2022 年 12 月 06 日 Sam Manjarres 著

パスワードは、各種プラットフォームやシステム上で最も普及している認証方法です。しかしときに企業やユーザはパスワードを強力にせず、サイバー犯罪の専門家から見たらシンプル過ぎる脆弱なパスワードを使用しています。このようなセキュリティに関する警告は随所で行われているにもかかわらず、2022 年に最もハッキングされたパスワードのリストの上位には、次のようなパスワードが並んでいます。

password
123456
123456789
guest
qwerty
12345678

1 番目のパスワードは、約 500 万件のアカウントで使用されている上、上記 6 つのうち「guest」（クラッキングに 10 秒かかる）を除いて、すべて 1 秒未満で侵害することができます。このような事態が起こるのは、まさか自分がサイバー犯罪者に狙われるはずはないと思い込んでいるユーザが非常に多く、自身の認証情報が、組織やデータを危険にさらす可能性があると認識していないためです。

優先事項としての ID と認証情報の保護

MFA の導入率は上がっているものの、ID と認証情報の保護に懸念を抱く企業は多く存在します。結果、各社が保護のためにさまざまな戦略を採用しようとしています。どの企業も、パスワードを使用したセキュリティに問題があるという認識を持っています。これは、43% の経営幹部が「安全な認証方法が組織にとって重要」と回答した Pulse の調査でも裏付けられています。そのような企業を見ると、回答者の半数以上が、最低限の複雑さの要件を満たすこと（79%）、シングルサインオン（SSO）（66%）、定期的なパスワードのリセット（65%）、スタッフのセキュリティトレーニング（59%）といったパスワードに関するセキュリティ対策で、データ保護を確実なものにしています。

回答者の 59% の間で、従来と同様のパスワード認証が使用されています。一方で、システムやアプリケーションへのアクセス方法として、他の認証方法も採用されています。最もよく使われているのは MFA/2FA（87%）ですが、多くの企業は従来の SMS（37%）を認証方法として使っています。SMS を使用すると認証の難易度は上がるものの、これは SIM スワップによって簡単に回避できる重大な脆弱性があるため、推奨されません。

多要素認証（MFA）を採用する利点は、組織の間でも十分に認識されています。83% の組織が「すでに MFA を実施している」と述べています。これから MFA を適用する必要があると答えた IT 管理者も、その 71% が「今後 3 カ月以内に適用する予定」と回答しています。逆にこの技術を使用していない理由を尋ねたところ、65% が「リソース不足が原因」と回答しています。

MFA: ゼロトラストを実現するセキュアな認証ソリューション

MFA のメリットが広く認められていることから、組織はプロアクティブな手法として MFA の活用に真剣に取り組んでいます。調査対象となった IT 管理者の 55% は、セキュリティ侵害が 20% 減少した、と報告しています。

Security Boulevard によれば、単純なハッキングによる認証情報の盗難は、依然として組織のセキュリティ侵害として最も容易で直接的な方法の 1 つです。アカウントの保護パスワードが脆弱なユーザは非常に多く、セキュリティの脆弱性として一番多く利用されています。さらに、2019 年には、ランサムウェア感染の 30% が脆弱なパスワードによって引き起こされており、2022 年においてもこれは企業環境における重要な問題です。

ゼロトラストセキュリティアーキテクチャを採用する場合、その目標は、データを保護し、特定の承認された ID にのみアクセスを許可することです。つまり戦略の中心に据えられる必要があるのは、ID とデータです。そのため、MFA が主に採用されているのは、クラウド上のアプリケーション（70%）、デバイス上のアプリケーション（66%）、またはファイアウォールやルータなどのネットワークデバイスへのログインです。

ウォッチガードの AuthPoint のようなソリューションは、企業のネットワーク全体、および VPN 接続やクラウドアプリケーションに対して堅牢で一貫性のある保護を提供します。このアプリケーションにより、従業員はシングルサインオン（SSO）で複数のアプリケーションやシステムにアクセス可能で、脆弱なパスワードの使用によるセキュリティ脆弱性のリスクも軽減されます。WatchGuard Cloud プラットフォーム上でも動作するため、どこからでも利用できるので、ソフトウェアのインストールやアップデートのスケジューリングやパッチの管理も必要ありません。これは、スタッフや専門担当者が限られている IT チームにとって特に有益です。これにより、豊富なリソースを持たない企業であっても ID の保護を行うことができます。