EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

82%がパスワードを使い回し【IBM Security調査】

  2021/06/23 12:31

 米現地時間6月15日、IBM Securityは、パンデミック期間中の消費者のデジタル行動と、それらのサイバーセキュリティーへの潜在的な長期的影響に関するグローバルでの調査結果を発表した。

 本調査は、世界22の地域で22,000名の個人を対象に、IBM Securityに代わってMorning Consultが実施したものだという。この調査により、消費者のセキュリティー行動に対するパンデミックの影響として、以下が特定されたとしている。

デジタル・ブームはパンデミック後も続く

 調査対象者は、パンデミック中にオンライン・アカウントを1人につき平均15アカウント作成しており、これは全世界で数十億のアカウントが新たに作成されたことに相当するという。44%がそれらの新規アカウントの削除または無効化を行うつもりはないと回答していることから、今後数年間にわたってこれらの消費者のデジタル・フットプリントが増大されたままとなり、それによりサイバー犯罪者にとっての攻撃対象領域が大幅に拡大されることになるとしている。

過剰なアカウント数がパスワード疲れにつながった

 デジタル・アカウントの急増が調査対象者の中でパスワード管理の緩みにつながっており、回答者の82%が認証情報の再利用を数度行っていることを認めている。つまり、パンデミック中に新たに作成されたアカウントの多くが、電子メールとパスワードの組み合わせを再利用している可能性が高く、それらは過去10年間に起きたデータ侵害によって、既に漏えいしていた可能性があるという。

セキュリティーやプライバシーよりも利便性が優先されることが多い

 調査対象となったミレニアル世代の半数以上(51%)が、電話をかけたり実店舗を直接訪れたりするよりも、安全性が低い可能性があるアプリやWebサイトを使って注文しようと考えていたとしている。これらのユーザーは、デジタル注文の利便性のためならセキュリティー上の懸念には目をつぶる可能性がより高いことから、不正を防止するために、サービスを提供する企業にはセキュリティーを確保するための負担がより重くかかることになるという。

 消費者の間ではデジタルでのやりとりを好む傾向が一層高まっており、こうした行動は、遠隔医療からデジタルIDに至るまで、様々な状況における新たなテクノロジーの導入を促進する可能性があるとしている。

消費者はアクセスのしやすさに高い期待を寄せる

 本調査により、現代のサイバーセキュリティーの状況に影響を与え、進化を続けている様々な消費者行動が浮き彫りになったという。消費者が生活のあらゆる場面でデジタルを活用するようになるにつれ、多くの人がアクセスのしやすさや使いやすさに大きな期待を抱くようになっていることが明らかになったとしている

  • 5分ルール:調査によると、半数以上の成人(59%)は、新しいデジタル・アカウントの設定にかける時間は5分未満にしたいと回答
  • 間違いは3回まで:世界中の回答者が共通して、パスワードをリセットする前にログインを3~4回試行すると回答。パスワードのリセットは、企業のコストになるだけでなく、侵害されているメール・アカウントと組み合わせて使用されると、セキュリティー上の脅威になる可能性もあるという
  • 記憶を頼りに:回答者の44%が、オンラインのアカウント情報を記憶に頼って覚えておこうとすると回答しており(これが最も一般的な方法と考えられる)、メモを取ると回答したのは32%だった
  • 多要素認証:パスワードの再利用はますます問題となっているが、リスクの高いトランザクションに対して認証要素を追加することで、アカウントの侵害リスクを軽減できるという。調査によると、世界中の回答者の約2/3が、調査開始前の数週間以内に多要素認証を使用していた

デジタル・ヘルスケアについての詳説

  • 回答者の63%が、何らかの形式のデジタル・チャネル(Web、モバイル・アプリ、電子メール、テキスト・メッセージ)からパンデミック関連のサービス を利用
  • WebサイトやWebアプリがデジタル・エンゲージメントの最も一般的な方法でしたが、モバイル・アプリやテキスト・メッセージの利用も大幅に増加しており、その割合は、モバイル・アプリは39%、テキスト・メッセージは20%となっている

