パスワードセキュリティが単独のセキュリティ推奨事項で最も重要である理由

パスワードイメージ

Why Password Security Is The Single Most Important IT Security Recommendation” May 4, 2023 by Morey J. Haber より

サイバーセキュリティの世界では、IT セキュリティを改善するための推奨事項やトップ”n(数字)”リストに溢れています。これらの推奨事項の発端は、最新の脅威の出現やニュースでの侵害、またはさまざまな危険な攻撃ベクトルの詳細な分析を伝えることである可能性があります。 こうした記事やブログは、IT関係者と非IT従業員の両方の啓発を支援する上で重要な役割を果たしていますが、こうした記事は通常、焦点が絞られています。これらのいくつかは普遍的な特徴を持っているかもしれませんが、多くの場合、いつでもどこでも、誰でも採用できるものではありません。

そこで今回のブログのテーマです。IT関係者の輪の内外の立場に関わらず、すべての人に関係する、最も重要なITセキュリティでの推奨事項をお読みください。パスワードに関係するものだと、ヒントを出しておきます。

ITセキュリティとは何か?

ITセキュリティとは、ハッカーや脅威の行為者が、組織資産 (コンピューター、ネットワーク、データ、デジタルID) に不正にアクセスすることを防ぐために設計・計画された、サイバーセキュリティ戦略、手法、ソリューション、およびツールを総合した集合体指します。包括的なITセキュリティ戦略では、高度なITセキュリティ技術と人材を組み合わせて、さまざまなサイバー脅威を防止、検出し、修復します。これには、ネットワーク自体 (オンプレミスおよびクラウドベース) だけでなく、ハードウェアシステム、ソフトウェアアプリケーション、エンドポイントの保護も含まれます。

なぜ ITセキュリティソリューションが必要なのか?

IBMの2022年 ”Cost of a Data Breach Report (データ侵害コストレポート)”によると、「83%の企業にとって、データ侵害が発生するか否かの問題ではなく、いつ発生するかの問題です。通常は複数回の発生が見込まれます。」リモート業務の増加、クラウドの成長、接続するデバイスの急増 (組織が用意するものであれ、BYODと言われる自分のデバイスの持ち込みであれ) により、職場の境界のダイナミクスが変化しました。 以前は、組織は物理的な境界 (職場の物理的な壁) を侵害から守ることができましたが、現在の境界は、世界中のどこからでもネットワークにアクセスする従業員、パートナー、ベンダーを含む形に拡張する必要があります。 クラウドのような非物理的なものにも保存された情報もカバーする必要があります。

これらすべてが ITセキュリティ担当に大きな負担をかけており、ITセキュリティ担当は現在、より高度化するデジタル攻撃者に対して、継続的に拡大する脅威の手口で溢れるほぼ無限の境界を保護する必要に迫られています。そして、あらゆるサイバー攻撃を防御できない組織に対する財務的および風評上の脅威は年々増大しています。2022年、データ侵害の世界平均コストは過去最高額に達しました (435 万ドル、2020 年と比較して 12.7% 増加)。 ITセキュリティは組織にとって、あると便利なものではなく、財務上、運用上、そして場合によっては法的にも重要なものとなっています。

IT セキュリティに対する最大の脅威は何か?

ITセキュリティに対する脅威はさまざまな形で出没する可能性があります。今日のITセキュリティ担当に対する、上位4種の脅威は次のとおりです。

  • ランサムウェア – ランサムウェアによる侵害件数は昨年41%増加して、費用も高額になり (2022年のランサムウェア攻撃の平均費用は 454 万ドル)、特定して封じ込めるまでに平均49日長くかかりました。
  • インサイダーの脅威 – 2022年の悪意を持つ内部の行為者による、インサイダー攻撃の平均コストは418万米ドルでした。
  • フィッシング攻撃 – 2022 年のデータ侵害の原因として2番目に多いフィッシング攻撃関連の侵害の平均コストは491万ドルです。
  • クラウド攻撃 – 2022 年に侵害の45%がクラウドで発生し、侵害の平均コストは414万米ドルでした。
  • 認証情報の侵害 – 認証情報(一般的なのはIDとパスワード)の盗難または侵害は、2022 年のデータ侵害の最も一般的な原因であるだけでなく、特定までに327日と、最も長い時間がかかりました。この攻撃手口の被害のコストは、データ侵害の平均コストよりも 150,000米ドル高くなりました。

すべてのITセキュリティソリューションが総括的に関連しないのはなぜか?

