パスワードストレージとは

企業と個人の両方に普及しつつあるサイバーセキュリティソリューションの1つが、パスワード管理です。パスワードマネージャーは、オンラインアカウントのパスワードを保存および保護するアプリケーションであり、サイバー攻撃による最も有害な経済的影響の一部に対する防御に役立ちます。優れたパスワードマネージャーによって、会社のアカウントごとに強力かつ一意のパスワードが生成されます。犯罪者が機密データを取得しにくくすることで、パスワードストレージソリューションは、現在の組織において防御の最前線としての役割を果たします。

サイバーセキュリティ専門家は、アカウント情報を安全に保存するためにパスワードマネージャーの使用を強く推奨します。企業、政府、その他の大規模な組織に対しては、デスクトップ、ラップトップ、タブレット、スマートフォンなど、接続されているすべてのデバイスにパスワードマネージャーをインストールすることが特に推奨されています。価値を創造、蓄積しているこれらの機関は、よくサイバー犯罪者の標的になります。アカウントのセキュリティを確保することで、壊滅的なサイバー攻撃の可能性を減らすことができます。

パスワードストレージが重要な理由

コネクテッドワークプレースでは、企業は多くの場合、数多くのオンラインアカウントに依存しています。少数のアカウントであってもログイン認証情報を追跡することは困難である場合があります。このようなことから、ユーザーがサイバーセキュリティで手抜きをすることになり、その結果サイバー攻撃に対して自分や組織の脆弱性を高めることになります。

パスワードストレージソリューションを使用しない場合、ユーザーは、主に2通りの方法によりログイン認証情報の設定と記録で手抜きをします。1つ目の方法は、認証情報を共有することです。これは、ユーザーが複数の異なるアカウントで同じユーザー名または同じパスワードを使用している場合です。認証情報を共有すると、ログイン認証情報は覚えやすくなりますが、組織を脅威に対して脆弱な状態にしてしまいます。ログイン認証情報の作成と文書化で手抜きするもう1つの方法は、脆弱なパスワードを設定することです。弱いパスワードは単純で、覚えるのが簡単です。しかし、サイバーセキュリティよりも利便性を優先することで、サイバー攻撃を招いてしまいます。

アカウントに対して完全に一意で複雑なユーザーパスワードを多数作成し、記録することは理論上可能です。ただし、このプロセスは、ユーザーが認証情報の物理的な紙の記録を常に保持する必要があるため、面倒です。大規模な組織では、誰かが特定の日に一意のパスワードを記載した紙を自宅に忘れる可能性が非常に高くなります。

パスワードストレージソリューションは、業務に不便な負担をかけることなく、機密性の高い認証情報のセキュリティを確保する方法として登場しました。複数のデバイスを定期的に使用している組織では、1つのパスワードボールトを使用して、デバイス間で複数のパスワードを同期できます。

パスワードマネージャーを使用したサイバーセキュリティの脅威に対する防御

パスワードストレージは、コネクテッドワークプレースにおいて不可欠なものです。安全なパスワードマネージャーを使用していない企業は、多くのサイバー攻撃に対して脆弱です。このようなサイバー攻撃には、クレデンシャルスタッフィングとパスワードスプレー攻撃があります。

クレデンシャルスタッフィングとパスワードスプレー攻撃はどちらも、アイデンティティベースの攻撃として知られるサイバー攻撃のクラスに属します。その名前が示すように、これらの攻撃は、ユーザー名とパスワードの認証情報を含め、標的のアイデンティティに基づいて動作します。CrowdStrike Falcon OverWatch™脅威ハンティングチームによると、80%の侵害はアイデンティティがきっかけになっています。このことから、パスワードストレージは、堅実なサイバーセキュリティ戦略の重要な要素になっています。

クレデンシャルスタッフィングでは、サイバー犯罪者が、あるシステムから盗み出したログイン認証情報を使用してまったく別のシステムにアクセスしようとします。この戦術は、ユーザーが多数のアカウントで類似の認証情報を使用することが多いため、よく使用されます。例えば、ある個人が銀行口座、クレジットカード、ソーシャルメディアアカウントへのログインに同じパスワードを使用したいと思うことがあるかもしれません。このアプローチにより個人のログイン認証情報を覚えやすくなりますが、同時にセキュリティリスクももたらします。クレデンシャルスタッフィングを避けるためには、アカウントごとに一意のパスワードを設定することが不可欠です。

