パスワードによる板挟み:パスワードがITヘルプデスク管理者のジレンマに

June 10, 2021 Stas Neyman

IT Help Desk Password Support

サタデーナイトライブの往年のファンであれば、2000年代の初めにジミー・ファロンが演じた人気キャラクター、ニック・バーンズ(貴社のコンピュータ担当者」)を覚えているに違いありません。

いくつものポケベルを腰にぶら下げたたニックが、トラブル解決に駆けつけて、コンピュータにまつわるジョークを飛ばしながら、些細な問題を解決できない社員を皮肉り、「モォー」というお決まりの一言を発して、社員のトラブルに割って入り、あっという間に問題を解決して、「これって難しいこと?」という決め台詞で笑いを誘いました。

ニックの仕事は、今日のITヘルプデスク管理者のビジネスクリティカルな任務とはかけ離れているものの、サポートの要求に奔走する姿に共感するITヘルプデスク管理者は多いはずです。また、どんなに冷静な性格であっても、同じ問題が何回も繰り返し起これば、苛立ちを隠せないはずです。ほとんどの場合、パスワードが今日の問題の発端といえます。

「一度には無理、僕の頭は外付けハードにつながれていないからね!」


Outlook 6.0や32ビットプロセッサ搭載LC-475 Macの時代はとうに過ぎ去りましたが、パスワードは20年経った今でもユーザー認証に利用され続けています。

デジタルイノベーションが加速する中、多くの企業が目まぐるしいスピードで新しい技術を採用しています。新たなアプリケーションやツールを導入すると、それぞれに固有のパスワード管理が必要となり、また複雑さやローテションの頻度が増すため、新しいIDのサイロ化が助長されます。

ユーザー側は新しいシステムに対する認証が繰り返し求められ、また多くの複雑な個別のパスワードを覚えて使用することに課題が生じています。これにより、ヘルプデスク担当者の頭痛の種が増します。ユーザーのプロビジョニングだけでなく、何百、何千もの企業アカウントを担当して、常時パスワードのリセット要求に対応し、アカウントをロックアウトする必要があります。

このようなパスワード問題を、いくつかの業界の推定値と簡単な式で数値化できます。

  • パスワードのリセットに要するヘルプデスクの「全体」コストは、40~50米ドルです。ここでは平均値45米ドルをあてはめます。
  • コロナ禍による在宅勤務が普及する以前、各企業のユーザーは、パスワード関連のトラブルをヘルプデスクに年間6~10回は問い合わせていたと推定されます。261日×8時間作業日(2,088時間)中に8回(平均値)の問い合わせがあったとすると、261時間作業日内に1回の割合で、パスワードのトラブルをヘルプデスクが受け付けていたことになります。
  • リモートワークへのシフトが一般化して以来、米国のナレッジワーカーの典型的な1日の勤務時間が8時間から11時間に増えているとみなされています。つまり、261日×11時間作業日=合計2,871時間(勤務時間)となり、以前の「通常」の勤務時間(2,088時間)よりも783時間増えているといえます。つまり、パスワード関連のヘルプデスクへの問い合わせが1人あたり3件増えていることになります。
  • CyberArkは、このデータに基づき、従業員1,000人の大企業の場合、年間495,000米ドルがパスワードの課題解決に費やされていると推定しています(1人あたり11件のパスワード関連のヘルプデスクへの問い合わせ x 1件あたり45米ドルのコスト x 1,000ユーザー)

ITヘルプデスク管理者は、戦略的なビジネスへの取り組みに注力するどころではありません。時間とリソースがすでに制約されている中、パスワード問題に対処してサービスレベルアグリーメント(SLA)を満たし、エンドユーザーの不満に対処するために、さらに長時間のシフトを組む必要に追い込まれています。

「パスワードがワンちゃんの名前って…..モオー!」


強力なパスワードを避ける傾向は、今も昔も変わりません。多くの場合、極めてシンプルで一般的なパスワードが使いまわしされています。実際、従業員は平均して16の業務アカウントに同じパスワードを利用しています。この問題を解決するのに、パスワード管理ソフトが役立つように思われますが、このアプローチにはリスクがあります。パスワード管理ソフトは、機密リソースおよびアクセスするユーザーを特定して、アクセス時間を管理することはできません。

攻撃者は、多くの企業がさまざまなシステムやツールへのアクセス保護を、単独の検証方法(単一の認証情報セットなど)に頼り続けていることを見抜いています。これがシングルサインオンと組み合わせて使用されている場合、多くのシステムやアプリケーションへの広範なアクセスが許可されるため、特に危険です。

攻撃者は、たったひとつの企業IDの認証情報を盗み取るだけで、価値の高いリソースに向けて特権を昇格させていく、足がかりを築くことができます。今日、すべての侵害の67%が、認証情報の盗難(盗み出したパスワードや脆弱なパスワードを利用)およびソーシャル攻撃によって引き起こされています。

また、ITチームがセキュリティを目的として、より強力な認証手段を導入しても、従業員がアクセス制御を回避する巧みな方法を探し出したり、生産性を維持するために企業が承認したシステムやアプリケーションをまったく使用していないといったケースもしばしば見かけられます。

ITサービス管理専門家の84%が、今後3年間のうちにIT業界で働くことがさらに難しくなると考えています。これには納得できる理由があります。つまり、「石(すべてのシステムおよびデータを可能な限り安全に維持すること)」と「堅い場所(チームの生産性を維持すること)」の板挟みで身動きが取れなくなっています。

パスワードのリセットではなく……パスワードの排除を検討

パスワードレス認証方法などのソリューションを統合したゼロトラストセキュリティモデルを採用することで、ITセキュリティとヘルプデスクのチームが、先を見据えて、適切なバランスを取りながら、アクセス制御を軌道に戻すことができます。

クラウドベースのシングルサインオン(SSO)アダプティブ多要素認証(MFA)を組み合わせることで、まん延しているパスワード問題を解決して、ユーザーの本人確認を行いながら、アクセスを合理化して、必要なすべてのリソースへの対応を迅速に行うことができます。

リスクベースのアクセスには、多少のインテリジェンスとコンテキストが必要です。機械学習およびコンテキストシグナル(ユーザーデータ、デバイスデータ、アクティビティデータなど)を使用することで、過去のパターンに照らして合わせてアクセス要求を自動的に分析して、各ログイン試行にリスクを割り当て、異常な行動でトリガーするアクセスポリシーを作成するなどです。

これに加えて、セルフサービス機能を従業員に提供して、ヘルプデスクの作業負荷を軽減し、時間のかかるタスクを自動化することで、ITチームがビジネスオペレーションや収益を維持する作業に取り組み直して効率を高めることができます。

ニック・バーンズのお決まりのセリフを拝借して最後に一言、「みなさん…どういたしまして!」

以前の記事
SSOがIDセキュリティを強化する4つの理由
SSOがIDセキュリティを強化する4つの理由

従来のセキュリティ境界線が消失している」ことは、今や広く認知されています。このため、計画を前倒ししてより早くセキュリティアプローチを展開することが、多くの企業にとって急務となっています。...

次の記事
2021年サイバーセキュリティ動向:パーソナライズ攻撃チェーンに要注意
2021年サイバーセキュリティ動向:パーソナライズ攻撃チェーンに要注意

...