私たちが日常的に経験する情報セキュリティに関する推奨事項を考えてみましょう。

これらには、セキュリティスキルやサイバー意識向上トレーニングからパッチ管理に至るまであらゆるものが含まれます。これらはフィッシングから脆弱性管理に至るまでの問題を対象としていますが、組織内のすべての従業員に必ずしも関係するわけではなく、自宅の個人デバイスを使用している各個人にも必ずしも関係するわけではありません。たとえば、デフォルトの Windows 11またはmacOS Venturaのシステムは、セキュリティの脆弱性に自動的にパッチを適用して必要に応じて再起動するため、平均的なユーザーにとって問題は目に見えず、気にも留められなくなります。さらにサイバーセキュリティ研修に関する推奨事項は、通常特定の種類の組織に合わせて調整されており多くの変動要素があるため、異なる業種に適用できるとは必ずしも限りません。

電子メールのスパムを避けるのは常識であり、従業員は不審な電子メールを特定する方法について研修を受けて、不審なリンクをクリックしないように指導されることがよくありますが、興味深いのは若い世代が企業の外で電子メールを受け入れる可能性は、はるかに低いことです。インスタントメッセージングやその他の形式のソーシャルメディアは彼らにとって好まれるツールであり、この事実は従来の電子メールが郵便通信やFAXのように、ゆっくりと使われなくなっていく可能性を示唆しています。電子メールの終焉が起こるにはさらに数十年かかるかもしれませんが、このダウンシフトは着実に進行しており、世代間のギャップと新しいコミュニケーションツールによって推進されています。

これらすべては、単一の最良の推奨事項をさらに絞り込むのに役立ちます。すべての人に当てはまる普遍的なセキュリティに関する推奨事項を検討することを思い出しましょう。

最も一般的で最良のセキュリティ推奨事項は何か?

自宅か職場か、オンプレミスかリモートか、従業員かベンダーかに関わりなく、誰もが使用しているのはパスワードです。私たちは仕事や、インターネット上のリソースの利用、ソーシャルメディア、アプリケーション等でパスワードを使用します。私たちはそれらをパスコードや PINの形で、銀行業務、モバイルデバイス、勤務地や家庭の警報システムで使用します。パスワードは遍在しており、皮肉にも「パスワードレス」であると主張する新しいシステム上でも、私たちは常にパスワードを使用しています。パスワードレスは、舞台裏でのパスワードまたはシークレットの単なるプロキシ(代行者)です。このような場合でも、内部のメカニズムがユーザーのアクセス権を識別し「何らかの方法で」保存していますが、具体的な手法については、より技術的なブログ記事に任せます。

千年来のセキュリティ問題を解決する

パスワードの歴史は少なくともローマ軍の時代にまで遡ります。かつてパスワードは木に刻まれて、勤務中の当直の警備員を介して兵士によって閲覧されていました。パスワードは本質的に共有リソースでした。常に複数の人がパスワードを知っている状態になるため、これはリスクであることを認識しておく必要があります。

現在、パスワードの最も一般的な保存場所は、単一のヒトの脳内になります。私たちはシステムやアプリケーションにパスワードを割り当てて、使用する必要があるときにそれを呼び出し、変更するたびに覚えておきます。私たちの脳はパスワードでいっぱいで、多くの場合、パスワードを忘れたり、使いまわしたり、パスワードを共有したりする必要があり、付箋やスプレッドシートのファイルで文書化したり、さらには電子メールや SMSテキストメッセージで伝達したりすることがあります。

パスワードを作成、共有、再利用するこれらの安全でない方法は、一定頻度で一面ニュースになる類のデータ侵害の原因となっており、適切なパスワード管理規準が遵守されていない場合に何が起こるかの警告になっています。その影響は私たちの職業生活と私生活の両方に及びます。

パスワードはあらゆるところに存在しており、千年来の問題を解決するには少なくとも 1 つの基本原則が必要です。それゆえ、すべての人にとって最も重要なセキュリティ上の推奨事項は、使用するすべてのパスワードが一意(固有)であり、常に他のリソース (人を含む) と共有されないようにすることです。現在のテクノロジーは、個人用パスワードマネージャーや企業向けの特権アクセス管理ソリューションを使用して、この問題を解決するのに役立ちます。

誰もが導入できるパスワードセキュリティの最も重要なベストプラクティスとは?

1. 固有のパスワードを生成、管理、更新できるパスワード管理ツールを活用

すでに相当の数及ぶ、増え続けるパスワードのリスト (現代の企業ユーザーの平均は 100) を記憶することは、大半の方にとって不可能だと認識していますが、これを実現するためのパスワード管理ツール、ソリューション、そして手法は存在します。 パスワード関連の脅威を軽減するのに大いに役立ちます。