クレデンシャルスタッフィングは、近年、数百億人分のユーザー名やパスワードが盗まれたり漏洩したりすることで、より頻繁に行われるようになっています。クレデンシャルスタッフィングの使用を増進させているもう1つの要因は、テクノロジーの進歩です。クレデンシャルスタッフィングを実践するようボットをプログラミングするのはかなり簡単です。最後に、COVID-19のパンデミックを契機としたリモートワークへの移行は、サイバーベストプラクティスをしっかりと構築できていない多くの企業の不意を突きました。

パスワードスプレー攻撃は、若干異なる戦術です。パスワードスプレー攻撃では、脅威アクターは1つのパスワードで同じアプリケーション上の複数のアカウントにアクセスしようとします。脅威アクターは、デジタル領域に危害を加えようと試みる個人または組織です。脅威アクターは、アカウントのロックアウトを回避できる「スプレー」戦術を開発しました。

脅威アクターが1つのアカウントにアクセスするために多くの異なるパスワードを入力しようとすると、ロックアウトされます。しかし、多くの異なるアカウントに対して「スプレー攻撃」することでこの障害を避けられます。この形式のブルートフォース攻撃は、ログイン認証情報を発見するための試行錯誤のアプローチであり、パスワード共有が使用されている企業に対して特に成功しています。

パスワードストレージソリューションは、パスワードスプレー攻撃とクレデンシャルスタッフィングの両方からビジネスを保護するのに役立ちます。企業のすべての従業員が多数の完全に一意の認証情報を追跡するのは難しい場合がありますが、パスワードマネージャーが従業員の代わりにこの作業を行うことができます。アプリケーションは、パスワードが重複しないようにすることで、クレデンシャルスタッフィングを不可能にします。

また、パスワードマネージャーは、パスワードスプレー攻撃に対する防御にも役立つツールです。堅実なパスワードストレージソリューションは、推測を不可能にする強力で複雑なパスワードを強制することができます。ITチームは、ログイン検知を設定し、強力なロックアウトポリシーを実装することで、これらの攻撃に対して防御することもできます。

さまざまな種類のパスワードマネージャー

複数のアカウントにログインするのに従業員に必要な認証情報が1つのみであることから、パスワードマネージャーは、SSO（シングルサインオン）ソリューションの一種です。SSO（シングルサインオン） は、比類のない利便性を提供するため、個人、企業、政府で広く使用されています。ただし、すべてのSSOソリューションが安全であるとは限りません。同じことがパスワードマネージャーにも当てはまります。

市場には多数のさまざまなパスワードマネージャーがあり、それぞれ独自の機能が付属しています。あまり重要でない機能もあれば、サイバーセキュリティにとって絶対的に重要な機能もあります。適切な機能のコレクションを選択することで、企業は全員が確実に強力なパスワードを使用することを確認できます。最も優れたパスワードマネージャーは、企業に必要な機能を最適な価格で提供するものです。

暗号化または非暗号化

暗号化は、パスワードマネージャーにとって必須です。強力な暗号化が使用されていなければ、そのパスワードストレージソリューションは時間やコストをかける価値がありません。マネージャーのパスワードボールトは暗号化されている必要があります。暗号化されていないと、脅威アクターが組織のすべてのパスワードを一挙に取得することが容易になってしまうため、メリットよりも害を及ぼすことになります。

統合型とスタンドアロン型

多くのパスワードマネージャーは、プラグインツールとしてWebブラウザと完全に統合可能です。ブラウザ統合が優れているのは、Webサイトでの自動フォーム入力を提供することで、ログインを頭痛の種にする可能性のある単調な認証情報入力作業をなくす点です。しかし、ブラウザ統合はサイバーセキュリティのリスクも生み出す可能性があるため、個々の状況に応じて評価する必要があります。

ローカルとクラウド

クラウドベースのパスワードマネージャーは、どのデバイスからでも簡単にアカウントにサインインできるため、ローカルのパスワードマネージャーよりも優れていると広く認められています。ローカルのパスワードストレージソリューションは1つのデバイスでしか機能しないため、現在の職場での有用性は限られています。

