Appleの新しいパスワードアプリは、携帯電話のパス
テレワークやハイブリッドワークの選択肢を提供する組織が増えたことで、多くの作業環境を自宅に構えています。チームは、自宅の作業環境が安全で保護されていることを確実にするために、パスワード衛生のベストプラクティスを理解する必要があります。
パスワード衛生に精通していない無用心な従業員は、自分自身と会社にリスクをもたらす可能性があります。実際、Verizon 2022 DBIR 調査によると、情報漏洩の82%が人的要素によるものでした。人は、認証情報の盗難、フィッシング詐欺、誤用、または単なる人為的ミスなどの被害者になることで、データ侵害やその他のセキュリティインシデントに大きな影響を与えます。
この記事では、パスワード衛生と、テレワーク従業員向けのベストプラクティスについて詳しく説明します。
パスワード衛生とは?
パスワード衛生とは、サイバー攻撃、ウイルス感染、ソーシャルエンジニアリング、アカウント乗っ取りなどを防ぐために、強力なパスワードを確実に設定する慣行を維持することです。従業員は、サイバー攻撃の被害に遭うリスクを減らすために、良い習慣を実践する上で規律を保つ必要があります。
攻撃者は、単にユーザーのパスワードを推測するだけでなく、総当たり攻撃、ソーシャルエンジニアリング、マルウェアのような、より高度な手法を使ってセンシティブデータを盗んでいるのです。パスワード衛生は、攻撃者がターゲットのパスワードを手に入れるのを防ぐ、最初のセキュリティレイヤーです。
Keeperを使えば、パスワードのベストプラクティスを簡単に実行できます。Keeperは、パスワード管理からダークウェブモニタリングまで、チームのセキュリティ態勢を強化するサイバーセキュリティ製品を一通り揃えています。
テレワークに必須!パスワードのベストプラクティス
強力なパスワード衛生のために、これらの推奨事項に従ってください。
1. ゼロトラストアプローチを取り入れる
ゼロトラストポリシーでは、すべてのユーザーやデバイスが侵害される可能性があることを前提としています。すべての人間と機械は、ネットワークにアクセスできるようになる前に、検証される必要があります。組織は、ゼロトラストセキュリティモデルを導入することで、サイバー攻撃者がネットワークにアクセスするのを防ぐことができます。
ゼロトラストアーキテクチャは、ネットワークのセグメント化を介してラテラルムーブメントも防ぎます。サイバー攻撃者が1か所の不正なアクセスポイントからアクセスできたとしても、ゼロトラストモデルが継続的に検証を要求し、攻撃者がネットワークを横方向に移動できないようにします。セグメント化は、攻撃による損害を減少させるのに役立ちます。
2. 良好なサイバー衛生慣行の実施
ワークスペースに、セキュリティ規則と慣行を標準化するためのポリシーを導入しましょう。パスワードマネージャーのような最新のソフトウェアとツールを、各従業員が装備するようにします。時代遅れのソフトウェアや機器は、攻撃に対してより無防備です。
パスワードマネージャーには、以下の機能など、チームのパスワード衛生に役立つメリットがあります。
● パスワード生成 — 強力なパスワードを自動的に作成する機能。
● 多要素認証(MFA)— アカウントへのアクセスを許可する前に、ユーザーに2つ以上の本人確認の提供を求める認証方法。
● 自動入力 — ウェブサイトやアプリにユーザーの認証情報を自動的に入力する機能。
従業員はまた、パスワードのセキュリティを強化するために、良好なパスワード慣行に従う必要があります。従うべきいくつかのヒント:
● パスワードを再利用しない。パスワードを再利用すると、1つの認証情報だけで複数のアカウントがサイバー脅威に遭う可能性が高くなります。
● 個人情報を使用してパスワードを作成しない。自分やチーム、組織とは関係のないパスワードを作成します。サイバー攻撃者は、名前、誕生日、その他の重要な日付などの個人情報を使用してパスワードを推測することがよくあります。最も安全なパスワードには、大文字と小文字、数字、記号を組み合わせたランダムな文字列が含まれています。
3. リモートデスクトップマネージャーを使用する
