ITリーダーの半数が、パスワードはセキュリティ上弱すぎると回答 - TechRepublic

簡単なパスワードのコンセプト。紙にマーカーで書いたパスワード「123456」。 — 画像: Vitalii Vodolazskyi/Adobe Stock

パスワードは長年、機密性の高いアカウントやデータを保護する手段として不十分でした。アカウントごとに固有の複雑なパスワードを設定するという課題に直面し、多くの人が単純で脆弱なパスワードを使用し、自分自身と組織を危険にさらしています。Ping IdentityとYuibcoが火曜日に発表したレポートは、脆弱なパスワードの影響について考察しています。

PingとYubicoは、「パスワードのない未来：セキュリティの新時代」と題するレポートを作成するために、2022年4月にWakefield Researchに委託して600人のITリーダーと意思決定者を対象に調査を行いました。この調査では、米国、英国、オーストラリア、フランス、ドイツのディレクターレベル以上の上級ITスタッフとして定義された従業員から回答を得ました。

回答者の94%が、ユーザーが生成したパスワードについて深刻な懸念を抱いており、その半数はパスワードがセキュリティ上脆弱すぎると考えています。また、91%は、組織内でパスワードが盗難されることを非常に、あるいはある程度懸念していると回答しました。さらに、調査対象者の半数は、パスワードのセキュリティ強度の低さを大きな懸念事項と捉えており、既存のパスワードを変更しなければならない従業員の多くが、最小限の変更のみを行うか、古いパスワードを再利用していることを認めています。

参照：パスワード侵害：ポップカルチャーとパスワードが混ざらない理由（無料PDF）（TechRepublic）

多くの従業員がパスワード管理ソフトウェアを使用していますが、モバイルデバイスにパスワードを保存したり、デスクのメモ帳に書き留めたりするなど、よりリスクの高い方法に頼っている従業員も少なくありません。リモートワークやハイブリッドワークへの移行に伴い、この問題はさらに深刻化しています。多くのITリーダーは、従業員が適切なパスワード管理を徹底できているか確信が持てないからです。

パスワードは、それを使いこなさなければならないユーザーにとって、ますます大きな障害となっています。調査の回答によると、多くの従業員は1日に12回パスワードを入力しなければならず、中には1日に20回も入力しなければならない従業員もいます。そして、これらのパスワード入力の試行は、当然ながら失敗することもあります。わずか1ヶ月間で、従業員は平均78回もアカウントやデバイスからロックアウトされました。

ユーザーが直面する課題により、パスワード関連の問題はIT部門やヘルプデスク担当者の多大な時間とリソースを浪費しています。調査対象者によると、IT部門が対応するサポートチケットの3分の1はパスワード関連です。組織によっては、サポートチケットの半数以上がパスワード関連です。パスワード関連のサポートインシデントは平均30%増加しており、多くのITリーダーがこの分野におけるヘルプデスクコストを懸念事項として挙げています。

パスワードに関する煩わしさや不安を考えると、パスワードレス認証は合理的な代替手段と言えるでしょう。回答者のうち、パスワードレス技術を導入した人はほとんどいませんが、65%が導入する可能性が高いと回答しました。パスワードレス認証の選択肢として、どのようなものを選ぶかという質問に対しては、67%が生体認証、48%がPIN、38%が物理的なセキュリティキーを挙げました。

しかし、パスワードレス認証への道のりは決して平坦ではありません。回答者の間では、この道のりにおける最大の障害は、IT部門と経営幹部の緊急性の欠如であるとの回答が多数ありました。また、従業員が使用するアプリケーションの技術的な限界を指摘する人もいました。導入方法がわからないと認める回答者もおり、組織として導入に抵抗感があると答えた人もいました。

パスワードレス認証方法に関心のある組織を支援するために、Ping Identity のシニアプロダクトマーケティングマネージャーである Zain Malik がいくつかのヒントを提供しています。