こちらもおすすめ
公開日
作成日:
2023年2月07日
執筆者
Keiichi Sato
Software as a Service(SaaS)と同じくらい古い IT の課題は組織の隅々にまで存在しています。それは、単一のテクノロジーベンダーを持つか、複数のソリューションを持つかということです。組織によっては、パスワードマネージャーがこれに該当する場合もあります。
また、ソフトウェアの機能は多岐にわたるため、組織が単一のソリューションを持つか、あるいは複数のソリューションを持つかに関して、それぞれに説得力のある理由があります。
このブログでは、パスワードマネージャーを全社的なアプローチで導入すべき理由と、IT チームが組織のパスワード保護を 1つのプラットフォームに統一することを可能にする方法について紹介します。
シングルソリューションとマルチソリューションの比較
1つの統一されたパスワード管理ソリューションが、組織全体の機能的なニーズを最も満たしていたり、最も必要とする者の声を満足させることもあります。しかし、そのソリューションが包括的でない場合、一部のグループには重要な機能が不足している可能性があります。
では、複数のベンダーを利用したらどうでしょうか?それは確かに個々の部門やチームを満足させることができるでしょう。しかし、すべての関係者を満足させるには、余分な費用がかかり、プロセス、管理、レポートに一貫性がなくなります。
ワープロソフトのような一部のソフトウェアでは、シングルソリューションとマルチソリューションの議論は重要な意味を持つかもしれません。しかし、強制するアイデンティティとアクセス管理(IAM)ポリシーのように、パスワードマネージャーはエンタープライズ規模のものです。
1つのパスワード管理ソリューションで、すべてのユーザー、アプリケーション、デバイスをカバーすべきです。
組織が複数のソリューションを導入している理由
まず、組織が複数のパスワード管理ツールを使用する一般的な理由と、その理由が詳細な調査に耐えられない理由を考えてみましょう。
大きな声と賛同の欠如
経営幹部や組織文化からの賛同が得られず、IT 担当者やセキュリティ担当者の懸念が大声でかき消されてしまうことと相まって、IT 部門は重要な意思決定を行う権限を失ってしまうことがあります。これには、パスワード管理などの重要なソフトウェアの統一を図ることも含まれます。
つまり、財務部の Bob さんがパスワードマネージャー A を愛用していても、マーケティング部の Suzy さんがパスワードマネージャー B にこだわり、経営幹部達がソフトウェアの使用に関して自由放任主義をとっている場合、IT 部門は立場もないということです。Bob も Suzy も好きなソフトを使い続けることが許されますし、営業部の誰かは別のパスワードマネージャーを好むかもしれませんそして、彼らはそれを使い続けることができてしまいます。
特に、平均的な組織では 100 以上の SaaS アプリケーションを使用しているため、「仕事に役立つものは何でも使う」ということが、いかに早く制御不能に陥るかは想像に難くありません。
エンドユーザーのレガシーソリューションへの愛
これには、声の大きさや賛同の無さといった問題が関係していることが多くあります。
企業のパスワード管理が優先されるようになる以前は、個々の部門やビジネスユニットが独自に異なるソリューションを採用してパスワードを管理していたかもしれません。さらに悪いことに、これらのソリューションの中には、ブラウザに組み込まれたパスワードマネージャー、スプレッドシート、さらには貼り付けメモなど、非常に安全性に欠けるものもあります。
そもそも人間は変化に対して抵抗感があるものです。長年、特定のソリューションを使用してきたチームにとって、他のツールに乗り換えることは大変なことだと思われるかもしれません。しかし、セキュリティの強化や効率的なコンプライアンスレポート、IT リソースの有効活用、従業員同士のシームレスな共同作業など、単一のソリューションを持つことによる長期的なメリットは無視できないものがあります。
ベンダーロックインとセキュリティ脆弱性への懸念
