“Securing Employee Business Passwords is Key to Identity Security“ September 26, 2023 by Rich Keith, より
特権アカウントおよび資格情報は、重要な資産へのアクセスと制御を迅速に進めるため、最も重要なアカウントと資格情報となります。これらを保護するためには、特権パスワード管理ソリューションなどを利用することが重要です。しかし、現代の企業環境では、特権と非特権の境界線がますます曖昧になっています。
業務ユーザーは、機密データへのアクセスが発生するアプリケーションを日常的に使用します。従来の消費者向けパスワード管理ツールは、企業レベルのセキュリティとコンプライアンスを満たすのに必要な保護機能、監査性、レポート機能などを提供するには不十分です。さらに組織は複数のパスワード管理製品を使用していることが多く、これによって可視性が低下して、パスワードポリシーとコンプライアンスが複雑になる可能性があります。
業務アカウントが乗っ取られた場合、攻撃者に必要な最初の足がかりを与えられる可能性があります。 あるいは、攻撃を進めるために横方向の動きを実行できるようになる可能性もあります。
これらの業務アカウントのパスワードが、多様なアプリケーション (さらには個人アカウント) 間で共有され、再利用されることが多いことを考えると、攻撃対象領域がどのように拡大するかがわかるでしょう。脅威の行為者が、侵害された1組の資格情報を使用して攻撃経路を連鎖させ、多くのアカウントへのアクセスを許可する様子がわかります。
新しいWorkforce Passwords機能の追加で、市場でも主要な特権パスワード管理ソリューションであるBeyondTrust Password Safeは、企業組織が1つの総合的なソリューションでこうした問題に効果的に対処できるようになりました。
従業員の業務アプリケーション認証情報の保護が必要な理由
組織がデジタル化の範囲を拡大し続けるにつれ、業務ユーザーが日常業務の実行のために必要tになるパスワードの数が大幅に増加しています。これらのパスワードには、機密性の高い業務システムを含む幅広いアプリケーションが含まれます。
IT部門は、シングルサインオン(SSO)の範囲外でプロビジョニングされた、これらの業務アカウントを把握できないことがよくあります。IT部門は、業務ユーザーが脆弱な保管方法の使用の有無や、パスワードがチーム内またはチーム外で共有されているかどうか、または安全でない方法で共有されているか否かを確認できない場合があります。
業務アプリケーションのパスワード管理が不適切な場合、重大な結果が生じる可能性があることは明らかです。ハイジャックされたアカウント、不正アクセス、誤って公開されたパスワードは、それぞれセキュリティ侵害、水平移動、データ漏洩につながる可能性があります。これらは潜在的なリスクのほんの一部です。さらに、パスワードの使用に関する適切な監査と報告が欠如していれば、組織がセキュリティインシデントを特定して対応することが妨げられる可能性があります。
従業員が組織を離れる際には、アイデンティティのセキュリティに関する課題は複雑になります。これは、共有されたパスワードや無効になったアカウントの入り組んだ状態を残す可能性があるからです。例えば、従業員のアカウントが組織を離れる際に完全に適切に無効化されていない場合、1つ以上の従業員の業務アカウントのパスワードが元従業員と共有されていた場合、この無効化されたアカウントはシステムへの最適な攻撃経路を提供し、事前認証されたアクセス権を有することになります。
現在企業組織は、消費者向けソリューションなど、業務ユーザーのパスワード管理に対する従来のアプローチではセキュリティとコンプライアンスの面で不十分であることを一層認識しています。さらに、多様なパスワード管理ソリューションを社内で管理することは、IT部門にとって面倒なものとなり、ポリシーやセキュリティに関する多くの複雑な問題を引き起こす可能性があります。
こんにち企業は、特権資格情報管理ソリューションに期待されるのと同様の企業規模のセキュリティ、可視性、可用性を備えたパスワード管理を業務ユーザーアカウントに対して行う必要があります。
SSO 導入における課題
今日の組織内では、多くの業務ユーザーが仕事のために毎日複数のアプリケーションにアクセスしています。 これらのアプリケーションの一部は、企業のシングルサインオン (SSO) の外部に存在する場合もあります。これにはいくつかの理由が考えられます。
- SSOは多大なコストがかかります – 残念ながら、多くのソフトウェア プロバイダーは、SSOフレームワーク内でアプリケーションにアクセスするために追加料金を設定しています。このアクセスに対する収益化は「SSO税」として世界的に知られており、ITグループがどのアプリケーションを既存の SSOフレームワークに導入するかを検討する際の決定に影響を与える可能性があります。業務アプリの使用が「承認」されていても、長期間非SSO 状態のままになる可能性があります。
- 非SSOアプリケーションの有機的成長 – IT部門は、業務部門のマネージャーによって承認されたアプリケーションへのアクセスを許可するよう、しばしば求められます。残念ながら、一部の業務アプリケーションではSSO機能を利用できません。IT部門はこれらのアプリケーションのリストを管理し、企業データが危険にさらされていないことを確認するためにセキュリティチェックを行う場合もあります。これにより、ITが監査とコンプライアンスの義務を一貫して満たすことが課題となります。
- アプリがまだSSOの候補である場合 – IT 部門は、より大規模な計画作業の一環として、ビジネス アプリケーションの使用量と使用頻度を監視したい場合があります。 アプリが人気があり、頻繁に使用されるようになれば、既存のSSOフレームワークに追加する候補となる可能性があります。
ビジネスアプリケーションのパスワードに対する何らかのアクセス制御方法が必要であることは明らかです。一部の組織は、強力で固有のパスワードを作成し、暗号化されたドキュメント内の資格情報を保護して共有を制限するために、単純に従業員の規律に依存しています。他の組織は問題が大きすぎて対処できないと考えており、何もしていません。
多くの組織は、パスワード保管問題の一部を解決するために、消費者向けのパスワード管理ツールに頼っています。このような消費者向けのパスワード管理ツールは、例えば保管に関する狭い要件を満たすことができますが、セキュリティ、監査性、および拡張性に関する企業の要件には対応していません。
消費者向けのパスワード管理ツール…そして企業にとっての重大な欠点
消費者向けツールは、組織がユーザーのパスワードの急増に対処するためにある程度の利便性を提供しますが、今日の企業にとってはいくつかの重要な領域で不十分になる傾向があります。
- エンタープライズグレードのセキュリティの欠如 – これらの製品は、エンタープライズ グレードのソリューションと同じレベルのセキュリティを提供しません。 たとえば、消費者向けのパスワード管理ツールは、中間者攻撃、セッショントークンの盗用、キーロギングマルウェアのインストールなどのハッカー攻撃の影響を受けやすくなります。これらのツールの脆弱性により、機密の認証情報が攻撃者に公開される可能性があります。そのため、消費者向けのパスワード管理ツールは大きな攻撃対象となります。
- 監査機能とレポート機能の欠如 – 消費者向けのパスワード管理ツールを使用する場合、誰がいつどのパスワードにアクセスしたかについての可視性が制限されます。
- パスワード共有に関する課題 – チームメンバー間でパスワードを共有することは一般的ですが、一般向けのパスワード管理ツールには、共有パスワードを安全に共有、管理、レポートするための機能が足りないことがよくあります。
- 「シャドウIT」のリスク – 従業員はITの管理範囲外でアプリケーションやツールを利用する場合があり、ITが全体的な可視性を持たないため、パスワードポリシーを施行したり、ログイン資格情報に個人用のメールを使用するのを防ぐことができなくなり、セキュリティとコンプライアンスの取り組みが一層複雑になります。もし機密情報や独自の情報がITの管理外のアプリケーションに保存され、従業員の個人用メールが侵害された場合、この問題は悪化します。
Workforce Passwords と Password Safe: 安全なエンタープライズ ソリューション
企業全体に複数のパスワード管理ソリューションが散在すると、調達と維持にコストがかかる可能性があり、IDセキュリティを提供してコンプライアンスを維持するために IT部門が必要とする可視性が制限される可能性があります。一般的に実装されるソリューションの例には次のものが含まれます:
- 特権アカウントと資格情報を管理するための特権パスワード管理ソリューション
- 特権セッションを管理するためのセッション管理ソリューション
- DevOps および CI/CD ツールセット用のシークレット管理ツール、およびその他のマシンアカウント
- ビジネスアプリケーションパスワードソリューション
- SSHまたはその他のプロトコルまたはアプリケーションのキーマネージャー
- 特定のアプリケーションまたは環境内でサイロ化された資格情報を管理するためのネイティブツールセット
また、組織によっては、カテゴリごとに複数のツール セットがあり、すべてが異なるベンダーから提供されている場合もあります。これにより、多くの面で複雑さとリスクが生じます。 BeyondTrust Password Safe は、特権アカウントとセッションを保護および管理するための包括的なソリューションを提供することで、この問題を洗練された形で対処します。 Password Safe の追加機能により、DevOps チームに必要な俊敏性と規模を妨げることなく、シークレットを安全に管理することもできます。
新しいWorkforce Passwords機能により、Password Safeは業務ユーザーアプリケーションのパスワードを保護するエンタープライズ レベルのソリューションも提供します。単一のソリューションで特権アカウントと非特権アカウントにわたるベスト プラクティスの管理と保護を合理化し、ID セキュリティを制御します。
Workforce Passwords アドオンを使用すると、Password Safeは業務ユーザーに、業務アプリケーションのパスワードの保存および管理するための使いやすく安全な方法を提供します。 この機能は、セキュリティを強化して、パスワードアクセスを合理化し、堅牢な監査およびレポート機能を活用できるように構築されています。
