Bitwardenブログ
2022年版パスワードに関わる意思決定についての調査
パスワードマネージャーの利用が主流化した現在。それにも関わらず、IT業務の意思決定者400人以上が回答した最新の年間調査の結果からは、全体的なパスワードの取り扱いにおけるセキュリティの脆さが明らかになりました。第2回となる今回の調査では、回答者の86%がパスワードマネージャーを使用していると答えました。使用率は前年より9%上昇し、パスワードマネージャーが組織における事実上の標準となりつつあることがわかります。それにも関わらず、IT業務のデシジョンメーカーたちは、パスワード管理にコンピュータ内の文書(53%)や手書きのメモ(29%)等の安全性の低い方法を使い続けています。2022年版のパスワードに関する意思決定調査の全文では、証明情報の管理に企業が基準を設けることでどのようなメリットがあるか、理論と実践の両面から解説しています。
.png?eu=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&a=w%3D213%26h%3D120%26fm%3Dpng%26q%3D75&cd=2022-12-28T00%3A35%3A22.329Z)
Bitwardenは調査会社のプロペラインサイト社に依頼し、様々な業界において、企業が購入の意思決定を行う際に重要な役目を担うIT業務の意思決定者の方々にアンケートを取りました。調査結果からは4つの大きなテーマが明らかになりました。:
パスワードマネージャーや2要素認証が主流になった一方で、パスワードにまつわる行動実態(英語記事) は、全体として脆弱性を抱えたままである。
回答者のほとんどが、組織内の社員が同一のパスワードマネージャーを利用するよう雇用主に求めるべきだと考えている。
この一年で様々なサイバー攻撃の報道がされたことに加え、リモートワークの普及によるセキュリティの脆弱化が指摘されてきたにも関わらず、ほとんどの回答者が複数のウェブサイトでパスワードの使い回しを行っている。
リモートワークにより、サイバーセキュリティ(英語記事)に関わる行動実態への懸念が高まり、対策が求められている。

ほとんどの雇用主が企業全体でのパスワードマネージャー利用を求めており、その割合は昨年より3%増加しました。それにも関わらず、人々が独立型のパスワードマネージャーを使わないのは何故でしょうか。回答者からは、費用(50%)や時間的な制約(46%)という要因が挙げられました。これらの課題に対する不安感を減らすには、手ごろでコスト効率の良いパスワードマネージャーを、ITチームによるサポート体制のもとで企業全体が足並みを揃えて導入すれば良いのです。
「多くの人が、重要情報をEメールで共有するのはよくないと知りながら、日々のITタスクにおいてこのような行動を続けています。現場が求めるのは、重要情報をエンドツーエンドで簡単に暗号化し、Eメールで送る方法です。まさに、Bitwarden Sendの出番です。企業のトップ陣が先導して適切なツールを導入することで、組織内のコミュニケーションが合理化され、証明情報が安全に保たれます。その結果、事業が安全かつよりスピーディーに進展するのです。」 - マイケル・クランデル、Bitwarden CEO
昨年に引き続き、企業のパスワードを同僚と共有する際にEメール(53%)やチャット(41%)、口頭での会話(31%)といった安全でない方法を使う回答者があまりにも多いことが判明しました。昨年は39%だった「Eメールでパスワード共有を行っている」意思決定者の割合は、53%と飛躍的に増加しています。急激なリモートワークへのシフトと、離職率の上昇が一因と考えられます。
コロニアル・パイプライン(Colonial Pipeline)やソーラー・ウィンズ(Solar Winds)の事例をはじめとした多くのサイバー攻撃が注目を集めたにも関わらず、IT業界における意思決定者の過半数(54%)が自身の組織も侵害を受けた経験があると回答しました。組織の25%がランサムウェア対策を講じておらず(あるいは、講じているかわからないと回答)、これは過去数年におけるランサムウェア被害の実態を考えればショッキングな割合の高さです。
リモートワークによってオンラインの脆弱性が高まっている今年も、回答者のほぼ全員(92%)が複数のウェブサイトでパスワードの使い回しを続けています。
注意:使い回されるパスワードは脆弱、
使い回されないパスワードは強力です。
人々を苦しませ続けるフィッシング詐欺(英語記事)は、社会の継続的なハイテク化に伴い巧妙さを増しています。最も多い手口は、金融機関(35%)や行政機関(22%)を装ったEメールです。また、今年はヘルスケア関連組織を名乗る人物からのフィッシングメール(英語記事)