Enterprises persist with outdated authentication strategies
2023/09/15 HelpNetSecurity — Enzoic の最新調査によると、認証はサイバー・セキュリティの要であるにもかかわらず、依然として時代遅れのリスク軽減戦略に依存していることが判明した。攻撃対象が拡大し続け、ますます巧妙化するサイバー脅威に対して、エンタープライズが苦慮しているのは、セキュアでユーザー・フレンドリーな認証の実現である。調査では、最新の戦略が登場している一方で、今回の調査で明らかになったのは、大半の企業が、依然として従来のアプローチに頼っていることである。
Verizon 2023 Data Breach Investigations Report によると、多くの企業はパスワード管理のベスト・プラクティスを遵守していない。情報漏えいの 50% 以上が、認証情報の流出により引き起こされ、エンタープライズは危険にさらされている。
Enzoic の CEO である Michael Greene は、「認証戦略は、サイバー犯罪者に狙われている。この領域における脆弱性は認識されているが、脅威ベクターになり得る古い認証メカニズムを、企業は排除できないでいる。必要とされるのは、ユーザーに疲労を与えることのない、現代的で堅牢なパスワード・ポリシーを採用することだ」と述べている。
パスワードレスの現実
パスワードレス戦略を採用している企業は、わずか 12% に過ぎない。その一方で、68% はユーザー名とパスワードを認証に利用し、46% は今後の3年間でパスワードを廃止しようとしているが、19% は計画すら持っていない。つまり、これだけの問題が公知となっていても、依然としてパスワードが重要な認証メカニズムなのである。
デジタル資産に対する、最適な保護が必要とされている。したがって、パスワードを主要な認証方法として使用している組織は、より近代的なパスワード・ポリシーを反映させるために、プラクティスの更新を優先しなければならない。MFA は、それを補うものではあるが、強力なパスワード対策に取って代わるものではない。ダークウェブを注意深く監視し、使用中であり暴露されている認証情報を排除することで、攻撃者からの一般的なエントリー・ポイントを効果的に防御できる。
ダークウェブのジレンマ
84% が脆弱で漏洩したパスワードを懸念している。しかし、その多くは、自分たちが直面しているリスクについて、まだ現実を知っていない。46%は、使用パスワードの約 20% ダークウェブで暴露されていると考え、26% は、パスワードがダークウェブ上に存在することに確信が持てずにいる。また、56%は、ユーザビリティや互換性などの、MFA に関する問題に遭遇したことがあるという。
サイバー攻撃が対策に拍車をかける
認証関連のサイバー攻撃を受けた企業は、それをきっかけにして、防御を強化することが多い。
攻撃後の傾向”
- 38% が定期的なセキュリティ監査と脆弱性評価を実施
- 28% が MFA を導入
- 30% がパスワード・ポリシーを強化
- 26% がユーザー教育を実施
- 10% は攻撃発生後に何の変更も行っていない!
パスワードのベスト・プラクティスに関する知識のギャップ
2017年に NIST は、パスワードのベスト・プラクティス・ガイダンスを発表している。しかし、54% の組織は、過去12ヶ月の間に、このフレームワークについて学んだばかりであり、33% の組織は、その存在を知らないという状況である。つまり、74% の企業が、いまだに定期的なパスワードのリセットや、時代遅れの文字ルールに頼っていることの反映である。
この知識ギャップの直接的な結果として、パスワード戦略は時代遅れの状態を引きずり、サイバー攻撃の可能性を高めている。
Michael Greene は、「企業は、パスワードレスの誇大広告を乗り越えるべきである。そして、クレデンシャル・セキュリティを強化するために、直ちに行動を起こす必要がある」と述べている。
パスワードレスというと、なにか分かりにくいところがありますが、パスワードだけに頼らずに、もう一捻りしたものへ移行するものだと、捉えればよいのだろうと思います。視覚的に、上手く説明するものとしては、Microsoft の「パスワードレス認証」というコンテンツが簡明です。よろければ、カテゴリ AuthN AuthnZ も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.