企業にパスワードマネージャーが必要な理由

この記事の主なポイント：

• 認証情報の拡散という現実：企業はユーザーが安全に記憶できる数をはるかに超える認証情報を管理しており、使い回しやシャドーITのリスクが高まっています。

• 一元化されたセキュリティ管理：パスワードマネージャーは、暗号化された保管、ポリシー適用、チーム全体に拡張できる可視性を提供します。

• 安全なコラボレーション：役割に基づく共有とコレクションにより、チームはパスワードをメールで送ったりスプレッドシートを使ったりせずにアクセスを共有できます。

• 侵害リスクの低減：強力で一意のパスワードと監査ツールにより、1つの侵害された認証情報が複数のシステムへ連鎖的に被害を広げる可能性を下げます。

• より広範なセキュリティの基盤：パスワード管理は、SSO、IAM、MFAなどの他の投資がカバーしきれないギャップを保護することで、それらの効果を高めます。

優れたサイバーセキュリティの担い手には、仕事に適したツールが必要です。包括的なセキュリティスタックを構築するには、パスワード管理が成功に不可欠です。その理由を5つご紹介します。

• データ侵害の平均コストは924万ドルであり、多くの場合、盗まれた認証情報や侵害された認証情報が原因です。

• ユーザー名とパスワードを含むデータレコードは、新たな侵害の根本原因となることが多く、2021年にはそのようなレコードが20億件侵害され、2020年から35%増加しました。

• 侵害された全レコードの半数以上は、不正アクセスの結果でした。攻撃者は、弱いパスワード、共有されたパスワード、または過去に流出済みのパスワードを使って組織に侵入していました。（出典：ForgeRock ID侵害レポート）

• ハッキングに関連する侵害の81%は、盗まれたパスワードまたは弱いパスワードによって成功しました（出典：Verizon侵害レポート）

• Ticketmasterの従業員が、以前の雇用主から盗まれたログイン認証情報を使って競合他社のアカウントに不正侵入しました

• DailyQuizでは、攻撃者が平文で保存されていたパスワードを含む830万人分のユーザーのアカウント情報を盗み、ダークウェブで販売する侵害が発生しました

• 弱いパスワードにより、サイバーセキュリティ企業SolarWindsへの侵入が可能になり、複数の米国政府機関がハッキングされる結果につながった可能性があります

• 少なくとも一部は盗まれたパスワードが原因とされるMicrosoft Exchangeメールサーバーへの攻撃により、米国全土の企業や政府機関が影響を受けました

• 攻撃者は侵害されたパスワードを使ってGoDaddyのサーバーにアクセスし、120万人のWordPressユーザーのメールアドレスと顧客情報が流出しました。

• パンデミック中に企業がオンライン化する中で、Zoomはサイバー犯罪者の標的となりました。攻撃者は盗まれたログイン認証情報を大量に集め、地下フォーラムで販売しようとしていました。

• 最近の調査では、さまざまな業界の独立したIT意思決定者400人を対象にBitwardenが調べたところ、回答者の92%が少なくとも1〜5個のサイトでパスワードを使い回していることが分かりました。

• 平均的な人は、業務システム、Webサイト、スマートフォンアプリにアクセスするために、パスワードで保護されたプロフィールを何十個も作成しています。

• 従業員がストレスやパスワード疲れを最小限に抑えるために、業務用アカウントと個人用アカウントでパスワードを使い回したり、同僚とパスワードを共有したりといった近道を選ぶのは自然なことです。

• パスワードマネージャーは、組織全体のセキュリティ文化を高める優れた方法です。導入が簡単なだけでなく、誰でも利用しやすく、使いやすいツールです。その結果、従業員がオンラインでの行動習慣をより意識できるようになります

「SSOがあるのに、なぜパスワードマネージャーが必要なのですか？」

• シングルサインオン（SSO）は、重要なアプリケーション、サービス、ツールへのアクセス制御を一元化する方法として企業に広く使われていますが、従業員の認証情報やアカウントを保護するには、SSOだけで十分とは限りません。

