テクノロジー セキュリティ 非公開: SSO を取得しましたか?依然としてパスワードセキュリティが必要です

SSO を取得しましたか?依然としてパスワードセキュリティが必要です

SSO は生産性とセキュリティの優れたツールですが、パスワード関連のセキュリティ上のギャップが残ります。

シングル サインオン (SSO) ソリューションは、新型コロナウイルス感染症 (COVID-19) のパンデミックによってクラウドへの猛烈な需要が高まる前から急速に人気が高まっていました。現在、SSO は、分散した従業員を抱える組織に次のような利便性とセキュリティ上の利点を提供するため、これまで以上に人気が高まっています。

  • 従業員が覚えるべきパスワードは 1 つだけです。 「パスワード疲れ」の解消は、SSO 導入の最大の推進力の 1 つです。アプリやサービスごとに異なるパスワードを使用する代わりに、従業員はシングル サインオンのパスワードを記憶するだけで済みます。
  • 入力するパスワードは 1 日 1 回だけです。複数のパスワードを覚える必要がないだけでなく、従業員は勤務時間中に複数のパスワードを入力する必要もありません。 SSO パスワードを勤務時間の初めに 1 回入力することで、勤務時間全体を通じてパスワードを入力する無駄な時間がなくなります。
  • ヘルプデスクチケットを半分に切ります。 Gartner Group は、パスワードのリセットがヘルプ デスク チケットの最大 50% を占めると推定しています。 SSO は、これらのチケットを事実上排除することを約束しており、サポート従業員は、より複雑な問題を抱えているエンドユーザーを支援するために、より多くの時間を費やすことができるようになります。
  • ID アクセスと管理 (IAM) の導入が容易になります。 SSO は、認証とアクセス制御の構成の複雑さを軽減し、IAM ソリューションのより迅速かつシンプルなデプロイを可能にし、ゼロトラスト環境へのより迅速なパスを可能にします。
  • コンプライアンスレポートをより簡単に。一般的なコンプライアンス フレームワークの多くでは、ユーザー サインオン データのユーザー監査証跡が必要です。 SSO を使用すると、このデータをコンプライアンス レポートに簡単に含めることができます。
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
コンテンツ 表示

SSO の欠点: パスワード関連のセキュリティギャップ

SSO の目的は、リソースへのアクセスを容易にすることです。これは生産性の点では優れていますが、セキュリティの観点からはそうではありません。

  • 単一のパスワードは単一障害点に相当します。従業員が 1 つのアカウントのパスワードを紛失または忘れた場合、そのアカウントからロックアウトされます。 SSO パスワードを忘れた場合、すべてのアカウントからロックアウトされます。さらに懸念されるのは、サイバー犯罪者が SSO パスワードを入手すると、従業員の仕事関連のアカウントすべてに侵入できる可能性があるということです。 Verizon は、成功したデータ侵害の 80% 以上がパスワードの侵害によるものであると推定していますが、これは大きな欠点です。
  • 従来の基幹業務 (LOB) アプリは SSO をサポートしていません。新型コロナウイルス感染症のパンデミックにより、デジタル変革の取り組みが数年加速したにもかかわらず、ほとんどの組織は依然として、SSO をサポートしていない少なくともいくつかの従来の LOB アプリを使用しています。これらは非常に古いため、近代化することは現実的ではありません。これらは非常に専門的であるため、置き換えることも現実的ではありません。
  • すべての最新アプリが SSO をサポートしているわけではありません。問題となるのは従来のアプリだけではありません。最近のアプリやサービスの多く、特にデスクトップ アプリも SSO をサポートしていません。組織の SSO 導入で、従業員が使用するすべてのアプリをカバーすることはまれです。特に大企業では、文字通り数百のアプリが使用されている可能性があります。
  • アプリごとに異なる SSO プロトコルが使用される場合があります。従業員は、組織の ID プロバイダー (IdP) が使用するプロトコルとは異なるプロトコルを使用するアプリを使用する必要がある場合があります。たとえば、IdP が SAML プロトコルを使用している場合、SSO ソリューションは OAuth を使用するアプリをサポートしません。
  • ユーザーのパスワード習慣を制御できません。 SSO の展開では、不適切なパスワード セキュリティ慣行を可視化することはできません。従業員は、SSO ログインに脆弱なパスワードまたは以前に侵害されたパスワードを選択することも、複数の追加アカウントで使用しているパスワードを再利用することもできます。 SSO 展開がサポートしていないすべてのアプリに対して同じことを行う可能性があります。また、権限のない第三者とパスワードを共有する場合もあります。
  • 特権ユーザーまたはセッションに対する保護はありません。通常、ユーザーは特に機密性の高いシステムやデータにアクセスするには別の資格情報を入力する必要がありますが、SSO の目的は、ユーザーに 1 回の認証ですべてのアクセス パスを与えることです。
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です

