企業にパスワードマネージャーが必要な理由

賢いサイバーセキュリティのスーパーヒーローには、仕事に適したツールが必要だ。パスワード管理による包括的なセキュリティ・スタックの構築は、成功のために不可欠である。その理由を5つ挙げてみよう。

• データ漏洩の平均コストは924万ドルで、盗まれたり漏洩した認証情報が原因であることが多い。

• ユーザー名とパスワードを含むデータ記録は、しばしば新たな侵害を引き起こす根本的な原因となっており、2021年にはそのような記録が20億件漏洩し、2020年よりも35％増加した。

• 侵入された記録の半数以上は、不正アクセスによるもので、悪質な行為者は、脆弱なパスワード、共有パスワード、または過去に公開されたパスワードを使って組織に侵入した。(出典 Forgerock Identity Breach Report)

• ハッキングに関連する侵害の81%は、盗まれたパスワードまたは脆弱なパスワードによって成功している（出典：Verizon Breach Report： ベライゾン・ブリーチ・レポート)

• チケットマスター社の従業員が、以前の勤務先から盗んだログイン情報を使って競合他社のアカウントにハッキングした。

• DailyQuizは、攻撃者が平文で保存されたパスワードを含む830万人のユーザーからアカウント情報を盗み出し、ダークウェブで販売する侵害に遭った。

• 脆弱なパスワードがサイバーセキュリティ企業ソーラーウィンズ社への侵入を許した可能性があり、その結果、米国政府の複数の部局がハッキングされた。

• マイクロソフト社のExchangeメールサーバーへの攻撃は、少なくとも部分的には盗まれたパスワードが原因であり、全米の企業や政府機関に影響を与えた。

• 攻撃者は漏洩したパスワードでGoDaddyサーバーにアクセスし、120万人のWordPressユーザーのメールアドレスと顧客情報を暴露しました。

• 企業がバーチャル化するパンデミックの間、Zoomは盗まれたログイン認証情報を集め、アンダーグラウンドのフォーラムで売ろうとするサイバー犯罪者の標的になっていた。

• 最近の調査で 最近の調査Bitwardenは、さまざまな業界の独立したIT意思決定者400人を対象とした最近の調査で、回答者の92パーセントが少なくとも1～5サイトにわたってパスワードを再利用していることを明らかにしました。

• 平均的な人は、業務システム、ウェブサイト、スマートフォンのアプリケーションにアクセスするために、パスワードで保護されたプロフィールを何十個も作成している。

• 仕事と個人アカウントをまたいでパスワードを再利用したり、同僚とパスワードを共有したりするなど、従業員が不満やパスワード疲れを最小限に抑えるために近道をするのは自然なことだ。

• パスワード・マネージャーは、組織全体のセキュリティ文化を強化するための素晴らしい方法です。導入が簡単なだけでなく、誰もがアクセスでき、使いやすい。その結果、従業員はオンライン・ルーチンをより意識するようになる。

「SSOがあるのに、なぜパスワードマネージャーが必要なのか？

• シングルサインオン（SSO）は、企業が重要なアプリケーション、サービス、ツールのアクセス制御を一元化するための一般的な方法ですが、従業員の認証情報やアカウントを保護するには、SSOだけでは必ずしも十分ではありません。

• すべてのSaaSアプリケーションがSSOをサポートしているわけではない。

• パスワード・マネージャーは、チームや機能を超えた安全な共有を可能にする。

• すべての認証情報を確実に保護する唯一の方法は、パスワード・マネージャーとSSOを使用することです。

「ファイアウォールがあるのに、なぜパスワードマネージャーが必要なのか？

• ファイアウォールはネットワーク・セキュリティにとって重要であり、多くの場合、外部からの脅威を防ぐために組織のネットワーク境界に、あるいは内部からの脅威を防ぐためにネットワーク内に設置される。

• ファイアウォールは、組織のネットワークに出入りするインターネットのトラフィックを検査し、悪意のあるトラフィックを探す。

• データ漏洩のかなりの部分がパスワードとクレデンシャルの安全性に関わる問題であるため、パスワード管理はおそらく最も重要なネットワーク・セキュリティ保護策である。

• ファイアウォールは、システムに出入りするデータをフィルタリングすることで、マルウェアをブロックする。

• 一方、パスワード・マネージャーは、境界だけでなく、アーキテクチャのあらゆるレベルで統合することができる。

「電子メールのセキュリティがあるのに、なぜパスワード・マネージャーが必要なのか？

• 電子メールは、フィッシングやランサムウェアを仕掛ける攻撃者の最有力候補である。

• メールセキュリティ・ソリューションには、URL分析、送信元の確認と認証、詐欺防止、メール添付ファイル内のマルウェア検出など、攻撃を防ぐためのさまざまな技術が組み合わされています。

• サイバー犯罪者がログイン認証情報にアクセスした場合、電子メールセキュリティでは、組織のアカウントやアプリケーションへの不正アクセスから保護することはできません。

• 犯罪者が鍵を持っていれば、施錠されたドアは役に立たない。

• パスワードマネージャーは、エンドツーエンドの暗号化を使用して、これらの「キー」（ログイン認証情報）を保存し、保護します。

• パスワード・マネージャーは、既知のURLや確認済みのURLを保持することで、さらなるフィッシング対策を提供する。ブラウザバーにアイコンを表示することで、訪問したサイトがパスワード・マネージャー内に保存されているかどうかを示すことができる。従業員が誤って悪意のあるサイトにアクセスした場合、既知のログインアイコンは表示されない。

• 適切なツールなしにパスワードが広く使用されることで、パスワードの選択が弱くなり、パスワードが再利用され、認証情報が安全に共有されなくなる。

• 組織内では、一元化された共有リソースのニーズは、パスワード・マネージャーで解決できる。

• サイバー攻撃は、適切なパスワード管理によって最小限に食い止めたり、防止したりすることができる。

• 例えば、フィッシング攻撃はパスワード・マネージャーで防ぐことができる。フィッシング詐欺は従業員を騙して悪意のあるリンクをクリックさせるかもしれないが、パスワード・マネージャーを騙すことはできない。

• パスワード・マネージャーは、従業員がエンド・ツー・エンドで暗号化された保管庫で機密情報を保護する唯一の方法です。

• パスワード・マネージャーを使えば、従業員は仕事上（そして個人的にも）のすべてのアカウントについて、固有のパスワードを簡単に生成し、保存することができる。

• パスワード・マネージャーは、漏洩する可能性のある脆弱なパスワードや再利用されているパスワードがあるかどうかをITセキュリティ・チームに示すことができる。

• パスワード管理を含むサイバーセキュリティ戦略は、データ窃盗、ランサムウェア攻撃、および財務や評判に大きな影響を与えるその他のサイバー脅威に対する組織のリスクを最小限に抑えることができます。