• すべてのSaaSアプリケーションがSSOに対応しているわけではないため、組織は依然として個別のログインを通じてアクセス制御を管理する必要があります。

• パスワードマネージャーを使えば、チームや部門をまたいで安全に共有できます。

• すべての認証情報を確実に保護する唯一の方法は、SSOとパスワードマネージャーを併用することです。

「ファイアウォールがあるのに、なぜパスワードマネージャーが必要なのですか？」

• ファイアウォールはネットワークセキュリティに不可欠で、多くの場合、組織のネットワーク境界に設置されて外部の脅威を防いだり、ネットワーク内部に配置されて内部の脅威から保護したりします。

• ファイアウォールは、組織のネットワークに出入りするインターネットトラフィックを検査し、悪意のある通信を検出します。

• データ侵害のかなりの割合がパスワードや認証情報の安全性に関する問題を伴うため、パスワード管理はおそらく最も重要なネットワークセキュリティ対策です。

• ファイアウォールは、システムに出入りするデータをフィルタリングすることでマルウェアをブロックします。

• 一方、パスワードマネージャーは境界だけでなく、アーキテクチャのあらゆるレベルに統合できます。

「メールセキュリティがあるのに、なぜパスワードマネージャーが必要なのですか？」

• 攻撃者がフィッシングやランサムウェアを仕掛ける際、メールは最もよく使われる手段の一つです。

• メールセキュリティソリューションには、URL分析、送信元の検証と認証、不正対策、メール添付ファイルのマルウェア検出など、攻撃を防ぐための複数の技術が含まれます。

• サイバー犯罪者がログイン認証情報にアクセスできる場合、メールセキュリティでは組織のアカウントやアプリケーションへの不正アクセスを防ぐことはできません。

• 犯罪者が鍵を持っていれば、ロックされたドアも意味がありません。

• パスワードマネージャーは、これらの「鍵」（ログイン認証情報）をエンドツーエンド暗号化で保存し、保護します。

• パスワードマネージャーは、既知で確認済みのURLを保持することで、追加のフィッシング対策を提供します。訪問したサイトがパスワードマネージャー内に保存されているかどうかを、ブラウザバーのアイコンで確認できます。従業員が誤って悪意のあるサイトにアクセスした場合、既知のログインアイコンは表示されません。

• 適切なツールを使わずにパスワードを広く使用すると、弱いパスワードの選択、パスワードの使い回し、認証情報の安全でない共有につながります。

• 組織内で必要となる一元化された共有リソースは、パスワードマネージャーで解決できます。

• 適切なパスワード管理を活用することで、サイバー攻撃を最小限に抑えたり、防いだりできます。

• たとえば、フィッシング攻撃はパスワードマネージャーで防ぐことができます。フィッシング詐欺は従業員をだまして悪意のあるリンクをクリックさせるかもしれませんが、パスワードマネージャーをだますことはできません。

• 従業員が機密情報をエンドツーエンドで暗号化された保管庫で保護する唯一の方法は、パスワードマネージャーを使うことです。

• パスワードマネージャーを使えば、従業員はすべての仕事用（および個人用）アカウントに対して固有のパスワードを簡単に生成し、保存できます。

• パスワードマネージャーを使うと、ITセキュリティチームは侵害される可能性のある弱いパスワードや使い回されたパスワードがあるかどうかを確認できます。

• パスワード管理を含むサイバーセキュリティ戦略により、データ窃盗、ランサムウェア攻撃、その他のサイバー脅威による、組織の財務面や評判への大きな影響リスクを最小限に抑えることができます。

パスワードマネージャー市場の概況

• 世界的に、パスワード管理は13億8,000万ドル規模のビジネスであり、絶えず進化・拡大するサイバーセキュリティリスク環境を背景に、今後10年間で58億6,000万ドルに達すると予想されています。

• 世界全体で、この市場は2016年から2020年にかけて年平均成長率（CAGR）11.8%を記録し、パンデミック中のロックダウンによるリモートワークや個人のオンライン活動の増加がその成長を後押ししました。

• ハイブリッドワークモデルの継続、業界を問わないウェブサイトログインへの世界的な依存、モバイルアプリやソフトウェア・アズ・ア・サービス（SaaS）プラットフォームの成長継続により、市場は2031年までにCAGR 14.2%が見込まれています。