SSO によって残されたパスワード関連のセキュリティ ギャップを埋める 4 つの方法

パスワードの復号化

こうしたリスクにもかかわらず、セキュリティを重視する組織は SSO 導入を放棄すべきではありません。万能のセキュリティ ソリューションはありません。 SSO ソリューションを補完的なテクノロジーと組み合わせることで、組織は SSO の生産性と使いやすさのメリットを維持しながら、パスワード関連のセキュリティ ギャップを補うことができます。

#1.すべてのユーザーに最小限の権限でアクセスできるロールベースのアクセス制御 (RBAC) を実装します。

最小権限の原則は、ユーザーが業務を遂行するために最低限のレベルのシステム権限のみにアクセスし、それ以上の権限にはアクセスできないようにすることを規定しており、組織の潜在的な攻撃対象領域を削減するために重要です。 RBAC を導入すると、アクセス制御レベルの割り当てと管理が簡素化されます。

RBAC ロールの割り当てを管理しやすくするには、ロールをユーザーに直接割り当てることは避けてください。代わりに、グループを作成し、グループに権限を割り当て、それに応じてユーザーをグループに追加します。これにより、役割の割り当ての数が最小限に抑えられるだけでなく、グループ内のすべてのユーザーに対して権限を変更する必要がある場合に時間を節約できます。グループが再利用可能であることを確認し、カスタム ロールを作成しすぎないようにしてください。

#2.特権ユーザー向けに特権セッション管理 (PSM) を使用して特権アクセス管理 (PAM) を実装する

アクセスをできるだけ簡単にすることに重点を置く SSO とは異なり、PAM は企業の最も機密性の高いシステムやデータへのアクセスを制限することに重点を置きます。組織は PAM を使用して、最も重要で機密性の高いシステムへのアクセスを制限および監視します。特権ユーザーは通常、IT 管理者やセキュリティ管理者、経営幹部などの高レベルの社内関係者ですが、信頼できるベンダーやパートナーもこのカテゴリに分類される場合があります。

PAM と PSM は連携して機能します。 PAM は機密リソースへのユーザー アクセスを制御しますが、PSM は特権ユーザー セッションを制御、監視、記録することで、特権ユーザーによるアクセスの悪用を防ぎます。一般的な PSM の監視と記録は非常に細かく、キーストローク、マウスの動き、スクリーンショットが含まれます。 PSM 監査証跡は、セキュリティの確保に加えて、HIPAA、PCI DSS、FISMA、SOX などのいくつかのコンプライアンス フレームワークで必要とされます。

#3.多要素認証をサポートするすべてのアプリとサービスに多要素認証を実装する

多要素認証 (2FA) は、パスワードの漏洩に対する最も強力な防御手段の 1 つです。サイバー犯罪者がパスワードを侵害したとしても、2 番目の認証要素がなければそのパスワードを使用することはできません。 2FA は、最小限のシステム アクセスを持つユーザーから会社の最も特権のあるユーザーまで、すべてのユーザーを保護します。組織がユーザー ID を認証できるようにすることで、ゼロトラストを強化します。

一部の組織は、従業員に追加のログイン手順を強いることにより生産性が低下することを懸念して、2FA の導入をためらっています。この問題は、2FA と最新のパスワード セキュリティ ソリューションを組み合わせることで簡単に解決できます。このソリューションにより、ユーザーは 2FA 資格情報をパスワードとともに保存できるようになります。 。

#4.エンタープライズ パスワード セキュリティおよび暗号化プラットフォームを全社に導入する

パスワード セキュリティと暗号化プラットフォームにより、従業員はすべてのログイン資格情報を 1 つの集中型プライベート暗号化リポジトリに安全に保存できます。 SSO と同様に、ユーザーは「マスター パスワード」を 1 つだけ記憶し、デジタル リポジトリ内のすべての認証情報にアクセスするために使用されます。

