MFA と中小企業の調査:採用 46% 不採用 54% というレベルまで来たが・・・

54% of SMBs do not implement MFA

2022/07/08 HelpNetSecurity — Cyber Readiness Institute (CRI) が発表した Global Small Business Multi-Factor Authentication (MFA) Study によると、世界中の中小企業における多くの経営者たちは、従業員/顧客/パートナーの重要なデータを保護するために、いまだにユーザ名/パスワードのみに頼っていることが明らかになった。

MFA は引き続き広く推奨されている

MFA を導入しているサービスでは、ユーザーがビジネス・アカウント (会社の電子メール/給与計算/人事 システムなど) にログインする際に、必ず複数の証拠を提示するよう求めている。

MFA は数十年前から使用されており、サイバー・セキュリティの専門家からも広く推奨されているが、今回の調査の対象となった中小企業の、55% は MFA のセキュリティ上の利点について「あまり認識していない」、54% は業務に MFA を利用していないとのことだ。MFA を導入していない企業のうち 47% は、MFA の価値を理解していないと指摘されている。また、中小企業のオーナーの 60% 近くが、MFA について従業員と話し合っていないこも判明した。

CRI の Managing Director である Karen S. Evans は、「ほぼ全てのアカウント侵害攻撃は、MFAを使用するだけで完全に阻止できることが分かっている。MFA は、悪意の脅威アクターを阻止する効果的な方法として実証されている。すべての政府組織/非営利団体/産業界が、MFAの価値を中小企業の経営者に伝えるために、もっともっと努力する必要がある。何らかの形で MFA を導入している企業の多くは、試行錯誤の状態にある。また、MFA を導入している企業のうち、重要なハードウェア/ソフトウェア/データを優先的に取り扱うプロセスを持つ企業は 39% に過ぎず、49%は単にMFA が利用可能な場合には利用を勧めるという企業は 46% を占めている」と述べている。

Mastercard の Chief Security Officer である Ron Green は、「会社の規模や利用できるリソースに関係なく、すべての経営者が活用できる簡単な手順とベストプラクティスがある。たとえば、MFA を導入することで、サイバー脅威からビジネス/従業員/顧客を守ることが可能になる」と述べている。

MFA の導入には、企業のコンピュータやモバイル・デバイスといったハードウェアを変更する必要はない。その一方で、ユーザーがダウンロードすることで、社内や個人用デバイスで使用できる、無料または低コストのソフトウェア・ベースのツールが多数ある。たとえば、すべての主要な電子メール・プロバイダーは、MFA を提供し、それを奨励している。したがって、メール・プロバイダーが提供するオプションをクリックするだけで、簡単に MFA を ON にできる。

Principal Financial Group の VP Chief Information Security である Meg Anderson は、「強力なパスワードを使用することも重要だが、複雑なだけでは十分ではない。MFA を活用すれば、もしサイバー犯罪者がパスワードが漏れても、企業データへの不正アクセスや盗用が難しくなる」と述べている。

Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は、「 米国のサイバー防衛機関として、サイバー・セキュリティの基準値を上げることが、国家安全保障上の必須事項であることを認識している。サイバー・セキュリティのエコシステム全体を保護するためには、中小企業が安全であることが必要であり、中小企業にとっては MFA を実施するためのツール/知識/推進力が必要だということだ。CISA では、あらゆる規模の組織に対して、そして、それぞれの国民に対して、More Than A Password の使用と MFA の有効化を奨励することを使命としている。本日の調査は、やるべきことが残っていることを指摘しているが、それと同時に、中小企業が必要とするオンライン上での自社/顧客の安全の確保が進み、協力し合うべきコミュニティが拡大していることも示している」と述べている。

MFA を導入する

企業が MFA を導入するには、いくつかの簡単な手順が存在する。まず、組織内で MFA 導入の責任者を決め、進捗状況やギャップについて、上級管理職に頻繁に報告する必要がある。次に、MFA を使用する従業員に期待することを、具体的に説明するポリシーと手順を更新する必要がある。

続いて、従業員向けの説明会とトレーニングを実施し、MFA のポリシーと期待事項を伝え、このプロセスが簡単であることを説明する。最後に、組織内でサイバー対策に責任を持つ人々を指名し、従業員が MFA を使い始める際のトラブルシューティングを支援するようにする。

今回の調査で明らかになった数値

MFA を利用している中小企業のうち、46% のみが、ユーザー名/パスワードを超える重要性について従業員に情報を提供しているが、20% は MFA 使用について従業員を教育していない。MFA を使用している中小企業は、ツール/導入リソース/メンテナンスコストを、導入時のにおける Top-3 の課題として挙げている。MFA を提供している企業の 57% が、プッシュ通知 (電話/メール) または、ワンタイム・パスワードのを使用している。中小企業が、MFA で保護するソフトウェア・アプリケーション Top-3 は、データベース (45%)/会計 (44%)/人材 (40%) となっている。

これでけ、MFA の利点が明らかになっても、依然として移行しないという多くの組織が存在するようです。とはいえ、採用 46%/不採用 54% というレベルまで達したことは、喜ぶべきことなのでしょう。この記事の元データとなっている、Cyber Readiness Institute のレポートである、 Global Small Business MFA Study はメアドなどを要求せずにダウンロードでできますので、ぜひ、ご参照ください。

%d bloggers like this: