特権アクセス管理を困難にする3つの課題──解決のカギを握る統合管理と「ゼロ知識暗号化」とは？

不正アクセスの97.5％がパスワード起因、潮流も変わりつつある

　米国シカゴに本社を置き、企業・組織向けのパスワード管理と、システムインフラ向けの特権アクセス管理を提供するKeeper Security。グローバルでは約7万社のユーザーがいるという。米国では政府・公共機関への広範な導入実績もあり、FedRAMP、GoVRAMP、ISO27001、SOC 2、FIPS-140-3などのセキュリティ認証を取得している点も魅力だ。

　その日本法人であるKeeper Security APACは2023年5月に設立され、日本国内では約700社の導入実績を持つ。データセンターをグローバル各地に配置しており、日本のユーザーは日本国内にあるデータセンターを利用できる。

　池原正樹氏は、日本におけるパスワード管理の実態について重要なデータを提示した。我が国の警察機関が検挙した不正アクセスの97.5％がパスワード起因であり、ランサムウェア侵入経路の83％が、VPNやリモートデスクトップのパスワード関連という情報だ。さらに、ダークウェブには約260億個のパスワード情報が漏洩しているという事実も明らかになっている。すでに金融庁や警察庁、日本証券業協会などといった機関からは繰り返しの注意喚起が出ている。

　「2025年3月から4月にかけて、証券会社のWebサイトへの不正アクセス件数が激増しました。株の不正取引や株価操作が行われるという高度なインシデントの入口として、漏洩したパスワード情報が使われたのです。パスワード管理の製品をきちんと導入していれば、防げたインシデントではないかと私は考えています」（池原氏）

　パスワード管理の市場は、米国では今や主要なセキュリティ分野の一つとされており、2032年には1兆円規模に達すると予測されている。一方、日本ではまだ主要なセキュリティ分野としては位置づけられていない状況だ。

　なお、パスワード管理向けのガイドラインは、NIST（米国立標準技術研究所）やCIS（Center for Internet Security）、国内ではNISC（内閣サイバーセキュリティセンター）が発行した『インターネットの安全・安心ハンドブック』などで共有されている。

　ガイドラインでは、「ブラウザにパスワードを覚えさせない」「10桁以上のパスワードを設定する」「漏洩したパスワードの即時変更」などの対策が挙げられているが、池原氏は「10桁以上のパスワードは解読に数十年かかる強固さがあるものの、人間が覚えるのは困難だ」と指摘。また、従来の定期的なパスワード変更の推奨から、最近では漏洩判明時の即時変更へとポリシーの傾向が変化していることも説明した。