場合によっては、ベンダーロックインを恐れて、複数のソリューションを使用することを好む組織もあります。 1つのソリューションしか使わなければ、乗り換えはほぼ不可能で、そのベンダーと永遠に寄り添っていくことになると恐れているのです。しかし、選択したベンダーがパスワードを簡単にエクスポートできるようにする限り、ロックインは問題とはなりません。
加えて、企業や IT リーダーの中には、特に最近の情報漏洩を踏まえると、たった 1つのパスワードマネージャーを使用することによるセキュリティへの影響を懸念する人もいるかもしれません。場合によっては、クレデンシャルをあるソリューションに、バックアップコードやセキュリティ質問回答などを別のソリューションに保管することもあります。
1つのパスワードマネージャーが破られたとしても、組織は少なくとももう 1つのパスワードマネージャーの保護を受けることができる、というのが彼らの論理です。しかし、組織内に複数のパスワードマネージャーが共存していても、必ずしも保護機能が高まるわけではなく、むしろセキュリティが低下することでしょう。
組織がデータ環境に追加するすべての SaaS プログラムは、脅威者が悪用する潜在的なエンドポイントをさらに 1つ増やすことになります。エンドユーザーが操作しなければならないパスワードマネージャーが多ければ多いほど、どこかで誰かがミスをする可能性が高くなります。
組織は、無防備なエンドポイントと同じくらい脆弱です。特定のソリューションのセキュリティアーキテクチャと IT チームが強力なポリシーを強制する能力とを組み合わせることで、従業員が単一のパスワードマネージャーを採用することが、企業のセキュリティをはるかに強力に保証することになります。
単一のパスワードマネージャーで得られるセキュリティ上のメリット
IT 調達のプロセスにおいて優先されるべき個々のソリューションの基本的なセキュリティに関して考慮することはさておき、企業全体で単一のパスワード管理ソリューションを使用することが、複数のソリューションを寄せ集めて使用するよりもはるかに優れている理由は、他にも数多く存在します。
IT の可視化と制御
ベライゾンの 2022年データ漏洩/侵害調査報告書によると、攻撃の 82%には、盗まれたり脆弱なパスワード、シークレット、クレデンシャルといった人的要素が関与しています。現代のデジタル組織においては、すべてのエンドユーザーがソフトウェアにアクセスする必要があります。つまり、すべての人がパスワードを使用する必要があることを意味します。したがって、アイデンティティとアクセス管理は、企業全体で包括的かつ統一的に行う必要があります。
単一のパスワード管理ソリューションは、可視性を統一し、IT チームが 1つのプラットフォームからパスワードを監査できるようにします。
複数のソリューションが、異なる機能やプラットフォームにまたがってモニタリング機能を断片化し、相互に互換性がないこともあります。システム間における互換性がない場合、異なるパスワード管理ソフトのデータを照合してリスクを総合的に評価することは、IT 部門にとって困難なものとなります。
従業員のセキュリティハイジーン(衛生管理)
複数のパスワードマネージャーを持つことは、IT チームによるトップダウンの可視性を損なうのと同様に、従業員がパスワードポリシーを遵守できるよう保証することで組織を保護するという ITの使命を損なうことにもなります。
IT 部門が強化できるパスワード管理における 1つの基準(多くの場合、人事部門(HR)の支援を受けて)がなければ、組織はパスワード関連のサイバー攻撃や、HIPAA、GDPR、その他の業界・規制基準の遵守から外れる可能性があるというリスクを負うことになります。
単一のパスワード管理ソリューションにより、パスワード習慣と行動を一元管理できるため、IT 管理者はすべての従業員がすべてのアカウントにおいて強力で独自のパスワードを使用していることを確認でき、多要素認証(MFA)がサポートされている場合はそれを有効にし、その他のセキュリティポリシーも遵守することができます。
コンプライアンスとレポート
