パスワードがデータ漏洩で侵害され、ダークウェブで利用
家族間でネットフリックスなどのサブスクアカウントを共有することは大したことではないと思われるかもしれませんが、会社内でパスワードなど大事なアカウントを共有するとなったら話は違いますよね。
家族間の共有アクセスはひとつの問題ですが、同僚間の共有アカウントはどうでしょうか? 当社の「職場におけるパスワード過誤に関するレポート」によると、米国では 46%の従業員が、複数の同僚が使用するアカウントのパスワードを業務上共有しています。 3 分の 1 以上(34%)が同じチームの同僚と、32%が上司と、19%が会社の幹部とパスワードを共有しています。
会社内のメンバーでパスワードの共有は、職場環境では避けられないことなので、アカウントに不正アクセスするのを防ぐために、安全なパスワード共有を実践することが重要です。
ここでは会社内でパスワードを共有することについての問題点や安全な方法を紹介していきます。
ビジネスプラン14日無料トライアルでKeeperが企業の安全を支えますビジネスのセキュリティ対策をKeeperで強化!
会社内でパスワードを共有する問題点
サイバーセキュリティにおいて、パスワードの共有はまったく推奨されていません。 パスワードを同僚と共有することになれば、自分の個人情報やアカウントが危険にさらされることになります。
以下は、パスワードを共有すべきではない主な理由や問題点になります。
サイバーセキュリティにおいて、パスワードの共有はまったく推奨されていません。 パスワードを同僚と共有することになれば、自分の個人情報やアカウントが危険にさらされることになります。
以下は、パスワードを共有すべきではない主な理由や問題点になります。
情報漏洩するリスクの増加
会社内でパスワードを共有することで、脆弱性が生じ、個人情報などが漏洩する危険性が高まります。 サイバー犯罪者は転送中の情報を傍受することができるため、テキストメッセージや Slack メッセージなどの安全ではない経路でクレデンシャルを共有すると、データ漏洩やサイバー攻撃のリスクが高まります。漏洩した場合、その個人情報はダークウェブに流れてしまうかもしれません。
会社内部脅威のリスク増加
内部脅威はその会社の従業員が不満を持っていたり、退職または解雇された場合、共有されたパスワードを変更しないと、元従業員が引き続きシステムにアクセスできる可能性があります。これは、内部からの脅威を高める要因となります。
パスワードの強度低下
会社内で共有しやすいように、より単純で覚えやすいパスワードを設定する傾向があります。これにより、パスワードの強度が低下し、ハッキングされ破られやすくなります。
コンプライアンスの違反に繋がる
多くのクラウドサービスでは、アカウントの共有は推奨されておらず、その代わりに、追加ユーザーに対してさまざまな価格帯のパッケージを提供しています。 アカウント共有は、プラットフォームの利用規約に違反し、サービスから追放される可能性もあります。
会社内でパスワード共有する際の適切な対処法
パスワードの共有は避けるべきですが、協調的なチームワークを促進し、リモート社員、フリーランサー、デジタルノマドとの連携をスムーズにするためには、時には必要になることもあります。しかし、このような状況でパスワードを共有する際には、セキュリティを最優先に考える必要があります。
ここでは、あなたの会社内やチームがパスワードを安全な共有を実践するための 3 つの対処法を紹介します。
1、 パスワードマネージャーを利用する
パスワードマネージャーは、会社内のチームや従業員間でパスワードや機密情報を安全に共有する方法を提供します。 プラットフォームによっては、管理者が他のチームメンバーと記録を共有する際に、共有するユーザーのログイン情報を公開せずに済む機能を備えたパスワードマネージャーもあります。
クレデンシャルはユーザーのパスワードボルトへ自動的に保管され、そのクレデンシャルを保管しているウェブサイトやアプリケーションにアクセスするたびに自動入力されます。 自動入力は、共有アカウントにアクセスするたびに詳細を入力する手間を省き、キーロギングツールを介してアカウントのログイン情報を盗まれる可能性をなくします。
2、 強力なパスワードの作成を習慣づける
職場で強力なパスワード作成の習慣を実践することで、パスワードのセキュリティが強化され、サイバー犯罪者が企業を侵害することが困難なものとなります。
覚えやすく脆弱なパスワードは、簡単にチームメンバーがパスワードを共有できるようにしますが、サイバー犯罪者にとってはより狙いやすい標的でもあります。 強力な独自のパスワードは、サイバー犯罪に対抗するものであると同時に、パスワードマネージャーに保管すれば、簡単にチームメンバーと安全に共有することもできます。
以下は、チーム内で実施するのに適したパスワードプラクティスです。
・ アカウント間でパスワードを使い回さない。 共有アカウントには、それぞれ独自のパスワードを与える。 漏洩した電子メールアドレスと使い回されたパスワードが組み合わさることで、複数のオンラインアカウントがクレデンシャルスタッフィング攻撃の危険にさらされます。