ブラウザ統合と同様に、クラウドベースのツールにも独自の脆弱性があります。一般的に言えば、適切に暗号化されたローカルのパスワードマネージャーは、適切に暗号化されたクラウドのパスワードストレージソリューションより安全です。企業は、最も優れたパスワードマネージャーを選択するために、利便性とセキュリティのバランスを比較検討する必要があります。

パスワード生成

パスワード生成は、パスワードストレージソリューションにとってもう1つの有用な機能です。優れたパスワードジェネレーターは、ランダムなパスワードを生成するアルゴリズムを備えています。企業は、パスワード生成を利用して、脆弱なパスワードを排除し、強力で一意のパスワードを使用して認証情報の安全性を確保できます。

不可能に思えるかもしれませんが、ランダムなパスワード生成により、予測可能なパターンが発生する可能性があります。これは、一部のランダムパスワードジェネレーターが擬似乱数アルゴリズムを使用しているためです。一部のオンラインパスワードジェネレーターツールの使用でリスクがもたらされる可能性があります。サイバーセキュリティ専門家は、誰もが監査可能であるためより安全性の高いオープンソースのパスワードジェネレーターを使用するか、アルゴリズムが真にランダムなパスワードを生成することを確認できるパスワードマネージャーを使用することを推奨しています。

多要素認証

多要素認証 (MFA) は、金融、ヘルスケア、法執行機関などの業界では標準です。実際、ATMを利用したことのある人なら誰でもMFA（多要素認証）を利用したことがあるでしょう。カードとPINコードの組み合わせは、銀行口座にアクセスするための2つの異なる認証方法としてカウントされるからです。これは安全なパスワードストレージソリューションに必須の機能です。

パスワードストレージソリューションは、従業員が特に機密性の高い企業データにアクセスしようとするときに多要素認証を要求するようにカスタマイズできます。MFA（多要素認証）によって重要なアセットのセキュリティが保証されるわけではありませんが、脅威アクターにとっての大きな障害になります。

MFA（多要素認証）の1つである生体認証は、最高水準のサイバーセキュリティを求める組織にとってますます重要になっています。生体認証にはアイスキャンや指紋などが含まれ、回避が困難です。

ストレージオプション

パスワードストレージソリューションには、さまざまなストレージオプションもあります。大規模な組織では、データ侵害を防ぐために無制限のパスワードストレージが必要です。従業員が使用するすべての保存済みパスワードは、パスワードボールトに安全に保存されていることが重要です。複数のデバイスで無制限のパスワードを生成および使用できると、データ侵害からの保護に役立ちます。

パスワードマネージャーを使用する際の利点とリスク

パスワードマネージャーにより、セキュリティと利便性を両立させることができます。複雑なパスワードのセットを生成することにより、すべての企業アカウントが強固なパスワードセキュリティを確保できます。すべてのパスワードを1か所に保存し、ログインプロセスを自動化することで、従業員が行う必要のある作業量が最小限に抑えられます。それは理想的な妥協点のように思われます。

ただし、パスワードマネージャーには独自のリスクがないわけではありません。一部のセキュリティ専門家は、従業員がセキュリティに関心を持つ必要がないように見えることで、モラルハザードの問題を引き起こすのではないかと心配しています。実際には、企業アカウントにサインオンするすべての従業員が、重要な企業アセットの防衛に貢献するよう心掛ける必要があります。

さらに、サイバーセキュリティの専門家は、企業がサイバー攻撃の主要な標的であり、パスワードマネージャーを非常に便利なものにしている一元化が、同時にそれらを脅威アクターにとっての豪華景品にしていると指摘しています。厄介なことですが、サイバーリスクから解放されるのは、安全にパスワードを保存するためのペンと紙によるアプローチのみであると、彼らは主張しています。

リスクを伴わないパスワードマネージャーが存在しないことは確かに事実です。そのため、サイバーセキュリティの専門家は、パスワードマネージャーのマスターパスワードにMFA（多要素認証）を使用することを推奨しています。MFAは、脅威アクターがパスワードを取得しても、アカウントにアクセスできないようにするのに役立ちます。

すべてのパスワードマネージャーに限界があります。脅威アクターがログイン認証情報を発見し、物理的にデバイスにアクセスできる場合、データを長期間安全に保管できるパスワードストレージソリューションは存在しません。そのため、物理的なセキュリティは、あらゆるサイバーセキュリティ戦略において重要な要素となっています。

