「めんどくさい」は通じない やはり「多要素認証」が欠かせない理由とは：いまさら聞けないパスワード保護術【中編】

パスワードセキュリティを強化する一つの手段として、多要素認証（MFA）がある。MFAや他のツールの活用、パスワードセキュリティガイドライン策定を軸にした保護策を紹介する。

[Cyber Tec Security，TechTarget]

　常識のはずなのに、実は徹底されていないことがあるパスワードセキュリティ。パスワードを保護し攻撃を防ぐためには、企業はどうすればいいのか。前編「8割の攻撃の起点はパスワード流出　『覚えやすい』はなぜいけないのか」はパスワードを狙う攻撃者の動きを取り上げた。中編となる本稿は、パスワード保護策として、多要素認証（MFA）ツールや脅威検出ソフトウェアの有効性を説明する。

併せて読みたいお薦め記事

パスワードを巡る最近の動向

• “パスワードのいらない世界”への道　「パスワードレス認証」の第一歩とは
• パスワード認証はなぜ危険なのか？　注意すべき攻撃手段とユーザーの行動

　企業は従業員にパスワードセキュリティの重要性と、パスワードの不備が企業にもたらすリスクを理解してもらうことが重要だ。攻撃者が使っている手口の実例を紹介すれば、従業員が防御策の大切さを実感し、パスワード設定に関してより高いセキュリティ意識を持つようになると考えられる。そのために、企業はオンラインを含めた研修の機会を設けることを検討するとよい。

多要素認証（MFA）の導入

　パスワード認証はセキュリティを確保するために欠かせない。ただしパスワードの数が増え過ぎると管理が煩雑になるというデメリットもある。パスワード認証だけでは完全な保護が難しいため、企業のセキュリティ強化には多要素認証（MFA）ツールの利用が有効だ。例えば従業員所有のデバイスにテキストメッセージで認証確認コードが届き、複数の認証要素を使うことでセキュリティがより強固になる。

　MFAはエンドユーザーからみれば「面倒」と感じられる側面もあるが、攻撃を予防するためにやはり重要だ。Microsoftによると、MFAを用いているアカウントは攻撃される可能性が大幅に下がる。

脅威検出ソフトウェアの導入

　企業は脅威検出ソフトウェアの実装を検討する必要がある。脅威検出ソフトウェアは疑わしいログインの試みを発見して警告を出す仕組みだ。企業は脅威検出ソフトウェアを利用すれば、いち早く不正なログインを把握し、対策を講じることができる。

パスワードセキュリティガイドラインの明文化

　従業員がパスワードに関連する安全策を実施しやすいよう、パスワードポリシーを策定することが企業にとって重要だ。パスワードセキュリティの明確なガイドラインを作成し、作成時の注意点や更新のタイミングを具体的に指示する必要がある。パスワードは他のシステムで使っていない、複雑なものにするのがベストだ。よく使われていて攻撃に悪用されやすいパスワードのブラックリストを作成することで、従業員は危険なパスワードの使用を回避できるようになる。

　パスワードセキュリティのガイドラインは、セキュリティ研修の一環として従業員に読んでもらうとよい。従業員がパスワードセキュリティを意識するようになることが重要だ。

---

　後編は、パスワード管理ツールを導入したり、パスワード共有をしっかり管理したりする重要性を説明する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。