SSO とは異なり、 優れたエンタープライズ パスワード セキュリティ および暗号化プラットフォームは、レガシー アプリを含むすべてのサービスとアプリで動作するように設計されています。これらには、強力なパスワードの自動生成や自動入力ツールなどの追加機能が含まれています。また、IT 管理者はユーザーのパスワード習慣を完全に把握し、パスワード セキュリティ ポリシーを適用できます。既存の SSO 導入とシームレスに統合し、RBAC、2FA、監査、およびイベント レポートのサポートを提供する、エンタープライズ グレードのパスワード セキュリティおよび暗号化プラットフォームを必ず導入してください。

SSO は、組織がそれをスタンドアロン ソリューションとみなしている場合にのみ、セキュリティ リスクをもたらします。 SSO に固有のパスワード関連のセキュリティ ギャップを認識し、2FA、RBAC、PAM/PSM、パスワード セキュリティおよび暗号化プラットフォームなどの補完的なテクノロジを実装することでそれらを補うことにより、組織は効率を向上させ、エンド ユーザー エクスペリエンスを向上させることができます。パスワード関連のサイバー攻撃から身を守ります。

テレサ・ロザール著

SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です

「SSO を取得しましたか?依然としてパスワードセキュリティが必要です」についてわかりやすく解説!絶対に観るべきベスト2動画

シングルサインオン(SSO)とは?SSOのメリットや仕組みをわかりやすく解説
https://www.youtube-nocookie.com/watch?v=ZX3HGo7HsSM&pp=ygViU1NPIOOCkuWPluW-l-OBl-OBvuOBl-OBn-OBiz_kvp3nhLbjgajjgZfjgabjg5Hjgrnjg6_jg7zjg4njgrvjgq3jg6Xjg6rjg4bjgqPjgYzlv4XopoHjgafjgZkmaGw9SkE%3D
【#27 SSO SAML】シングルサインオン セキュリティのお勉強
https://www.youtube-nocookie.com/watch?v=HWimE_VJm2o&pp=ygViU1NPIOOCkuWPluW-l-OBl-OBvuOBl-OBn-OBiz_kvp3nhLbjgajjgZfjgabjg5Hjgrnjg6_jg7zjg4njgrvjgq3jg6Xjg6rjg4bjgqPjgYzlv4XopoHjgafjgZkmaGw9SkE%3D

SSO は生産性とセキュリティの優れたツールですが、パスワード関連のセキュリティ上のギャップが残ります。

シングル サインオン (SSO) ソリューションは、新型コロナウイルス感染症 (COVID-19) のパンデミックによってクラウドへの猛烈な需要が高まる前から急速に人気が高まっていました。現在、SSO は、分散した従業員を抱える組織に次のような利便性とセキュリティ上の利点を提供するため、これまで以上に人気が高まっています。

  • 従業員が覚えるべきパスワードは 1 つだけです。 「パスワード疲れ」の解消は、SSO 導入の最大の推進力の 1 つです。アプリやサービスごとに異なるパスワードを使用する代わりに、従業員はシングル サインオンのパスワードを記憶するだけで済みます。
  • 入力するパスワードは 1 日 1 回だけです。複数のパスワードを覚える必要がないだけでなく、従業員は勤務時間中に複数のパスワードを入力する必要もありません。 SSO パスワードを勤務時間の初めに 1 回入力することで、勤務時間全体を通じてパスワードを入力する無駄な時間がなくなります。
  • ヘルプデスクチケットを半分に切ります。 Gartner Group は、パスワードのリセットがヘルプ デスク チケットの最大 50% を占めると推定しています。 SSO は、これらのチケットを事実上排除することを約束しており、サポート従業員は、より複雑な問題を抱えているエンドユーザーを支援するために、より多くの時間を費やすことができるようになります。
  • ID アクセスと管理 (IAM) の導入が容易になります。 SSO は、認証とアクセス制御の構成の複雑さを軽減し、IAM ソリューションのより迅速かつシンプルなデプロイを可能にし、ゼロトラスト環境へのより迅速なパスを可能にします。
  • コンプライアンスレポートをより簡単に。一般的なコンプライアンス フレームワークの多くでは、ユーザー サインオン データのユーザー監査証跡が必要です。 SSO を使用すると、このデータをコンプライアンス レポートに簡単に含めることができます。
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
コンテンツ 表示