最新のOS、ブラウザ、アプリケーションを使用すると、人間がすべてのパスワードを覚えておく代わりに、対象ごとに一意のパスワードを作成し、使用時に取得できるよう安全に保存できます。パスワードは基本的に、個人だけが知っている 1 つの一意の「マスター」パスワード (「キー」または「シークレット」とも呼ばれます) の裏側に保存されます。これは、家庭ユーザーや中小企業ユーザーにとっては (限られた範囲では) 優れたソリューションですが、(技術的な制限により) アカウントを共有したり、担当者変更への対応などで、一意のパスワードを自動的に生成したりする必要がある、多くの企業では適用できません。また、規制遵守ガイドラインを満たすため、大規模な事業での要件を満たすためには、企業向け特権アクセス管理ソリューションが最適です。

2. 1つの認証メカニズムに限定しない

重要なデータ、機密性の高いシステム、およびそれらのリソースへの日常的な操作の可能性がある場合、パスワードだけが唯一の認証メカニズムであってはなりません。 認証が必要な場合に、アカウントごとに一意のパスワードが実際に正しい個人IDにより使用されるようにするには、多要素認証 (MFA) や二要素認証 (2FA) を最上位に重ねる必要があります。

この普遍的なセキュリティ推奨事項の主なメリットの 1 つは、パスワードが盗難、漏洩、または不適切に使用された場合に、割り当てられた対応するリソースに対してのみパスワードを利用できるようにすることです (MFA または 2FA が存在しない場合)。 パスワードが一意であれば、攻撃者は侵害された 1 つのアカウントとパスワードを使用して他のリソースを攻撃することはできません。攻撃者の選択肢と行動は大幅に制限されますが、メモリからパスワードをスクレイピングするなど、高度な技術を利用して侵害したシステムから他の資格情報を盗もうとする可能性があります。この場合、一意のパスワードを生成するだけでなく、パスワードを頻繁に変更することも攻撃を軽減するのに役立ちます。 これに関してはBeyondTrust がエンドツーエンドのソリューションを提供できます。

3. 古いアカウントの監査

古い未使用のアカウントを無効化、または「プロビジョニング解除」をすることが重要です。 従業員やベンダー、ユーザーが新しい役割に変更になる場合、組織で雇用されなくなった場合、または他の理由でアカウントの使用を中止した場合でも、未使用または「孤立した」アカウントは、企業に侵入するために必要なバックドアアクセスを攻撃者に与える可能性があり、内部システムで横方向の動きを実現してしまいます。

孤立したアカウントの問題は、忘れられたり気づかれなかったりすることが多く、よく言われるように、知らないものは保護できないということです。過剰な権限を持つアカウント、孤立したアカウント、およびその他のアカウントがネットワーク上のどこに存在するかを特定することはITセキュリティの重要なステップですが、次のような役立つツールがあります。

  • 無償で利用可能なPrivileged Access Discovery Applicationは、ネットワーク上のアカウントのパスワードの有効期限を特定します。それは単にパスワードの変更が行われていないことを特定するだけでなく、未使用のアカウント、アカウントの設定ミス、特権が過剰なアカウント、ユーザーIDを使用しているサービスアカウント、およびネットワーク上に存在していることを知らないリモートアクセスツールを特定するためにその機能を活用することができます。
  • Identity Security Insights を使用すると、IT 資産全体にわたる ID、アカウント、特権アクセスを一元的に把握できます。 過剰な権限を持つリスクの高い特権アカウント、非アクティブで孤立したアカウント、部分的に取り消された ID を特定し、不必要な権限やアカウントが悪用される前にプロアクティブに削除できるようにします。

BeyondTrust Password Safe によるEnd to Endのセキュリティの確保

BeyondTrust の Password Safe は、組織の情報およびセキュリティ・インフラストラクチャ全体にわたるエンタープライズ対応の特権パスワード管理のためのソリューションです。 Password Safeは、ほぼすべての IP対応デバイスにわたり、共有管理アカウント、アプリケーションアカウント、ローカル管理アカウント、サービス アカウントなどの機密性の高いアカウントとパスワード (SSHキー管理を含む) の自動管理を提供します。これにより、この最優先のセキュリティ推奨事項をあらゆる組織全体に実装して、強力なエンタープライズパスワード セキュリティを強化できるようになります。

さらに、管理された特権アカウントのエンドユーザー アクセス用に、要求、承認、セッションの監視と管理、および取得のワークフロー機能が含まれています。 これは、パスワードをいつ使用するか、そして最も重要なことに、その使用方法を制御するのに役立ちます。

この一番の推奨事項と BeyondTrust Password Safe の詳細については、是非当社にお問い合わせください。私たちは貴社のサイバーセキュリティ体制を強化する準備ができており、それが可能です。

BeyondTrust Password Safeについてもう少し詳しく


Morey J. Haber、BeyondTrust社 最高情報セキュリティ責任者

Morey J. Haberは、BeyondTrustの最高情報セキュリティ責任者です。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊【原文は「4冊」とありますが、見つかった限りでは3冊でした】出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや指定されたカスタマーアカウントなどの業務を担っていました。またその経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれました。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする