ビジネスに最適なエンタープライズ・パスワード・マネージャーの選び方
- ブログ
- ビジネスに最適なエンタープライズ・パスワード・マネージャーの選び方
選択肢の多さを考えると、ビジネスに最適なパスワード・マネージャーを見極めるのは大変な作業に思えるかもしれない。でも、その必要はない。IT意思決定者(ITDM)が選択肢を絞り込み、ビジネス・ニーズを満たすパスワード・マネージャーを見つけるには、いくつかの重要な要素があります。451リサーチがITDMを対象に実施した「エンタープライズ・パスワード管理に関する調査」によると、回答者の57%がパスワード管理ツールを使用しており、さらに15%がパスワード管理ツールを採用すると回答している。ほぼ全員(93%)がパスワード管理予算を維持または増額していると回答した。回答者のほぼ3分の1(29%)が、パスワードに関連したセキュリティインシデントを経験している。そのうち37%は、社内業務に大きな影響を与えたか、多少なりとも影響を与えた。パスワード・マネージャーを全社的に導入しようという意欲があるのは明らかだ。
451 Researchの調査で、パスワード管理ツールを選択した最大の理由を尋ねたところ、回答者の51%が「アカウント詐欺」を挙げた。Bitwarden 2023 Password Decisions Surveyに参加したITDMの60%は、「良い」パスワードマネージャーとは何かという質問に対し、セキュリティを挙げ、次に2要素認証(2FA)の可用性を挙げた。
エンタープライズ・パスワード・マネージャーを評価するITDMにとって、セキュリティが最優先事項であることは明らかだ。強固なセキュリティを確保するための最も効果的な戦略のひとつは、エンド・ツー・エンドの暗号化を使用することである。Bitwardenは、機密性の高いユーザーデータがBitwardenクライアントに入るとすぐに暗号化します。暗号化されていないデータ保管庫というものは存在しません。ただし、ユーザーが自分の電子メールアドレスとマスターパスワードを入力したBitwardenクライアントで情報を閲覧し、コントロールしている場合を除きます。そこからBitwardenクラウドまたはセルフホスティングのBitwardenサーバーに送信される際も、保管庫のデータはすべて暗号化されたままです。他のクライアントとデータを同期する際、固有の電子メールアドレスとマスターパスワードが再入力されるまで、データは暗号化されたままです。
一言で言えば、ユーザーのEメールとマスターパスワードによるエンドツーエンドの暗号化により、Bitwardenは企業としてパスワードを見ることができず、ユーザーのマスターパスワードにアクセスすることは決してできません。
企業全体のセキュリティを強化するための追加戦略として、第三者機関による監査を受けたパスワード・マネージャーを導入することが挙げられる。これらには、IP、サーバー、ウェブ・アプリケーションにわたるソースコード評価と侵入テストが含まれるべきである。
パスワード管理ツールにどこからでも、どのデバイスからでもアクセスできること(クロスプラットフォーム・アベイラビリティとも呼ばれる)は、エンタープライズ・パスワード・マネージャーを評価する際の主要な考慮事項であるべきだ。社員が同じ物理的空間にある1台のコンピューターに縛られていた時代は終わり、分散型、ハイブリッド型、リモートワークの時代には、社員は世界中のさまざまな場所で、さまざまなデバイスからログインしている。アクセスポイントの増加は、同時にサイバー犯罪者にとっての攻撃可能な表面を増加させるため、パスワード・マネージャーがすべてのベースをカバーできることが不可欠である。
前述したように、Bitwarden 2023 Password Decisions Surveyでは、ITDMの56%が「良い」パスワードマネージャの重要な属性として2FAを挙げている。同調査によると、回答者の92%が職場で使用しており、昨年の88%から増加している。それには理由がある。セキュリティ技術に関して言えば、2FAの威力は議論の余地がない。2FAを使用するウェブサイトは、ユーザー名とパスワードの他に、通常別のデバイスから取得した追加の「トークン」(検証コードまたはワンタイムパスワード(OTP)とも呼ばれる)を入力することによって、ユーザーが自分の身元を確認することを要求する。
ユーザーのセカンダリー・デバイスからトークンに物理的にアクセスできなければ、たとえユーザーのユーザー名とパスワードを発見したとしても、サイバー犯罪者はウェブサイトにアクセスできない。
2FAを容易にする一般的な方法には、SMS/テキスト・メッセージによるトークンの送信、AuthyやGoogle Authenticatorなどの認証アプリによるトークンのリクエスト、Yubikeyなどの物理的なセキュリティ・キーの利用などがある。
最高のエンタープライズ・パスワード・マネージャーは、安全性が高く、クロスプラットフォームで利用可能で、ユーザーが2FAを有効にできるものでなければならない。また、比較的使いやすいものでなければならない。セキュリティ・バスケットにすべての卵を入れるITDMは、ユーザーの摩擦を軽減する製品を選択することの重要性を考慮しなければ、不注意である。業務量が多く、時間的な制約がある従業員が、企業向けパスワード・マネージャーの仕組みを理解するのに時間を費やさなければならないとしたら、喜ばしくないだろう。常識的に考えれば、彼らはその製品を回避するか、別のものを使おうとするだろう。Bitwarden 2023 Password Decisions Surveyによると、IT意思決定者のほぼ3分の1(32%)と従業員の49%が「シャドーIT」に従事している。
要約すると、あなたのビジネスに最適なエンタープライズパスワードマネージャを選択する際に役割を果たすべき要素は、セキュリティ、クロスプラットフォームの可用性、2FAの統合、および使いやすさです。ITDMが考慮すべきその他の変数は、ソリューションがセルフホスティングを提供しているかどうか、オープンソース技術で構築されているかどうか、バイオメトリック・ログインをサポートしているかどうかである。バイオメトリック・ログインとパスワードレス・ログインは、企業のITDMにとってますます魅力的な選択肢になりつつある。Bitwarden 2023 Password Decisionsの調査では、回答者の約半数(49%)がパスワードレス・テクノロジーを導入している、または導入する計画があると答えている。大多数(51%)は、「あなたが何者かであるか」(すなわちバイオメトリクス)形式の認証に頼っている。パスワードはまだユビキタスなものであり、採用は遅れているかもしれないが、バイオメトリック技術はますます浸透し、ビジネスに最適なエンタープライズ・パスワード・マネージャーを評価するITDMにとって、より大きな要素になると予想される。
パスワード管理ソリューションでセキュリティを簡素化する準備はできていますか?無料 ビジネストライアルで、あなたのチームがオンラインで安全に過ごすためのお手伝いを始めましょう。