SSO の欠点: パスワード関連のセキュリティギャップ

SSO の目的は、リソースへのアクセスを容易にすることです。これは生産性の点では優れていますが、セキュリティの観点からはそうではありません。

  • 単一のパスワードは単一障害点に相当します。従業員が 1 つのアカウントのパスワードを紛失または忘れた場合、そのアカウントからロックアウトされます。 SSO パスワードを忘れた場合、すべてのアカウントからロックアウトされます。さらに懸念されるのは、サイバー犯罪者が SSO パスワードを入手すると、従業員の仕事関連のアカウントすべてに侵入できる可能性があるということです。 Verizon は、成功したデータ侵害の 80% 以上がパスワードの侵害によるものであると推定していますが、これは大きな欠点です。
  • 従来の基幹業務 (LOB) アプリは SSO をサポートしていません。新型コロナウイルス感染症のパンデミックにより、デジタル変革の取り組みが数年加速したにもかかわらず、ほとんどの組織は依然として、SSO をサポートしていない少なくともいくつかの従来の LOB アプリを使用しています。これらは非常に古いため、近代化することは現実的ではありません。これらは非常に専門的であるため、置き換えることも現実的ではありません。
  • すべての最新アプリが SSO をサポートしているわけではありません。問題となるのは従来のアプリだけではありません。最近のアプリやサービスの多く、特にデスクトップ アプリも SSO をサポートしていません。組織の SSO 導入で、従業員が使用するすべてのアプリをカバーすることはまれです。特に大企業では、文字通り数百のアプリが使用されている可能性があります。
  • アプリごとに異なる SSO プロトコルが使用される場合があります。従業員は、組織の ID プロバイダー (IdP) が使用するプロトコルとは異なるプロトコルを使用するアプリを使用する必要がある場合があります。たとえば、IdP が SAML プロトコルを使用している場合、SSO ソリューションは OAuth を使用するアプリをサポートしません。
  • ユーザーのパスワード習慣を制御できません。 SSO の展開では、不適切なパスワード セキュリティ慣行を可視化することはできません。従業員は、SSO ログインに脆弱なパスワードまたは以前に侵害されたパスワードを選択することも、複数の追加アカウントで使用しているパスワードを再利用することもできます。 SSO 展開がサポートしていないすべてのアプリに対して同じことを行う可能性があります。また、権限のない第三者とパスワードを共有する場合もあります。
  • 特権ユーザーまたはセッションに対する保護はありません。通常、ユーザーは特に機密性の高いシステムやデータにアクセスするには別の資格情報を入力する必要がありますが、SSO の目的は、ユーザーに 1 回の認証ですべてのアクセス パスを与えることです。
SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です

SSO によって残されたパスワード関連のセキュリティ ギャップを埋める 4 つの方法

パスワードの復号化

こうしたリスクにもかかわらず、セキュリティを重視する組織は SSO 導入を放棄すべきではありません。万能のセキュリティ ソリューションはありません。 SSO ソリューションを補完的なテクノロジーと組み合わせることで、組織は SSO の生産性と使いやすさのメリットを維持しながら、パスワード関連のセキュリティ ギャップを補うことができます。

#1.すべてのユーザーに最小限の権限でアクセスできるロールベースのアクセス制御 (RBAC) を実装します。

最小権限の原則は、ユーザーが業務を遂行するために最低限のレベルのシステム権限のみにアクセスし、それ以上の権限にはアクセスできないようにすることを規定しており、組織の潜在的な攻撃対象領域を削減するために重要です。 RBAC を導入すると、アクセス制御レベルの割り当てと管理が簡素化されます。

RBAC ロールの割り当てを管理しやすくするには、ロールをユーザーに直接割り当てることは避けてください。代わりに、グループを作成し、グループに権限を割り当て、それに応じてユーザーをグループに追加します。これにより、役割の割り当ての数が最小限に抑えられるだけでなく、グループ内のすべてのユーザーに対して権限を変更する必要がある場合に時間を節約できます。グループが再利用可能であることを確認し、カスタム ロールを作成しすぎないようにしてください。

#2.特権ユーザー向けに特権セッション管理 (PSM) を使用して特権アクセス管理 (PAM) を実装する

アクセスをできるだけ簡単にすることに重点を置く SSO とは異なり、PAM は企業の最も機密性の高いシステムやデータへのアクセスを制限することに重点を置きます。組織は PAM を使用して、最も重要で機密性の高いシステムへのアクセスを制限および監視します。特権ユーザーは通常、IT 管理者やセキュリティ管理者、経営幹部などの高レベルの社内関係者ですが、信頼できるベンダーやパートナーもこのカテゴリに分類される場合があります。

