職場のパスワード習慣が、組織をサイバー攻撃の危険にさらす

職場におけるパスワード管理状態の悪さは、COVID-19 の大流行以前から、組織のサイバーセキュリティに対する脅威となっていました。COVID-19 によって世界中の組織がリモートワークの迅速な展開と安全確保を迫られると、チームはリモートで組織のリソースに接続するようになりました。それは雇用主が管理しない環境下で（多くの場合自分自身のデバイスを使用して）行われています。

2020 年に Keeper Security が委託した、Ponemon Institute の「Cybersecurity in the Remote Work Era: A Global Risk Report（リモートワーク時代のサイバーセキュリティ：グローバルなリスクのレポート）」の回答者は、組織におけるパスワードセキュリティに関して重大な懸念を表明しています。

• 回答者の 60％が、過去 12ヶ月間に自分の組織がサイバー攻撃を受けたと回答しています。
• これらの攻撃の 50％以上は、盗まれたクレデンシャルによるものでした。
• IT 資産の盗難により、25％の企業が 500 万ドル以上の損害を被りました。

パンデミックにより、企業は離れた場所にいる従業員を接げ、共同作業を行い、仕事を継続させるために、多数の新しい技術を急速に展開することになりました。Zoom から Google Workspace、Slack まで、社員はさらに多くのオンラインアカウントにサインアップし、さらに多くのパスワードを管理しなければならなくなりました。

Keeper は、企業がリモートワーク環境に移行して以来、パスワードのセキュリティがどの程度変化したのか疑問に思っていました。リモートの従業員は、パスワードを保護するためのシンプルなベストプラクティスに従っていたのでしょうか、それとも、「パスワード疲れ」に陥り、重大なサイバーセキュリティリスクにつながる悪い習慣に陥っていたのでしょうか？そこで、Keeper は Pollfish と共同で「職場におけるパスワード過誤に関する調査」を実施しました。

Ponemon が組織のリーダーを調査したのに対し、今回の調査では従業員を直接調査することにし、米国のフルタイムワーカー 1,000 人にパスワード習慣について質問しました。仕事関連のオンラインアカウントにログインするためにパスワードを使用している個人のみを対象とし、調査は 2021 年 2 月に完了しました

以下は、本調査で得られた最も重要な発見です。また、全データはこちらからご覧いただけます。

調査結果 1：米国の従業員は、ログイン情報を安全に管理、保管していない

弊社の調査によると、米国の従業員は、仕事関連のパスワードを保管、管理する際にベストプラクティスに従っておらず、雇用主にとって大きなサイバーセキュリティ上のリスクをもたらしていることが判明しました

• 回答者の半数以上（57%）が、仕事関連のオンラインパスワードを「貼り付けメモ」に書き留めていることを認めており、3 分の 2（67%）がこのメモを紛失したことがあると認めています。これは、会社の極秘情報が自宅の住人や訪問者の目に触れるところに放置されるだけでなく、組織の効率も損なわれてしまいます。貼り付けメモの紛失はパスワードの紛失を意味し、その結果、ヘルプデスクチケットでパスワードをリセットすることになります。
• 回答者の 62％がログイン認証情報をノートや日記に保管しており、圧倒的多数（82％）がこれらのノートを仕事用デバイスの横や近くに置き、自宅の住人や訪問者がアクセスできる状態にあると回答しています。

紙とペンを使用してパスワードを管理することは、リモートワークの世界ではさらに問題となっています。ほとんどのワーカー（66％）は、オフィスで仕事をしているときよりも、自宅勤務しているときの方が、仕事関連のパスワードを書き留める可能性が高いと回答しています。

パスワードの管理や保管にデジタルメソッドを使用している場合であっても、米国に居住する従業員のパスワードセキュリティ運用実態は脆弱です。

• 半数近く（49％）の回答者が、仕事関連のパスワードをクラウド上の文書に保存していると回答しています。
• 半数以上（51％）が現在これらのパスワードを、パソコンに保存した文書に保存していると回答しています。
• 55％が仕事関連のパスワードを携帯電話に保存していると回答しています。

暗号化されていないファイルにパスワードを保管することは、非常に危険です。サイバー犯罪者は、クラウドストレージ、コンピュータ、またはモバイルデバイスに侵入するだけで、従業員のすべてのパスワードにアクセスすることができてしまいます。

調査結果 2：米国の従業員は脆弱で推測されやすいパスワードを作成している

強力でランダムなパスワードは、大文字と小文字、数字、特殊文字を組み合わせたランダムな文字列で構成されています。しかし、多くの回答者は、サイバー犯罪者がソーシャルメディアチャンネルで簡単に見つけることができるような個人情報を含むパスワードを使用していることを認めています。

