8割の攻撃の起点はパスワード流出 「覚えやすい」はなぜいけないのか:いまさら聞けないパスワード保護術【前編】
パスワードセキュリティの不備は、企業に大きなリスクをもたらす。パスワード保護は常識のはずだが、意外と実施されていないのが実情だ。企業はどうすればいいのか。
不十分なパスワードセキュリティは、攻撃の実害を招く大きなリスクだ。Verizon Communicationsの報告書「2021 Data Breach Investigations Report」によると、2019年の攻撃の約8割がパスワードなど認証情報の窃盗を起点としたものだった。この数字から、企業におけるパスワード管理が極めて重要であることが分かる。
パスワードが狙われやすい背景には、危ないと知りつつも、記憶しやすい簡単なパスワードを設定し、それを複数のデバイスやアプリケーションで使い回す従業員が少なくないことがある。企業はパスワードセキュリティを高めるために、どうすればいいのか。
覚えやすいパスワード設定のわな 従業員の「悪習」をどう直せるか
従業員が「覚えやすいパスワード」を設定することによって、攻撃者は“仕事”がしやすくなる。攻撃者は標的のパスワードが分からない場合は、考え得るパスワードのパターンを順に試す総当たり(ブルートフォース)攻撃の手法を用いる。以前に流出した認証情報を攻撃者が悪用することもある。企業はフィッシング攻撃を受け、攻撃者に認証情報が盗まれることがある。従業員がフィッシングメールのリンクをクリックしたり、添付ファイルをダウンロードしたりすることでシステムがマルウェアに感染し、認証情報の流出につながる恐れがある。
パスワードの流出は個人でも困りものだが、企業となるとなおさら重大な問題だ。企業は適切なパスワードの管理を実施しなければ、攻撃を受けるリスクが高まる。1人でも従業員のパスワード管理の不備があれば、それが攻撃を招く可能性がある。その場合、被害が社内にとどまらず、サプライチェーンにまで及ぶシナリオも想定しなければならない。
企業におけるパスワードセキュリティの確保は、全従業員が協力することが鍵を握る。従業員に攻撃のリスクを意識してもらい、セキュリティ対策を講じるよう促すためには、上級管理職の役割が重要だ。
中編は、多要素認証(MFA)ツールや脅威検出ソフトウェアの導入のメリットを紹介する。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.