資格情報の脆弱性: ID およびアクセス管理のベスト プラクティス。 パスワードに関して言えば、企業のオンライン プレゼンスは、サイバー攻撃者がさまざまな方法で突破できる幅広いデジタル攻撃対象領域を提供します。
アカウントの有効なアクセス データを盗むことに成功した場合、ハイジャックされた ID を使用して貴重なデータを盗んだり、企業環境にさらなる損害を与えることができます。 リモートワークがますます特徴付けられる社会では、デジタル ID のセキュリティと信頼性が新たな関連性を獲得しています。 物理的な ID と同様に、デジタル ID も誤用、盗難、詐欺から確実に保護する必要があります。 しかし、ユーザーや組織がインターネット上に残すデジタル指紋とすべての痕跡は、非常に個人的で非常に多様です。 これにより、ID を保護し、企業のデジタル資産を不正アクセスから保護することが非常に複雑になります。
資格情報は常に危険にさらされています
大量の顧客データを収集して保管する企業にとって、データ セキュリティとブランドの評判は密接に関連しています。 信頼関係は、ビジネス関係の不可欠な部分です。 この特性は、データ保護規制によってデジタル コンテキストでも強化されます。 一般データ保護規則 (GDPR) は、個人データを処理するための厳格なフレームワークを企業に提供し、処理企業に対する情報と通知義務で個人の権利を保護します。 顧客データに関する注意義務の違反または紛失は、企業に対して罰金を科せられます。 マリオット ホテル チェーンが経験しなければならなかったこと: サイバー犯罪者が 300 人の従業員のアカウントをハッキングし、ホテルの宿泊客のアカウントにアクセスできた. このセキュリティ侵害は何年もの間検出されなかったため、損害を受けた消費者の数は 110 億人を超えました。 英国情報コミッショナー事務局 (ICO) は当初、20 億 XNUMX 万ユーロ以上の罰金を課していましたが、マリオットの協力に対する包括的な意思と他の判断を考慮した結果、XNUMX 万ユーロに減額されました。
実際、ハッキング インシデントのかなりの割合が、資格情報の紛失または盗難によるものです。 残念ながら、多くのユーザーが複数のアカウントで同じパスワードを使用しているため、定期的にパスワードを変更する戦略は、通常、限られた効果しかありません。 多数の複雑なパスワードを覚えるのが困難で不便なため、パスワードの再利用は一般的な不正行為になっています。 ただし、これにより、ハッキングが発生した場合の損害のリスクが大幅に増加します。
パスワード リスクに対する ID およびアクセス管理
パスワードは、そのサイズ、複雑さ、または一意性に関係なく、常にリスクです。 企業は、IT セキュリティ戦略においてこの事実を考慮に入れる必要があります。 従業員が個人的なパスワードの習慣を職場環境に持ち込む傾向は、より強力な認証制御によって打ち消すことができます。 脅威を効率的に軽減し、データ保護規制に準拠するには、ID およびアクセス管理 (IAM) によってログイン プロセスをより安全にする必要があります。 これには次の要素が必要です。
多要素認証 (MFA) とシングル サインオン (SSO) の有効化
これらの機能は、シームレスなユーザー ログイン エクスペリエンスを提供しながら、アカウント侵害のリスクを軽減するのに役立ちます。 MFA は、たとえば、テキスト メッセージで送信された SMS トークンや、Google Authenticator などのサードパーティ アプリを介して、追加のセキュリティ レイヤーを作成します。 XNUMX 番目の形式の認証がないと、ユーザーは検証されず、アカウントへのアクセスが許可されません。 SSO を使用すると、ユーザーは XNUMX つのポータルにログインするだけで、さまざまな独立したクラウド リソースにアクセスできます。 パスワードを XNUMX つ覚えればよいという利便性を、安全な方法でユーザーに提供できます。 パスワードは、必要に応じてユーザーに自動的にプロンプトを表示して、定期的に新しいパスワードに置き換える必要があります。
ネットワーク活動によるコンテキストの決定
ユーザーが実際にオンラインであると主張している人物であるかどうかを判断するには、企業がネットワーク アクティビティと従業員の行動を継続的に監視して異常を検出することが重要です。 たとえば、従業員が月曜日から金曜日の午前 9 時に自宅の IP アドレスからログインし、土曜日の夜 22 時に突然別の場所からログインした場合、この動作は疑わしいと見なされます。 コンテキストベースの階層型認証により、組織は場所、デバイス、および日常の活動に基づいてユーザーの ID を確認できます。 これにより、データアクセスがどこで行われても、企業はより安全にデータにアクセスできます。
意識を高める
適切な技術的解決策があっても、教育と意識向上がなければ、セキュリティ戦略は不完全です。 企業は従業員に、無関係と思われるアクセス データでさえ、サイバー犯罪者にとってどのような価値があるか、サイバー犯罪者が使用する攻撃戦術は何か、疑いの根拠となる不正行為はどれかを説明する必要があります。 これにより、従業員は自分のアクセス データとデジタル ID、さらには広い意味での顧客の ID を簡単に保護できるようになります。
企業環境では、デジタル アクセス データを不注意に取り扱うと、深刻な結果を招く可能性があります。 これらの単純な技術的対策により、企業は関連するリスクを軽減できます。 同時に、従業員の実用性への欲求を尊重することができます。もはや何十もの複雑なパスワードを覚えておく必要はありません。 ただし、機密データを不正アクセスから保護することは依然として一般的なタスクです。企業とその従業員は、デジタル ID に対する脅威について常に最新の状態に保ち、それに応じて行動を共同で開発する必要があります。
Bitglass.com の詳細[スターボックス=4]