2022年版パスワードに関わる意思決定についての調査
パスワードマネージャーの利用が主流化した現在。それにも関わらず、IT業務の意思決定者400人以上が回答した最新の年間調査の結果からは、全体的なパスワードの取り扱いにおけるセキュリティの脆さが明らかになりました。第2回となる今回の調査では、回答者の86%がパスワードマネージャーを使用していると答えました。使用率は前年より9%上昇し、パスワードマネージャーが組織における事実上の標準となりつつあることがわかります。それ にも関わらず、IT業務のデシジョンメーカーたちは、パスワード管理にコンピュータ内の文書(53%)や手書きのメモ(29%)等の安全性の低い方法を使い続けています。2022年版のパスワードに関する意思決定調査の全文では、証明情報の管理に企業が基準を設けることでどのようなメリットがあるか、理論と実践の両面から解説しています。
.png?eu=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&a=w%3D213%26h%3D120%26fm%3Dpng%26q%3D75&cd=2022-12-28T00%3A35%3A22.329Z)
Bitwardenは調査会社のプロペラインサイト社に依頼し、様々な業界において、企業が購入の意思決定を行う際に重要な役目を担うIT業務の意思決定者の方々にアンケートを取りました。調査結果からは4つの大きなテーマが明らかになりました。:
パスワードマネージャーや2要素認証が主流になった一方で、パスワードにまつわる行動実態(英語記事) は、全体として脆弱性を抱えたままである。
回答者のほとんどが、組織内の社員が同一のパスワードマネージャーを利用するよう雇用主に求めるべきだと考えている。
この一年で様々なサイバー攻撃の報道がされたことに加え、リモートワークの普及によるセキュリティの脆弱化が指摘されてきたにも関わらず、ほとんどの回答者が複数のウェブサイトでパスワードの使い回しを行っている。
リモートワークにより、サイバーセキュリティ(英語記事)に関わる行動実態への懸念が高まり、対策が求められている。

ほとんどの雇用主が企業全体でのパスワードマネージャー利用を求めており、その割合は昨年より3%増加しました。それにも関わらず、人々が独立型のパスワードマネージャーを使わないのは何故でしょうか。回答者からは、費用(50%)や時間的な制約(46%)という要因が挙げられました。これらの課題に対する不安感を減らすには、手ごろでコスト効率の良いパスワードマネージャーを、ITチームによるサポート体制のもとで企業全体が足並みを揃えて導入すれば良いのです。
「多くの人が、重要情報をEメールで共有するのはよくないと知りながら、日々のITタスクにおいてこのような行動を続けています。現場が求めるのは、重要情報をエンドツーエンドで簡単に暗号化し、Eメールで送る方法です。まさに、Bitwarden Sendの出番です。企業のトップ陣が先導して適切なツールを導入することで、組織内のコミュニケーションが合理化され、証明情報が安全に保たれます。その結果、事業が安全かつよりスピーディーに進展するのです。」 - マイケル・クランデル、Bitwarden CEO
昨年に引き続き、企業のパスワードを同僚 と共有する際にEメール(53%)やチャット(41%)、口頭での会話(31%)といった安全でない方法を使う回答者があまりにも多いことが判明しました。昨年は39%だった「Eメールでパスワード共有を行っている」意思決定者の割合は、53%と飛躍的に増加しています。急激なリモートワークへのシフトと、離職率の上昇が一因と考えられます。
コロニアル・パイプライン(Colonial Pipeline)やソーラー・ウィンズ(Solar Winds)の事例をはじめとした多くのサイバー攻撃が注目を集めたにも関わらず、IT業界における意思決定者の過半数(54%)が自身の組織も侵害を受けた経験があると回答しました。組織の25%がランサムウェア対策を講じておらず(あるいは、講じているかわからないと回答)、これは過去数年におけるランサムウェア被害の実態を考えればショッキングな割合の高さです。
リモートワークによってオンラインの脆弱性が高まっている今年も、回答者のほぼ全員(92%)が複数のウェブサイトでパスワードの使い回しを続けています。
注意:使い回されるパスワードは脆弱、
使い回されないパスワードは強力です。
人々を苦しませ続けるフィッシング詐欺(英語記事)は、社会の継続的なハイテク化に伴い巧妙さを増しています。最も多い手口は、金融機関(35%)や行政機関(22%)を装ったEメールです。また、今年はヘルスケア関連組織を名乗る人物からのフィッシングメール(英語記事)の割合が11%に上り、上位に加わりました。
%20copy.png?eu=d88d56b7e5c8fb865e3da5d76b7b676fe86e5efdaf5963d53b61e2ae4ea1ca802df64f06259772b82d6a0c8ad1e242ee67c37b664cbfd28cc4be4cf0bc61af5952d058bd66e67600552ec2feb8a00e416bc61e5ca487cd08f56f7a86edbabd285d145c68a265a7d8b1f86231f39d7c76bce7e56d3086e866be471a4bcc5a2faf22e191883b43a9c9af1ded91a6c141a4d6ad73662785f73d5471086c50962ba4f6e655206b28445964c9a75fc268c5be6a49652b5b5a04f0333a8454fa6f33c1fbf9a15fdb151bb0eb8a762fc497c1f4b849f5692fb89164c6e17e384858e57cb0d31b92a0187f7dee45fbfa23e15c457c5ec242de&a=w%3D213%26h%3D120%26fm%3Dpng%26q%3D75&cd=2021-11-30T01%3A47%3A33.844Z)
回答者の61%が、今年サイバーセキュリティに関してより大きな不安を感じており、その理由を「リモート環境では、社員がセキュリティ対策全般に対して緩くなる可能性がある」としています。また、いわゆる大量退職時代(The Great Resignation)の影響は、IT業務の意思決定者を取り巻く世界にも及んでいます。昨年より労働時間が延びたという回答が大部分(48%)を占め、58%が離職や新規採用不足を指摘しています。
2要素認証は、場面を選ばず役に立ちます。回答者の88%が使用していることからも、2要素認証が職場における主流であることがわかります。しかし、職場と自宅とでは人々のセキュリティ行動に大きな隔たりがあります。最近のTwitterの透明性に関するレポート(英語記事)によると、アカウントの2要素認証を有効化しているユーザーは2.3%でした。また、Googleではユーザーの安全をより強固に守るため、2要素認証の利用基準を拡大(英語記事)しました。
ビジネスにおける2要素認証の拡大が後押ししても、依然として個々の社員がこれを受け入れようとしない状況について、回答者からは「ワークフローに遅れが出る」(45%)、あるいは「導入に時間がかかる」(44%)といったネガティブなイメージが最大の壁とだという強い意見が集まりました。ユーザーが抱くこれらの懸念を払拭するため、Bitwardenではすべての有料プランにBitwarden認証システムを使用した2段階ログイン機能を組み込みました。

詳しい調査結果は、2022年版パスワードに関わる意思決定についての調査をダウンロード(英語)してご確認ください。