ブラウザベースのパスワードマネージャーについて知っておくべきこと

主要なWebブラウザは、いずれも組み込みのパスワードマネージャーを提供しています。これらのソリューションは確かに便利で、ほとんどのソリューションがユーザーの代わりに自動的にフォームに記入します。しかし、それらはまた、重要な情報のセキュリティを確保したいと考えている企業に必須の強力なセキュリティ保護を欠いています。

例えば、Google ChromeとMicrosoft Edgeが提供するパスワードストレージソリューションは、暗号化されていないパスワードをデバイスのハードドライブに保存します。これは、ハードドライブにアクセスした脅威アクターが、企業が使用するすべてのパスワードにアクセスできることを意味します。ハードドライブ自体が暗号化されていない限り、これらのツールはサイバー攻撃に対する深刻な脆弱性を生み出します。ChromeのパスワードマネージャーとEdgeのストレージソリューションは、強力なパスワードを保存することができますが、サイバー攻撃から効果的に保護することはできません。

Mozilla Firefoxが提供するものなど、一部のブラウザベースのパスワードマネージャーは暗号化を提供しています。しかし、Firefoxのマネージャーにはパスワードジェネレーターがないため、企業のパスワードは脆弱なままになる可能性があります。さらに、これはプラットフォーム間で同期されません。FirefoxがiOSデバイス上で同期しないためです。今後数年間、リモートワークがビジネス環境の不可欠な部分になる可能性が高いため、セキュリティに大きなギャップが残る可能性があります。

パスワードマネージャーの設定

パスワードマネージャーは設定が非常に簡単です。設定プロセスの最も重要な部分は、マスターパスワードです。これが企業のすべてのアカウント情報の鍵を握るため、マスターパスワードが複雑であることが絶対に重要です。複雑なパスワードは、ランダムパスワード生成ツールで取得できます。

マスターパスワードは、昔ながらの方法で紙に書き留めて保存することをお勧めします。パスワードマネージャーにログインするためのベストプラクティスとして、MFA（多要素認証）が推奨されます。場合によっては、生体認証がマスターパスワードに適切な選択であることもあります。このようにすれば、脅威アクターがマスターパスワードにアクセスした場合でも、重要な企業秘密を閲覧することはできません。

ただし、巧妙な脅威アクターがMFAを回避する方法を見つけていることに注意することが重要です。例えば、CyberArk Labsの調査によると、機密データはChromeブラウザのメモリから抽出できることがわかっています。これは、Chromeを実行しているデバイスにアクターがアクセスできる場合にのみ実行できるため、通り抜けるには物理的なセキュリティの無効化が必要です。それでも、デバイスが1つ置き忘れられたり紛失したりすると、他のデバイスにMFAが設定されていても巧妙な攻撃者はそれらのデバイスにアクセスできることになるため、その可能性があることは心配です。

次のステップは、安全なパスワードストレージソリューションのパスワードジェネレーターを使用して、すべての脆弱なパスワードを可能な限り最適なパスワードに変更することです。すべてのビジネスアカウントを堅牢な認証情報で保護する必要があります。多くの安全なパスワードストレージソリューションには、パスワードの強度を評価し、必要に応じて変更を推奨する組み込みのセキュリティエバリュエーターが用意されています。

クレデンシャルスタッフィングが普及しているため、アカウント間でパスワードを共有してはなりません。パスワードストレージソリューションは、ユーザーパスワードを確認し、重複を特定して更新できる必要があります。

多くのパスワードマネージャーは、機密性の高いログイン認証情報を保存するだけでなく、クレジットカード番号などのデータを保存するために使用できます。暗号化により、これらの重要なアセットのセキュリティが確保されます。企業はこれらの機能を利用して、情報の使用と共有を効率化することができます。

モバイルデバイスは接続されている従業員にとって不可欠な要素であるため、会社の情報にアクセスするすべてのデバイスでパスワードマネージャーを設定することが重要です。携帯電話やタブレットは複数のアカウントへのゲートウェイとして機能する可能性があるため、従業員が安全でない方法を使用して自分で認証情報を記録しないように、その操作を彼らに任せないようにする必要があります。