クレデンシャルやセンシティブな情報へのアクセスを効率的に監査、管理する能力は、コンプライアンスの維持と漏洩の防止に不可欠です。単一のソリューションであれば、HIPAA、FedRAMP、StateRAMP、ISO 27001、PCI DSS、GDPR、サーベンスオクスリー法(SOX)など、アクセス制御のレポートを必要とする規制への対応を効率化できます。
複数のソリューションを利用する場合、監査と財務のチームは、データの保管とレポートに関する異なるメソッドを調整する必要があります。規制コンプライアンスのコストが増加し、リモートワークがコンプライアンスを複雑化し、組織の攻撃対象領域が拡大する中、効率的な監査プロセスがこれまで以上に重要となっています。
単一の視点から見たフォレンジック
セキュリティインシデントが発生した場合、フォレンジックアナリストは、悪意ある人物がどのように組織を攻撃したかを理解するために、イベントタイムラインを再度作成する必要があります。ソーシャルメディアアカウントなどの低レベルのアカウントが侵害されると、サイバー犯罪者が内部に侵入した後に特権を昇格させるための入り口となることがよくあります。
IT 統制やコンプライアンス監査のプロセスを合理化するのに似て、単一のパスワード管理ソリューションは、イベントのタイムラインを一元化し、レポートのためのサイロ化された基準を取り除くことができます。
単一のエンタープライズパスワードマネージャーを利用することによるビジネス上のメリット
パスワードマネージャーを 1つに絞ることで、セキュリティ面だけでなく、ビジネス上のメリットも豊富にあります。また、単一のソリューションは、パスワードやセンシティブな情報を保護する上ではるかに費用対効果が高く、サポート可能で応答性の高いオプションを提供します。
単一ソリューションによるコスト削減
ほぼ確実に、ソフトウェアを複数のプロバイダーから購入するよりも、1つのプロバイダーから購入する方が費用対効果が高くなります。また、2023年には一般的な IT 予算が実質的に減少することを考えると、CFO や IT リーダーは、機能性と制御にかかる支出の抑制のために、他のソフトウェアの中でもパスワードマネージャーに期待することができるでしょう。
エンドユーザーへのサポート力向上
パスワードマネージャーを導入することで、IT サービスデスクに寄せられるパスワード関連のチケットの数は減るはずですが、どうしてもサポートが必要な社員がいるのも事実でしょう。パスワードマネージャーが 1つで、システム管理者が使いこなすべき機能が 1セットであれば、IT チームはビジネスを推進する社内プロジェクト自体により多くの時間を割くことができます。
ベンダーの応答性
1つのツールで社内サポートを合理化するのと同様に、1つのソリューションであれば、従業員のパスワードマネージャー導入をサポートするための外部窓口を 1つにすることができます。 新しいユーザーをソリューションにオンボードする場合、ベンダーとの連絡先を一本化することで、組織全体のロールアウトを調整するのに役立ちます。
企業のパスワード管理ならKeeperにお任せください
コスト、ユーザビリティ、セキュリティの観点から、組織は複数の異なる互換性のないソリューションではなく、単一のパスワードマネージャーを使用する方がよいでしょう。
従業員の中には、単一のパスワードマネージャーへの移行を提案されただけで、断固として抵抗する人もいるかもしれません。しかし、単一のツールでバックアップされたパスワード管理上の企業戦略は、より高い効率性、コラボレーション、セキュリティを約束します。
サイバー攻撃の大半は、盗まれた、脆弱な、使い回されたパスワード、クレデンシャル、シークレットが原因となっているので、組織的なセキュリティはエンタープライズの保護を保証します。IT 部門やコンプライアンス部門は、重要なシステムやデータに対する可視化と制御を可能にする単一のソリューションを必要としています。
組織内のパスワード管理を統一する用意はよろしいですか? Keeperパスワードマネージャーの組織的なロールアウトについて、当社のサイバーセキュリティ専門家に今すぐご相談ください。
