パスワードがデータ漏洩で侵害され、ダークウェブで利用
組織は毎年、サイバーセキュリティツールやコンサルタントに数十億ドルを費やしています。ファイアウォール、ウイルス対策ソフトウェア、システム情報とイベント管理(SIEM)などの従来のツールだけでなく、AIや機械学習、ユーザー行動分析を用いた高度な脅威検出に気を取られてしまいがちです。
これらのツールにはそれなりの存在意義があり、非常に貴重なものとなる可能性はありますが、ひとつの問題点が立ちはだかっています。パスワードが、社外秘のビジネスプランや知的財産、コミュニケーション、ネットワークアクセス、顧客データを保護する唯一の手段であることが多いのです。
ヒューマンエラーや不注意、単なる知識不足などのため、パスワードはサイバーセキュリティで最大の弱点なのです。これらの問題に正面から取り組むと、あらゆる組織のサイバーセキュリティ防御に対して最も迅速かつ最大の影響をもたらします。
ここでは、企業のパスワードセキュリティのベストプラクティスについて詳しく説明します。
パスワードセキュリティポリシーの導入
ほぼすべてのサイバーセキュリティ戦略の最初のステップは、自社の資産の棚卸しをした上で、それぞれの資産が晒されるリスクを判断することです。パスワードがアクセス制御ポリシーに不可欠な要素であることを考えると、パスワードセキュリティポリシーを導入する必要があります。効果的なパスワードセキュリティポリシーを実践するには、従業員が確実に以下を行うことが必要です。
● 強力なパスワードを作成し、複数のアカウントで再利用しない
● パスワードを安全に保存し、許可された会社のデバイスにのみ保存する
● 多要素認証(MFA)を導入し、1 つ以上の追加の認証形式を要求する
パスワード管理ポリシーと手順を実施する
多くの企業では、従業員によるパスワードの取り扱いに目が行き届かない状態であり、これがサイバーリスクを大幅に高めています。推測されやすいパスワードは解読されることがあり、そのことが企業にとって最大の内部セキュリティリスクです。パスワードの使用とパスワードポリシーの遵守について重要な知識を得ることが、従業員のパスワード衛生を改善する最も簡単な方法です。ポリシー制御の強制、アクセスロールの定義、共有制限を徹底させる能力は、安全で確実な企業向けパスワード管理に不可欠です。
従業員のアクセスを関係者のみに制限することで、従業員は、必要な社内リソースとログイン情報を必要な時だけに利用できるようになります。役割に基づいたユーザーのアクセスを定期的に監視、プロビジョニング、デプロビジョニングする委任管理者を指定することを、強くお勧めします。
Keeper が企業向けのパスワードセキュリティのベストプラクティスをサポートする仕組み
パスワードマネージャーは、企業が導入可能なあらゆるセキュリティ対策のうち、最も迅速にサイバーセキュリティを改善するものです。従業員のパスワード習慣は、セキュリティにとって最大のリスクです。
Keeperには、すべての従業員がパスワードや機密情報を保存するためのボルトが用意されています。Keeper は強力でランダムなパスワードを生成し、ユーザーの代わりに自動入力します。これにより、個々のアカウントごとにパスワードを覚えたり再利用したりする必要性がなくなり、時間や苛立ちが軽減されます。
情報を保護する
Keeper Securityは、ゼロ知識パスワード管理ソリューションです。これは、Keeperボルトに保存されたすべての情報は、エンドユーザーだけがアクセスできることを意味します。この情報にアクセスするには、ユーザーはマスターパスワードを入力する必要があります。それは、覚える必要がある唯一のパスワードです。Keeperに保存された情報は、送信時と保存時の両方で暗号化されます。データの平文版は、Keeperの従業員や外部関係者には入手できません。Keeperは、利用可能な暗号のうち最も高度なバージョンである PBKDF2、TLS、AES-256 を使用します。当社のシステムは、SOC 2 Type 2 監査済および準拠です。
パスワード管理手順の実施に役立つ
優れたパスワードマネージャーがあれば、ITがパスワード管理ポリシーや手順を実施しやすくなります。Keeper を利用すると、IT管理者は以下を管理できます。
● マスターパスワードの複雑性:アカウントを保護するために強力なマスターパスワードの利用を、従業員に徹底させます。
● マスターパスワードの有効期限:必須のマスターパスワード更新をスケジュールします。
● パスワードマスキング:パスワードを共有し、従業員による使用は許可しますが、パスワードの閲覧やコピーは防ぎます。Keeper はパスワードを公開せずに自動入力します。
● 生体認証:利用可能な場合は生体認証の使用を実施します。
● MFAの実施:Keeperアカウントへのアクセスに必要な認証方法やベンダーを定義します。
● 許可済のプラットフォーム:Keeperアカウントにアクセスできる特定のプラットフォームを定義します。例えば、特定のブラウザのみを許可します。
● パスワードの共有とエクスポート:チームの権限を設定し、パスワードやフォルダを共有するための組織構造を定義します。ボルト内の情報のエクスポートを制御します。
● IPのホワイトリスト化:従業員が社外から Keeperアカウントにアクセスするのを防ぎます。
● プラットフォーム全体のログアウトタイマー:カスタム制限を設定して従業員を自動的にログアウトします。
まとめ:セキュリティ強化で企業のコンプライアンスの向上
Keeperは、徹底したパスワードレポート、監査、分析、そして通知機能を提供するツールです。これにより、セキュリティの専門家が従業員のパスワードの強度や再利用、多要素認証(MFA)の状態を監視し、管理することが可能になります。さらに、Keeperボルトへのアクセスログは、コンプライアンスや法的調査のためにも監査可能です。
不適切なセキュリティ習慣によって組織の評判や運営が危険にさらされることがないように、Keeperを活用して企業のパスワードセキュリティを強化し、ベストプラクティスを実施しましょう。
この機会にKeeperパスワードマネージャーの14日間のビジネスアカウント無料体験を試してみてはいかがでしょうか。