仕事を家に持ち込むことは、プライベートと仕事の境界を適切に設定しないと面倒になる場合があります。リモートデスクトップマネージャーを使用すると、チームはどこからでも仕事のデスクトップにアクセスできます。Keeper コネクションマネージャー のようなエージェントレスのオプションは、セッションの記録、複数ユーザーによるセッション共有、特権セッション管理などを提供します。
4. 多要素認証(MFA)を求める
Microsoftによると、多要素認証(MFA)は、アカウントに対するパスワード関連のサイバー攻撃の99.9%を防ぐことができます。従業員に、MFAをサポートする全てのアカウントで MFA を有効にすることを求めます。
アカウントにログインした後、MFAはユーザーに次のような追加の認証要素の提示を要求します。
● 認証アプリから取得したコードの入力
● 顔や指紋のスキャン
● 秘密の質問への回答
脅威アクターが有効なログイン認証情報を手にした場合でも、この追加の認証要素がなければそれらの情報を使用できません。
5. フィッシング詐欺に注意する
従業員は、あなたと会社を守る最初の防衛線です。時間をかけてチームを育成し、チームメンバーがサイバー攻撃者に騙されないようにしましょう。
ソーシャルエンジニアリング攻撃は、増加し続けています。アンチフィッシング・ワーキンググループによるフィッシング詐欺の動向レポートによると、2022年3月までに、1,025,968件のフィッシング詐欺攻撃があり、2021年の第4四半期と比べて15%増加しました。
メール内のリンクをクリックする前に兆候を探し、フィッシングメールではないことを確認します。よくある兆候には、以下のようなものがあります。
● タイプミスが多い。ほとんどの信頼できるブランドや企業は、メールを校正してから受信者に送信するものです。文法の誤りや単語のスペルミスは、詐欺メールによく見られます。
● 不審なメールアドレス。メールアドレスが会社のドメイン名と一致しない場合は、ゴミ箱に移動させましょう。
● 疑わしい要求。騙されないでください。ナイジェリアの王子が、あなたの暗号や iTunesのギフトカードと引き換えに全財産を贈ることは、決してあり得ないのです。
● 緊急性。送信者は、被害者が性急に決断を下し、素早く行動することを期待します。恐怖心が引き金となって脅威に屈してしまわないようにしましょう。
テレワーク従業員に関するよくある質問
テレワーク中従業員のパスワードを共有する方法を教えてください。
従業員は Keeper Password Managerを使用して、パスワードを安全に共有できます。デジタルボルトの記録、パスワード、その他の機密情報を共有する方法についての詳細をご確認ください。
パスワードをリモートで共有しても大丈夫ですか?
はい。Keeperなら、場所に関係なく、パスワードを安全に共有することが容易になります。Keeper Businessをご利用の企業様は、チームと同僚の間で記録を簡単に共有できます。また、弊社ではワンタイム共有機能も提供しており、チームメンバーが Keeperアカウントを持たないフリーランサーと 秘密情報を共有できます。
良好なパスワード衛生を簡単に改善し、維持する方法を教えてください。
Keeper をご利用になると、管理者コンソールで全体的なセキュリティスコアを確認することで、パスワード衛生を常に把握できます。管理者コンソールがパスワードセキュリティを監査し、重複するパスワード、弱いパスワード、その他の改善が必要な領域を特定します。また、BreachWatch™ は、ダークウェブに漏洩した認証情報をユーザーに通知する機能であり、情報を即座に更新するように促すものです。
まとめ:リモートワークでのパスワードセキュリティを強化しよう
Keeperのパスワードマネージャーは、チームが確実に良好なパスワード衛生を維持するためのツールと機能を提供します。
Keeperの企業向けパスワードマネージャーは、ゼロトラスト、ゼロ知識で、当使用者以外の誰もKeeper ボルト(安全な保管庫)内の平文データを見ることができません。ビジネス用のパスワードマネージャーを持つことの利点は、従業員のパスワードの実践を完全に可視化すること、安全なパスワードの共有など、いくつかありますが、その他にも多様な機能があります。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。