• 3 分の 1 以上（37％）の回答者が、仕事関連のパスワードに雇用主の名前を使ったことがあると回答しています。
• 3 分の 1 以上（34％）が、大切な人の名前や誕生日を使ったことがあると回答しています。
• ほぼ 3 分の 1（31％）が子どもの名前や誕生日を使ったことがあると回答しています。

個人アカウントと仕事関連アカウント間でのパスワードの使い回しは、企業にとって大きなサイバーセキュリティリスクとなっており、回答者の 44％が個人アカウントと仕事関連アカウント間でパスワードを使い回していることを認め、 53％がパスワードで保護された個人アカウントを仕事用デバイスに残していることを認めています。

調査結果 3：米国の従業員は、仕事関連のパスワードを許可されていない関係者と共有している

米国の多くの従業員は、仕事関連のパスワードを共有する相手について注意を払っていません。このため、それらのパスワードが不注意な人や悪意のある人の手に渡った場合、組織は侵害されるリスクにさらされることになります。

• 過去 1 年間で、14％の回答者が仕事関連のパスワードを大切な人や配偶者と共有したことがあると回答しています。
• 11％の回答者が、仕事関連のパスワードを家族と共有したことがあると回答しています。

データ漏洩がなくても、許可されていない関係者がコンプライアンスで保護されたデータを閲覧したことが判明した場合、雇用主はコンプライアンス違反を指摘され、非常に大きな罰則を課される可能性があります。

調査結果 4：米国の雇用主は、パスワードの安全に共有したり許可された関係者とのみ共有することを保証する役割を担っていない

今回の調査では、職場におけるパスワードの共有が一般的であることがわかりました。

• 半数近く（46％）の回答者が、複数人で使用するアカウントのパスワードを会社で共有していると回答しています。
• 3 分の 1 以上（34％）が、同じチームの同僚と仕事上のパスワードを共有したことがあると回答しています。
• 3 分の 1 近く（32％）が、仕事関連のパスワードを上司と共有したことがあると回答しています。
• 19%は、パスワードを経営陣と共有したことがあると回答しています。

最善の方法は、すべてのユーザーに仕事関連のアカウントやアプリケーションごとに独自のパスワードを与えることです。これは、大企業向けパスワード管理（EPM）プラットフォームを使用することで実用的に成し遂げることができます。パスワードが安全に共有され、許可されている関係者とのみパスワードを共有すれば、職場でのパスワード共有は安全なものとなります。

今回の調査結果では、米国の多くの雇用主が、安全にパスワードを共有するためのリスク軽減策を実施していないことが明らかとなりました。

• 回答者の大多数（62％）が、仕事関連のパスワードをテキストメッセージや電子メールで共有していると回答しており、転送中にサイバー犯罪者に傍受される可能性があります。
• 回答者の約 3 分の 1（32％）が以前の雇用主のオンラインアカウントにアクセスしたことを認めており、多くの雇用主が従業員の退職時にアカウントを無効化していないことを示しています。

結論

Keeper Enterprise のような大企業向けパスワード管理プラットフォームを採用し、導入することで、この調査で明らかになったパスワード過誤を正すことができます。Keeper のゼロ知識パスワード暗号化とゼロトラストフレームワークは、高度なパスワード管理、安全な共有、その他のセキュリティ機能を提供します。

IT 管理者やリーダーは、以下にあるように従業員のパスワードの使い方を完全に可視化し、コントロールすることができます：

• 独自の知識セキュリティモデルとゼロトラストフレームワークシステム、転送中および停止中のすべてのデータが暗号化され、Keeper Security の従業員や外部のいかなる人物も閲覧することはできません。
• あらゆるデバイスへの迅速な展開が可能で、機器や設置するための初期費用は不要です。
• 専任のサポートスペシャリストによるカスタマイズされたオンボーディング、24 時間 365 日のサポートとトレーニング。
• RBAC、2FA、監査、イベントレポート、HIPAA、DPA、FINRA、GDPR など複数のコンプライアンス・スタンダードをサポート。
• 安全な共有フォルダ、サブフォルダ、パスワードをチームにプロビジョニングします。
• シングルサインオン（SAML 2.0）認証
• SSO 使用不能時にオフラインでボルトアクセス可能.
• SCIM 経由で動的にボルトをプロビジョン.
• 高可用性（HA）を設定できます。
• 高度な二要素/多要素認証。
• Active Directory と LDP の同期。
• SCIM と Azure AD プロビジョニング.
• パスワードサイクルとバックエンド統合用開発者向け API.