5月第1木曜日はWorld Password Day(世界パスワードの日)です。この日は、エンドユーザーにパスワードのベストプラクティスについて思い出してもらい、「123456」「qwerty」「password」といった弱く、想像力に欠け、推測しやすいパスワードは、アカウントやデバイスを保護するための選択肢としては不適切であることを伝える絶好の日です。フィッシングやスタッフィングなどの攻撃は増加の一途をたどっており、データ漏洩によって無数のパスワードが流出していることから、職場や家庭でパスワード管理のベストプラクティスを強化する必要性がかつてないほど高まっています。
インテルは、強力なパスワードがデジタルライフのセキュリティに果たす役割について認識を高めるため、2013年に「World Password Day」を開始しました。それから10年近くが経ちましたが、まだ多くの進歩させるべき点があることは明らかです。当社のレポート「フィッシング攻撃の現状2022」の調査によると、社会人の30%しかアカウントごとに固有のパスワードを使用していないことがわかりました。また、アカウントや、おそらくデバイス間でもパスワードを再利用している人は、組織や自分自身に対する攻撃対象領域を増加させる一方です。
パンデミック以降のリモートワークの急速な普及に伴い、ユーザーや企業のセキュリティリスクを高める、もう一つのパスワード管理の悪習慣が明るみに出ています。それは、安全が確保されていないWi-Fiネットワークです。「フィッシング攻撃の現状2022」レポートで調査した社会人のうち、自宅のWi-Fiネットワークがパスワードで保護されていると回答した人は3分の2以下(60%)でした。また、34%の回答者が、単に方法がわからないという理由で、Wi-Fiネットワークのセキュリティ設定を調整していないと回答しています。
安全なパスワード管理
パスワード管理の不備は、ユーザーと組織にとって不必要なリスクを生み出します。「フィッシング攻撃の現状2022」レポートの調査に回答した社会人の77%が、メールのチェック、ニュース記事の閲覧、オンラインショッピング、ソーシャルメディアチャネルの閲覧や投稿など、個人的な目的で雇用者支給の電子機器を使用していると認めていることを考えると、ビジネスに対する潜在的なリスクは明らかでしょう。
パスワードのベストプラクティス、情報、スキルを提供することで、ユーザーがパスワードの管理と保護についてより熱心に警戒するようになり、データ損失やアカウント侵害のリスクを大幅に軽減することができます。攻撃者が機密データや重要な情報に簡単にアクセスすることを防ぐことができます。また、パスワードを共有する複数のアカウントにまたがるデータ漏洩を阻止することもできます。
以下の「やるべきこと」と「やってはいけないこと」のリストをユーザーと共有し、デバイスやアカウントのパスワード設定方法の改善に役立てましょう。まずは「やるべきこと」からご紹介します。
- 多要素認証(MFA)を使用する。MFAが利用できないアカウントでは、パスワードマネージャーを使用する。
- すべてのパスワードを少なくとも年に2回変更する。(注:ビジネス用のパスワードは、3か月に1回など、より頻繁に変更することがベストプラクティスです。)
- パスワードを長く複雑にし、より強力なパスワードを作成する。
次に、パスワード管理の「やってはいけないこと」をいくつかご紹介します。
- よくある言葉やフレーズ、あなたやあなたの直近家族に関連する名前や日付など、推測しやすいパスフレーズは使わない(ペットの名前も含まれます)。また、記念日や誕生日など、多くの人がソーシャルメディアに頻繁に投稿するような内容も避ける。
- 複数のシステムやアカウントでパスワードを再利用しない。
- パスワードは紙に記録しない。
- パスワードを家族、友人、同僚と共有しない。
社内のパスワード管理
セキュリティの専門家である私たちは、セキュリティに精通し、ベストプラクティスとリスクを常に念頭に置いています。しかし、ユーザーは必ずしもそうではありません。ユーザーには常に注意喚起と教育が必要です。私たちは、次のような方法でユーザーを支援することができます。
- 短時間の学習コンテンツを用いて、より頻繁にトレーニングを行う。このアプローチは、30分のトレーニングモジュールを年に1回完了するよりもはるかに効果的です。
- 組織と従業員の安全を守るために、ベストプラクティスに従うことがなぜ重要なのかを説明し理解させる。
- 関連性の高いセキュリティトピックを取り上げ、納税シーズン、祝日、データプライバシーウィークなどの特別なイベントと結び付けてトレーニングを実施することで、記憶に残るものにする。
例えば、パスワードを付箋に書いてコンピュータのモニターに貼らないなど、エンドユーザーの小さな行動の変化でも、組織のセキュリティリスクを大幅に軽減できるため、こうした努力は十分な投資価値があります。結局のところ、データ漏洩の85%は人的要因が絡んでいるという調査結果が出ています。
World Password Dayをきっかけに、ユーザーのセキュリティ意識を高め、パスワードのベストプラクティスを教育し、パスワード管理の達人になってもらいましょう。
Proofpointのセキュリティ意識向上コンテンツ
Proofpointの電子書籍「Beyond Awareness Training」をダウンロードして、ユーザーの行動を変え、組織で持続可能なセキュリティ文化を構築する方法をご覧ください。
また、当社のセキュリティ意識向上コンテンツもお試しください。当社では、最も人気のあるトレーニングおよび意識向上シリーズのサンプルをこちらで提供しています。これらのコンテンツは、ユーザーが楽しみながら最新の脅威に関する情報を得ることができ、また、組織における防御者としての役割を受け入れることができるように設計されています。
不正侵入やデータ損失を防ぐためには、強力なパスワードが重要です。「Password Awareness Kit」でパスワードのベストプラクティスについて従業員を教育しましょう。