選択することをお勧めします。
  • ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増加させるだけで、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の企業は、パスワードのセキュリティギャップを本当に解消する唯一の方法が、シングルサインオン(SSO)と多要素認証(MFA)の2つのツールをITツールボックスに追加することであると認識しています。

安全なSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

  • 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。
  • 従業員が複数のアプリやWebサイトにアクセスする必要がある場合でも、ログインする回数を減らします。
  • ユーザーの身元を確認するために、ユーザーにパスワード以外の追加情報を要求する。
  • パスワードを忘れた場合でも、ユーザーが簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、ユーザーが1回のログインで1組の資格情報だけを使用して、複数のアプリケーションとWebサイトで安全に認証できるシステムです。SSOを使用すると、ユーザーがアクセスするアプリケーションまたはWebサイトは、信頼できるサードパーティに依存して、ユーザーが本人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのID を検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを尋ねるだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の(追加の)資格情報を必要とします。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

  • セキュリティとコンプライアンスの向上。
  • 使いやすさと従業員の満足度の向上。
  • ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。従業員は1日に1回だけログインし、1組の資格情報のみを使用するため、SSOにより攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与の必要がなくなります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、広く受け入れられ、セキュリティの重要なコンポーネントになりました。MFAはパスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるためです。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加の情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの資格情報を取得する可能性がありますが、たとえば、ハッカーに指紋や個人的なセキュリティの質問に対する回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、有効なユーザー名とパスワードを見つけ出すことができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持っていません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報をキャプチャした場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、OneLogin Protect認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客の外にいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。そして、それらは常に動作するデバイスではありません。2016年の調査では、個人用にのみ携帯電話やタブレットを使用したと回答した回答者はわずか20%です。11そしてモビリティ専門家の2018年の調査では、85%がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると答えています。

そして、それは結構です。SSOとMFAはどちらもデバイス間で機能します。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。ユーザーが携帯電話、タブレット、またはコンピューターから情報にアクセスしているかどうかは関係ありません。MFAは、適切な追加データを求めて身元を確認します。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、そのような動きの速い分野で従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。特定のロケールのユーザーまたは特定の役割のユーザーにはより厳しい要件があり、他のユーザーにはそれほど厳密でない要件がある場合があります。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報を使用することが許可されます。

そのため、従業員がいつも使用しているラップトップを使用していて、通常勤務しているオフィスからログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密データにアクセスしようとすると、電話で追加のログイン情報を入力するよう求められる場合があります。または、マネージャが通常のオフィスから離れた地理的な場所からログインした場合、セキュリティの質問に答えなければならない場合があります。

結論

テクノロジー業界のIT部門は、セキュリティに関しては厳しい状況にあります。需要は高く、収益、絶え間なく変化する労働力とテクノロジー、グローバルエコシステムに起因しますが、障害のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。重要な2つのテクノロジーが重要です。シングルサインオンはハッカーの攻撃面を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、データと知的財産を保護しながら、俊敏性と生産性を維持できます。

OneLoginについて

OneLoginは統合アクセス管理のリーダーであり、組織がWorld™にアクセスできるようにします。あらゆる規模の企業が、OneLoginを使用して会社のデータを保護する一方で、IT管理者とエンドユーザーの効率を高めています。

私たちのアイデンティティ管理ソリューションの実装は、数日ではなく数時間で達成でき、フル機能の管理およびセルフサービスポータルを提供します。オンプレミスおよびクラウド/ SaaSアプリケーションを処理する当社の能力により、ハイブリッドエンタープライズでサービスとしてのアイデンティティを選択するベンダーが選ばれました。多要素認証、スマートフォンやタブレットでのワンクリックアクセスのためのモバイルID 管理、およびリアルタイムのディレクトリ同期により、保護がさらに強化されます。

SNSでもご購読できます。

コメントを残す

*