・サポートしているすべてのアカウントで多要素認証(MFA/2FA)を有効にする。 強力な独自のパスワードでも漏洩する可能性はありますが、2FA を導入していれば、サイバー犯罪者は 2 つ目の要素なしでアカウントにアクセスすることはできません。
・ ランダムなパスワードジェネレーターを使用する。 人間は、覚えやすい辞書的な単語を使ったパスワードを作ることが多くあります。 ランダムなパスワードジェネレーターにより、解読が困難な強力なパスワードを作成することができます。
3、 従業員の退社時にパスワードをリセットする
当社の「職場におけるパスワード過誤に関するレポート」によると、米国の従業員の 32%が以前の雇用主のオンラインアカウントにアクセスしたことがあり、多くの組織が従業員の退職後にアカウントを無効にしたり、共有パスワードを変更することが無いということを示しています。
2021 年、Ticketmaster 社は競合他社のコンピューターシステムに侵入したとして、1000 万ドルの刑事罰金を支払いました。 米国検事代理の DuCharme 氏によると、「Ticketmaster 社の従業員は、盗んだパスワードを使って無許可で競合他社のコンピュータに繰り返し不正にアクセスし、ビジネス情報を違法に収集した 」とのことです。
Ticketmaster 社が競合他社のコンピュータにアクセスできたのは、以前競合他社に勤めていた現従業員が、以前の雇用主から預かっていた機密の内部文書と、競合他社がチケットの先行販売管理に使用していた複数の企業アカウントのログイン情報をチケットマスター社の役員に提供したためです。
所属する組織がパスワード共有に参加しているとします。 その場合、仕事上の関係が終わった後に機密情報が社外に拡散するのを防ぐために、適切なアカウントのリセットや退職プロセスなどを用意し、社内の承認済みユーザーしかアクセスできないアカウントにすることが極めて重要となります。
4. 最小特権の原則に従う
「最小特権の原則」( PoLP)は、情報セキュリティとシステム管理の分野で非常に重要な概念です。この原則は、システムの安全性を高めるために、各ユーザー、プログラム、プロセスに必要最低限の権限のみを与えるべきだという考え方に基づいています。
またKeeperのような多くのパスワードマネージャーは、ロールベースのアクセス制御を提供しており、各従業員の役割や責任に応じて、共有の制限や許可の制限を行うことができます。 管理者は多くの場合、パスワードマネージャーのダッシュボードを通じて最小特権のロール許可を制御します。
社内のよくあるパスワードに関するよくある質問
パスワードを共有するのに最適な方法とは?
パスワードを共有する上で最善かつ最も安全な方法は、パスワードマネージャーを使用することです。 パスワード管理ツールは、テキストメッセージや電子メールなどの安全ではないメソッドでクレデンシャルを共有することなく、安全な共有を実現します。 パスワードマネージャーは、ユーザー名やパスワードを公開することなく、直接従業員と記録を共有することができます。
チームのパスワードをどのように管理している?
多くのパスワードマネージャーは、ロールベースのアクセス制御を提供しており、各従業員の役割や責任に応じて、共有の制限や許可の制限を行うことができます。 管理者は多くの場合、パスワードマネージャーのダッシュボードを通じて最小特権のロール許可を制御します。
パスワードはテキストで送信できる?
パスワードをテキストメッセージで送信するのは、それを傍受する可能性のある人物から保護するためのセキュリティや暗号化が存在しないため、リスクが高くなります。 モバイルデバイスが悪用されると、不正アクセスした人物がテキストを閲覧することができるようになってしまいます。
2 人で同じパスワードマネージャーを使うことはできる?
いいえ、パスワードマネージャーを使用する人は、自分のメールアドレスを使用して個別に自分のアカウントを持つ必要があります。 パスワードマネージャーの多くは、ユーザーを追加したい人のために家族プランやビジネスプランを用意しています。
パスワードをメールで送信するのは安全?
いいえ、電子メールは通常、暗号化されずに平文で送信されます。 もし、あなたのメールボックスが侵害された場合、不正な受信者に自分のパスワードへの完全なアクセス権を与えたことになります。 過去のメールを削除してあっても、アカウント内の他のフォルダやファイルに残っていることがあります。 万が一、メールアカウントが侵害された場合、受信トレイにある情報はすべて危険にさらされることになります。
まとめ:会社内でパスワードを安全に共有するならKeeper
Keeper のパスワードマネージャーは、チームメンバーや第三者との間での安全なパスワード共有を保証します。 社員は、ユーザー名やパスワードを公開することなく、チーム間でファイルやクレデンシャルを簡単に共有でき、いつでもアクセス権を剥奪することができます。
Keeper のワンタイム共有により、Keeper アカウントの有無にかかわらず、一定期間、パスワードと記録を他人と共有することができます。
この機会にKeeperパスワードマネージャーの30日間の個人版フリートライアルまたは、14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。