多くの企業は二要素認証(2FA)やシングルサインオン(SSO)を採用している一方で、従業員向けにビジネス用のパスワード管理ソリューションを提供していない場合があります。そのことは、2023年Bitwarden World Password Day調査の結果からも明らかです。職場でパスワードマネージャーの使用を義務付けられていると回答した人は、わずか23%でした。
セキュリティ担当VP兼最高情報セキュリティ責任者(CISO)のJulian Cohen氏が所属するOcrolusは、ニューヨークを拠点とする文書自動化ソフトウェアプロバイダーです。同氏によれば、より多くの企業がパスワードマネージャーの導入を検討すべきです。Ocrolusの場合、同社はBitwardenの導入を選択しました。
Cohen氏は次のように述べています。「認証情報の窃取やパスワードの使い回しがアカウント乗っ取りに悪用され、組織に対する最も一般的な攻撃の一つに急速になりつつある中、当社ではアカウントセキュリティの包括的な計画を策定しました。当然ながら、その中には2FA、SSO、漏えいした認証情報の監視などが含まれます。しかし、ユーザーのメインのSSOアカウントや、SSOや2FAに対応していないシステム、その他のシャドーITシステム、あるいは単発のアカウントでは、最も効果的な制御策はパスワードマネージャーです。」
Cohen氏は従業員に、各アカウントで一意でランダムなパスワードを使用するよう勧めています。そのための最も簡単な方法は、パスワードマネージャーで生成されたものを利用することだと同氏は考えています。パスワードマネージャーはパスワードの保存も行うため、パスワードを安全に保つための「低摩擦」で効果的なテクノロジーだと同氏は見ています。
この考えは、World Password Day調査の他の結果からも裏付けられます。世界の回答者の大多数である85%が複数のサイトでパスワードを使い回しており、58%がパスワードを記憶に頼っています。世界の回答者の5人に1人(20%)は、過去18か月以内にデータ侵害の影響を受けたと回答しています。データ侵害に巻き込まれること自体は防げない場合もありますが、パスワードを使い回している人には連鎖的な影響が及びがちです。
新しいツール、特にセキュリティツールを人々に採用してもらうことは、企業の保護と安全性の維持に役立ちます。一方で、IT部門とユーザーには追加の手順も必要になります。OcrolusはBitwarden SCIM(クロスドメインID管理システム)を利用して、メンバーとグループを自動的にプロビジョニングしました。また、Bitwardenの使い方に関するトレーニングとドキュメントをユーザーに提供し、その有効性についても説明しています。
「OcrolusのTechOpsチームから多くのサポートを受けています」とCohen氏は述べています。「彼らはBitwardenの技術サポートを提供し、自分たちでも利用しており、新しいアカウントのプロビジョニングや共有認証情報の保存にも使用しています。」
Ocrolusがどのように成功するセキュリティプログラム(現在はBitwardenも含む)を構築してきたかを考えると、同社は、何がどこにあるかについての優れた棚卸しと状況把握、組織内で最もリスクの高い部分の理解、そして優先順位付けへの注力によって恩恵を受けてきたとCohen氏は考えています。
「何かを保護しようとして過剰に設計したり、あらゆる種類のツールを導入しようとしたりすることはいくらでもできます」とCohen氏は述べています。「私が常に行うのは、まず敵対者から考えることです。敵対者が誰なのか、どのように計画し行動するのか、目的や動機は何か、どのようなリソースと制約があるのかを理解できれば、敵対者に何が見えている可能性があるのか、そして彼らがどのように計画し行動するのかを理解できるようになります。」
そうすることで、企業は発生する可能性の高い攻撃のタイプをよりよく理解でき、その情報を使って導入すべき最適なセキュリティツールを判断できるとCohen氏は考えています。多くの場合、そのツールセットにはパスワード管理ソリューションが含まれる可能性があります。
年次開催のOpen Source Security Summitについて詳しくご覧ください。
インタビュー全編を見る
この年次カンファレンスの詳細はopensourcesecuritysummit.comをご覧ください。
Bitwardenを始める
ビジネスでBitwardenを試してみませんか?7日間のビジネストライアルを今すぐ開始して、チームや社内の同僚をオンラインで保護しましょう。