海の向こうの“セキュリティ”

パスワード管理に対するIT部門と従業員のギャップ/セキュリティチームに求められる非技術的スキル

  • 山賀 正人

2017年11月9日 06:05

パスワード管理に対するIT部門と従業員のギャップ

 パスワードの定期変更を強制したり、「強いパスワード」を利用者自身に考えさせたりするなどの利用者側に負担を強いるパスワード管理に頼ったかたちでセキュリティを維持しようとするのは無理があるという指摘はこれまでにも散々なされていますが、それでも状況がなかなか改善しないのは(ある程度は仕方ないとしても)残念でなりません。そのような中、パスワード管理サービスで知られる米LastPassと英国の調査会社Ovumは、パスワード管理に関する実態調査を行ない、多くの企業がいまだに利用者側に負担を強いる管理方法に依存していることを改めて示すとともに、IT部門と従業員の間に「ギャップ」があることを明らかにしました。

 今回公開された調査報告書「Close the password security gap: convenience for employees and control for IT」は、北米、欧州、アジア太平洋における13の業種の企業のIT担当役員(IT executive)355名と従業員550名に対して今年の8月に行われた調査の結果をまとめたものです。

 主なポイントは以下の5つ。

1)エンドユーザーに頼り過ぎている
 IT担当役員の61%は、従業員に「強いパスワード」を強制する教育のみに頼っている。しかし、そのための技術的な支援手法は従業員に提供されていない。この結果に対してLastPassは自社のブログにおいて、侵害の81%が「弱い」または「使い回された」「信頼できない(compromised)」パスワードが原因であることを考えれば、このようなエンドユーザーに頼りきったやり方は組織にとって効果的なアプローチではないと指摘。

2)時代遅れの手動プロセスがいまだに蔓延している
 10社のうち4社のIT担当役員は、いまだにクラウドアプリのユーザーパスワードを手動で管理している(自動化されていない)と回答。

3)パスワードの共有に対する防御はあまりに弱すぎる
 不要なパスワードの共有に対してどのような防御策を講じているかという質問に対し、IT担当役員の64%は、技術的な手法を何も採用していないと回答。共有が行われていることを検知するために自動化された制御システムを採用しているのは14%のみ。

4)弱いパスワードシステムはユーザーと事業をリスクにさらしている
 4分の3以上の従業員は、パスワードの使用や管理に関する問題を定期的に経験していると回答しており、従業員の半数近くは、パスワードが生産性に影響を与えていることを認めている。パスワードの使用に関する問題で最も多いのは、すべてのアプリケーションでシングルサインオン(SSO)が有効になっていないために複数のパスワードを管理しなければならない点であり、そのような企業や組織は全体の56%に及んでいる。

5)従業員はソリューションを求めている
 従業員の69%は、パスワードマネージャを提供してもらえれば使うだろうと回答。

 上記の 3)に関連し、IT担当役員に対して、パスワードに関する危険な行為のリスクの度合いを尋ねた結果をまとめたのが以下の図です。

 この図から分かるように、IT担当役員の多くはパスワードの共有を脅威として認識しています。しかし、これとは別に、64%はパスワードの共有を避けるための技術を採用しておらず、パスワードの誤用(悪用)を検知するためにパスワードやユーザーの行動を監視しているのは22%のみ、自動化された制御システムを導入しているのは14%のみとの結果も出ています。つまり、脅威として認識はしていても、そのために必要な措置を講じていない(≒講じなくても大丈夫だと思っている)という現実があるわけです。

 一方、パスワードの共有について従業員に対して調査すると、従業員の11%が他者とパスワードを共有したことがあり、その半分近くとなる5%が組織外の者と共有したことがあることが分かりました。ちなみに、他者との共有については地域差があり、オーストラリアと香港が22%と最も多いのに対し、最も少ない(具体的な数値は報告書に掲載されておらず)のはドイツとなっています。

 上記の 4)について、従業員にとってのパスワード管理の問題(≒不満に感じている点)をまとめたのが以下の図です。

 従業員が最も深刻な「TOP 1」に挙げている割合では「定期的なパスワードの変更」が18%で最も多いですが、「TOP 3」までの合計では「すべてのアプリケーションでシングルサインオン(SSO)が有効になっていないために複数のパスワードを管理しなければならない」が56%で最も多くなっています。また、「定期的なパスワードの変更」をはじめ、「設定されたルールに従った強いパスワード考えなければならない」「すべてのパスワードを覚えきれないので頻繁にリセットしなければならない」「パスワードが複雑で長くなければならない」がいずれも4割以上を占めています。また、他と比べると「パスワードを安全に保存できる場所がどこにもない」「アプリケーションやサイトごとに異なるパスワードが必要」は少なめですが、それでも3割を超えています。

 また、これらのパスワード管理に関する問題に遭遇する頻度は、月1回が64%、それ以上が12%、つまり計76%が定期的に経験していることになります。多くは支援システムによって自分で解決できていますが、それでも36%が最低でも月1回はヘルプデスクの支援を得ている(=ヘルプデスクに負担をかけている)ようです。