Workforce Passwords の利点は次のとおりです。
安全な個人フォルダーによる使いやすさ
各業務ユーザーは、自分の安全な個人フォルダに簡単かつ迅速にアクセスできるようになり、パスワード用に分離された安全なストレージが提供されます。この簡単な保存方法により、ユーザーはアプリケーションごとに個別のパスワードを覚えたり、安全でないパスワードを保存したりする必要がなくなり、生産性が向上してパスワードの誤用や侵害のリスクが軽減されます。
Webブラウザ拡張機能によるアクセスの簡素化
業務ユーザーは、Webブラウザ拡張を使用して、ChromeやEdgeブラウザから直接保存されているパスワードに簡単にアクセスして、エンタープライズアプリケーションにログインできます。保存されたパスワードは、アプリケーションのログインプロセスで自動的に入力されます。これにより、使い慣れたユーザーフレンドリーな体験を維持しながら、高速かつ安全なログインプロセスが可能になります。
監査とレポートのサポートによる包括的な監視
Workforce Passwords は堅牢な監査およびレポート機能を提供し、パスワード使用の監視とコンプライアンスを維持するために必要なツールを組織に提供します。包括的な監査証跡で組織は誰が、いつ、どのような目的でどのパスワードにアクセスしたかを追跡できます。この情報は、IDセキュリティとコンプライアンスの取り組みにとって、また将来の可能性のあるフォレンジック活動を支援するために非常に貴重です。資格レポートを使用してパスワードの使用状況を可視化し、洞察を得ることで、潜在的なセキュリティ リスクをさらに特定し、業界規制へのコンプライアンスを確保できます。
サイバー保険引受要件への対応能力の向上
サイバー保険会社は、特権アカウントを超えるセキュリティ管理と監視を一層要求しています。 現在、パスワードとその使用の可視性は、サイバー保険のリスク引受業務の中心となっています。 Workforce Passwordsは、これらの要件を満たすために必要な可視性を提供します。Workforce Passwordsを使用して BeyondTrust Password Safe を実装することで、パスワード侵害に関連するリスクを軽減でき、サイバー保険の適用対象としてさらに魅力的になります。 これは、Password Safeの特権アカウントと資格情報の管理、保護、監査に関する対処に役立つ要件に追加されるメリットです。
パスワードの複雑さを簡単に強化
企業のパスワードポリシーは、パスワードの長さ、複雑さ、定期的な更新などの特定のセキュリティ基準を確実に満たすように確立されてリスクを適切に最小限に抑えます。これらの基準により、攻撃者によるパスワードの推測や解読が困難になると同時に、組織がパスワードポリシーの適用に関するコンプライアンス義務を満たしたり、それを超えたりするのに役立ちます。 Workforce Passwordsは、Password Safeのエンタープライズクラスのパスワードポリシーサポートの力を活用して、強力なパスワードセキュリティ標準が組織全体に適用されるようにします。
攻撃対象領域を減らす: 業務パスワードを保護することから始めます
BeyondTrust Password Safe は、Workforce Passwordsの追加で組織が業務ユーザーアプリケーションのパスワードを保護できるようになりました。この新しい機能は、組織が攻撃対象領域を削減するのに役立ち、攻撃者に攻撃ベクトルを減らし、水平移動の機会を提供します。 Password Safe と Workforce Passwordsは、セキュリティの強化に加えて、ユーザーの生産性を向上させ、コンプライアンスの取り組みを簡素化します。
BeyondTrust の包括的なエンタープライズ・パスワード管理機能を実装することで、特権アカウントと非特権アカウントおよび資格情報のセキュリティを保護することで、組織は、資格情報の管理がもはや困難な作業ではなく、戦略的な利点となる、より安全で合理化された未来を期待できます。
詳細については、https://www.beyondtrust.com/solutions/workforce-passwords および https://www.beyondtrust.com/products/password-safe にアクセスするか、直接お問い合わせください。
BeyondTrust Password Safe 製品ページはこちら
Rich Keith、BeyondTrust社 Sr. Product Marketing Manager
Rich Keith は、サイバー セキュリティ、アイデンティティ管理、AI/ML およびビッグデータ分析、エンタープライズソフトウェア (エンタープライズ Java サーバーやトランザクション処理システムなど) において20年以上の技術経験を持っています。Richは、世界中のサイバーセキュリティイベントで講演者として人気があります。 BeyondTrustに入社する前は、SailPoint、Cofense (旧 PhishMe)、BEA Systems/Oracle で上級職を歴任しました。 Richはカリフォルニア州立大学チコ校でコンピューターサイエンスの修士号を取得しており、テキサス州オースティンに住んでいます。