 医療提供者が遠隔医療をさらに推進していくにつれ、ミッションクリティカルなITシステムのオンライン化、患者の機密データ保護、継続的なHIPAAへの準拠など、これらの変化に対応するためのセキュリティー・プロトコルの設計がますます重要になってくるという。そのためには、データのセグメント化や厳格なコントロールの実装によってユーザーが特定のシステムとデータにのみアクセスできるようにするなどの対応が必要であり、こうした対応により、アカウントやデバイスにデータ漏えいの被害があってもその影響は限定的になるとしている。

 また、ランサムウェアや脅迫攻撃に備えて、患者データはできる限り常時暗号化。さらに、システムやデータの中断時間を最小限に抑えて迅速に復元できるように、信頼性の高いバックアップを用意しておくことも必須だという。

デジタル認証の将来の可能性

 デジタル・ヘルス・パスという概念(いわゆるワクチン・パスポート)により、消費者へのデジタル認証の実際の使用事例が拡大。調査によると、世界の成人の65%がデジタル認証の概念を理解していると答えており、デジタル認証が一般的に受け入れられれば採用するだろうと答えた回答者は76%にのぼるとしている。

 パンデミック中にデジタル身分証明書という考え方が広く浸透することで、デジタルIDの最新システムがさらに大規模に採用されるようになる可能性があるという。デジタルIDは、パスポートや運転免許証といった従来の形式のIDが必要となる場面で代わりに使用されることになり、消費者は特定のトランザクションに必要な情報だけを提供できるようになる。

 また、デジタル形式のIDは将来的にも持続可能なモデルとなる可能性を秘めているが、偽造防止のためにセキュリティーやプライバシーの対策を講じる必要があるという。そのためには、ブロックチェーンによるソリューションを活用し、消費者の認証情報が侵害された場合には、それを検証・更新する機能を提供する必要があるとしている。

変化の激しい消費者のセキュリティー状況に組織が対応するには

 パンデミックを経て、消費者とのデジタル・エンゲージメントへの依存度が高くなっている企業は、デジタル・エンゲージメントがサイバーセキュリティーのリスク特性に与える影響を考慮する必要がある。デジタルの利便性に関する消費者の行動や嗜好の変化を考慮し、IBM Securityは、企業が以下のセキュリティー推奨事項を検討することを提案しているという。

ゼロトラスト・アプローチ

 リスクの増加を考えると、企業は「ゼロトラスト」セキュリティー・アプローチへ進むことを検討する必要があるとしている。このアプローチでは、すべてのユーザー、すべてのデバイス、すべてのインタラクションにセキュリティー・コンテキストを行き渡らせるという目標のもと、企業はセキュリティー・データとアプローチを一本化する必要があるという。

顧客、消費者向けID認証および管理(CIAM)の最新化

 デジタル・チャネルを引き続き活用して消費者とエンゲージメントを図りたい企業は、シームレスな認証プロセスを提供することが重要になる。最新のコンシューマー・アイデンティティー・アクセスマネジメント(CIAM)戦略に投資することで、企業はデジタル・エンゲージメントを高めることができるという。つまり、デジタル・プラットフォーム全体で円滑なユーザー体験を提供し、行動分析によってアカウントの不正使用のリスクを低減することが可能になるとしている。

データ保護とプライバシー

 データ侵害が企業にもたらすコストは平均で386万ドルにものぼるという調査結果があり、企業は不正アクセスから保護するため、不審なアクティビティーを検出するデータ監視から、機密データがどこに移動しても有効な暗号化まで、強力なデータ・セキュリティー制御を確実に実施する必要があるという。また、企業は消費者の信頼を維持するために、オンプレミスにもクラウドにも適切なプライバシー・ポリシーを実装することが必要だとしている。

セキュリティーをテストする

 デジタル・プラットフォームの使用状況や依存度が急速に変化している中、企業は従来のセキュリティー戦略やテクノロジーが昨今の新しい環境でもまだ有効であることを検証するため、専用のテストを検討する必要がある。この専用テストの重要な項目には、インシデント対応計画の有効性の再評価と、セキュリティーの脆弱性に対するアプリケーションのテストの2つが挙げられるという。

【関連記事】
IBM、米国連邦政府機関を支援するためのサイバーセキュリティー・センターを設立
日本IBMとSAPジャパン、KDDIのタレントマネジメントシステム構築を支援
東京大学とIBM、量子コンピューター・ハードウェア・テストセンターを開設

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5