 上記の点を含め、報告書の内容をまとめたのが以下の図です。

 LastPassはパスワード管理サービスを提供している企業なので、最終的に「パスワードマネージャを使うべき」という結論ありきなのは明らかです。それでも、IT部門と利用者の両方を対象に調査し、両者間のギャップを具体的に示している点は注目に値します。今回の調査結果を、自組織のパスワード管理の見直しにうまく使ってください。

URL

The LastPass Blog(2017年10月5日付記事)
[INFOGRAPHIC] Closing the Password Security Gap
https://blog.lastpass.com/2017/10/research-closing-password-security-gap.html/
LastPass & Ovum Press Release(2017年10月5日付プレスリリース)
Nearly 80 Percent of IT Executives Lack Control Over Password Security in Their OrganizationsNew LastPass and Ovum Study Reveals IT and Employee Disconnect Driving Gap in Password Security
http://markets.businessinsider.com/news/stocks/Nearly-80-Percent-of-IT-Executives-Lack-Control-Over-Password-Security-in-Their-OrganizationsNew-LastPass-and-Ovum-Study-Reveals-IT-and-Employee-Disconnect-Driving-Gap-in-Password-Security-1003075894
Help Net Security(2017年10月6日付記事)
Leaving employees to manage their own password security is a mistake
https://www.helpnetsecurity.com/2017/10/06/manage-password-security/

セキュリティチームに求められる非技術的スキル

 米Tripwireは、調査会社Dimensional Researchに依頼し、セキュリティ人材として実際に求められているスキルについて調べた結果を公開しました。調査対象は、従業員100名以上の米国企業に勤めるITセキュリティ専門家(IT security professionals)315名です。この調査は技術的なスキルについても調べていますが、今回は調査結果のうち「ソフトスキル(soft skill)≒非技術的スキル」の観点で紹介します。

 まず、回答者の全員がセキュリティチームの人材としてソフトスキルが重要であるとしており、中でも最も重要視するスキルとして選択肢の中から多く選ばれたのは以下の5つです。

  1. 論理的に考えられる能力(Analytical thinker) 65%
  2. 高いコミュニケーション能力(Good communicator) 60%
  3. トラブルを解決する能力(Troubleshooter) 59%
  4. 確固たる誠実さと道徳的な振る舞い(Strong integrity and ethical behaviour) 58%
  5. 重圧下でも働ける能力(Ability to work under pressure) 58%

※ 4.と5.の2項目は同率4位

 全体の72%は過去2年間でソフトスキルに対するニーズが増して来ていると回答しており、21%は採用に際して技術的スキルよりもソフトスキルの方が重要だと明言しています。さらにセキュリティに特化した専門知識を持たない(別の専門知識を持った)人材については、20%が過去2年間で採用しており、17%が今後2年間で採用するつもりであるとしています。

 セキュリティ以外の機能を「サイバーセキュリティ」に取り込むことについては、98%がこれから一段と必要になると考えており、特に必要な機能として以下を挙げています。

  • IT運用 74%
  • リスクマネジメント 60%
  • コンプライアンス 53%
  • 法務 45%
  • 人事 32%
  • マーケティング 11%

 今回紹介した点を含めた調査結果全体をまとめたのが以下の図です。

 CSIRTをはじめとするセキュリティチームに、技術的なスキルを持ったメンバーだけでなく、組織内外の調整能力や法的な知識など、さまざまなスキルを持ったメンバーが必要なのは、少なくとも当事者や経験者にとっては当たり前のことなので、今回の調査結果自体に驚きはありません。しかし、非技術的なスキルが実際に求められている状況を具体的に示した点は重要です。今後の採用計画だけでなく、既存の人材を育成するという観点でも今回の調査結果には参考になるところがあるでしょう。

 ちなみに、JPCERT/CCが公開している「コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック」の167ページ「4.5.1 CSIRTスタッフ」には以下のような記載があります。

技術的な経験が乏しくても優れた対人スキルとコミュニケーションスキルのある人を採用し、その人にCSIRT特有の技術スキルを身に付けさせる方が、その逆の場合より望ましい方法だと言えます。

 このハンドブックは米カーネギーメロン大学による資料(初版1998年12月、第2販2003年4月)をJPCERT/CCが日本語に翻訳したものです。

URL

Tripwire - The State of Security(2017年10月17日付記事)
Survey Says: Soft Skills Highly Valued by Security Team
https://www.tripwire.com/state-of-security/featured/survey-says-soft-skills-highly-valued-security-team/
Tripwire - The State of Security(2017年9月6日付記事)
Survey: 81% of Infosec Pros Say Required Job Skills Have Changed amid Skills Gap
https://www.tripwire.com/state-of-security/featured/survey-81-of-infosec-pros-say-required-job-skills-have-changed-amid-skills-gap/
Tripwire - The State of Security(2017年9月20日付記事)
Most Orgs Worried Skills Gap Will Leave Them Exposed to Security Flaws
https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/most-orgs-worried-skills-gap-will-leave-them-exposed-to-security-flaws/
JPCERT/CC「コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック」(PDF)
https://www.jpcert.or.jp/research/2007/CSIRT_Handbook.pdf
日本シーサート協議会「CSIRT人材の定義と確保」
http://www.nca.gr.jp/activity/training-hr.html

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。