PAM と PSM は連携して機能します。 PAM は機密リソースへのユーザー アクセスを制御しますが、PSM は特権ユーザー セッションを制御、監視、記録することで、特権ユーザーによるアクセスの悪用を防ぎます。一般的な PSM の監視と記録は非常に細かく、キーストローク、マウスの動き、スクリーンショットが含まれます。 PSM 監査証跡は、セキュリティの確保に加えて、HIPAA、PCI DSS、FISMA、SOX などのいくつかのコンプライアンス フレームワークで必要とされます。

#3.多要素認証をサポートするすべてのアプリとサービスに多要素認証を実装する

多要素認証 (2FA) は、パスワードの漏洩に対する最も強力な防御手段の 1 つです。サイバー犯罪者がパスワードを侵害したとしても、2 番目の認証要素がなければそのパスワードを使用することはできません。 2FA は、最小限のシステム アクセスを持つユーザーから会社の最も特権のあるユーザーまで、すべてのユーザーを保護します。組織がユーザー ID を認証できるようにすることで、ゼロトラストを強化します。

一部の組織は、従業員に追加のログイン手順を強いることにより生産性が低下することを懸念して、2FA の導入をためらっています。この問題は、2FA と最新のパスワード セキュリティ ソリューションを組み合わせることで簡単に解決できます。このソリューションにより、ユーザーは 2FA 資格情報をパスワードとともに保存できるようになります。 。

#4.エンタープライズ パスワード セキュリティおよび暗号化プラットフォームを全社に導入する

パスワード セキュリティと暗号化プラットフォームにより、従業員はすべてのログイン資格情報を 1 つの集中型プライベート暗号化リポジトリに安全に保存できます。 SSO と同様に、ユーザーは「マスター パスワード」を 1 つだけ記憶し、デジタル リポジトリ内のすべての認証情報にアクセスするために使用されます。

SSO とは異なり、 優れたエンタープライズ パスワード セキュリティ および暗号化プラットフォームは、レガシー アプリを含むすべてのサービスとアプリで動作するように設計されています。これらには、強力なパスワードの自動生成や自動入力ツールなどの追加機能が含まれています。また、IT 管理者はユーザーのパスワード習慣を完全に把握し、パスワード セキュリティ ポリシーを適用できます。既存の SSO 導入とシームレスに統合し、RBAC、2FA、監査、およびイベント レポートのサポートを提供する、エンタープライズ グレードのパスワード セキュリティおよび暗号化プラットフォームを必ず導入してください。

SSO は、組織がそれをスタンドアロン ソリューションとみなしている場合にのみ、セキュリティ リスクをもたらします。 SSO に固有のパスワード関連のセキュリティ ギャップを認識し、2FA、RBAC、PAM/PSM、パスワード セキュリティおよび暗号化プラットフォームなどの補完的なテクノロジを実装することでそれらを補うことにより、組織は効率を向上させ、エンド ユーザー エクスペリエンスを向上させることができます。パスワード関連のサイバー攻撃から身を守ります。

テレサ・ロザール著

SSO を取得しましたか?依然としてパスワードセキュリティが必要です
SSO を取得しましたか?依然としてパスワードセキュリティが必要です

「SSO を取得しましたか?依然としてパスワードセキュリティが必要です」についてわかりやすく解説!絶対に観るべきベスト2動画

シングルサインオン(SSO)とは?SSOのメリットや仕組みをわかりやすく解説
https://www.youtube-nocookie.com/watch?v=ZX3HGo7HsSM&pp=ygViU1NPIOOCkuWPluW-l-OBl-OBvuOBl-OBn-OBiz_kvp3nhLbjgajjgZfjgabjg5Hjgrnjg6_jg7zjg4njgrvjgq3jg6Xjg6rjg4bjgqPjgYzlv4XopoHjgafjgZkmaGw9SkE%3D
【#27 SSO SAML】シングルサインオン セキュリティのお勉強
https://www.youtube-nocookie.com/watch?v=HWimE_VJm2o&pp=ygViU1NPIOOCkuWPluW-l-OBl-OBvuOBl-OBn-OBiz_kvp3nhLbjgajjgZfjgabjg5Hjgrnjg6_jg7zjg4njgrvjgq3jg6Xjg6rjg4bjgqPjgYzlv4XopoHjgafjgZkmaGw9SkE%3D

最新記事一覧

関連記事一覧