好きか嫌いかに関わらず、パスワードはすぐにはなくなりません。多くの組織がパスワードレス認証を模索していますが、パスワードは依然として多くの公開オンラインサービスの主要な防御手段として機能しています。
とはいえ、パスワードには重い管理負担が伴います。ガートナーは、全サービスデスクのコールの40%が、期限切れ、変更、リセットなどのパスワード問題に関連していると推定しています。これらの問題の一部(忘れたパスワード、定期的な期限切れ、セキュリティ駆動の更新など)は避けられませんが、それでも貴重な時間とリソースを消費します。
フォレスターは、各リセットのコストを約70ドルと見積もっており、これはすぐに積み重なります。これらの数字を考えると、セルフサービスパスワードリセットソリューションの導入は非常に魅力的です。ユーザーが自分でリセットを処理できるようにすることで、組織はヘルプデスクの負担を軽減し、コストを削減しながらセキュリティを損なうことなく対応できます。
セルフサービスパスワードリセットについて
セルフサービスパスワードリセット(SSPR)は、ITサポートを介さずにユーザーが自分のパスワードを安全にリセットできるようにします。ユーザーがこれらのルーチンでありながら重要なタスクを独立して処理できるようにすることで、SSPRはヘルプデスクのチケット量を大幅に削減し、コストを削減し、生産性を向上させ、ユーザーが迅速にアクセスを回復したり、定期的なパスフレーズの更新を行ったりできるようにします。
SSPRを使用すると、手動のITヘルプデスクの介入なしにこれをすべて実現できます。そして、その利益はドル単位で測定可能です。2022年には、平均的な組織がセルフサービスパスワードリセットで65Kドルを節約しました。
コアセキュリティの考慮事項
SSPRのコアでは、パスワード回復の責任をITからエンドユーザーに移します。このため、セキュリティチームは、SSPRソリューションを実装する際に、強力な身元確認手段を含めるなど、適切なセキュリティの考慮事項を優先する必要があります。
適切な保護策がない場合、SSPRは攻撃者が弱いリセットプロセスを悪用してユーザーアカウントに不正アクセスするための魅力的なターゲットになる可能性があります。
安全なSSPRプロセスは、フィッシングやプロンプトボンビングのような一般的な攻撃ベクトルに耐性のある身元確認方法に依存する必要があります。
たとえば、認証アプリやハードウェアトークンの使用は、SMSメッセージやセキュリティ質問のような従来の方法よりもはるかに高い保証レベルを提供します。これらは簡単に傍受されたり推測されたりする可能性があります。
組織は、フィッシング耐性技術を組み込んだ多要素認証(MFA)を優先して、パスワードリセットアクションを許可する前にユーザーを検証する必要があります。
検証プロセスを強化することで、組織はセキュリティフレームワークに新たな脆弱性を導入することなく、SSPRの利点を実現できます。
リモートアクセスユーザー向けのSSPR
リモートおよびオフVPNユーザーをサポートすることは、効果的なSSPRソリューションの重要な側面です。ユーザーが企業ネットワークの外にいる場合(自宅での作業、旅行中、個人デバイスの使用など)、ヘルプデスクの介入に頼らずにアカウントへのアクセスを回復できる必要があります。
これにより、リモートアクセスユーザーをサポートするためのWebベースのSSPRポータルが不可欠です。
従来のオンプレミス専用ソリューションとは異なり、クラウドアクセス可能なポータルは、ユーザーが物理的な場所や組織のVPNへの接続を開始する場所に関係なく、どこからでもパスワードリセットを開始できることを保証します。
アクセス性とセキュリティの両方を維持するために、SSPRポータルは事前登録されたMFA方法による身元確認を要求する必要があります。これには、認証アプリ、ハードウェアキー、または生体認証オプションが含まれる可能性があり、SMSやメールリンクのような安全でない方法よりも強力な保護を提供します。
ユーザーがどこからでも安全に認証し、パスワードをリセットできるようにすることで、組織はサポートの負担を軽減するだけでなく、従業員がどこで働いていても生産的で安全であることを保証することで、ビジネスの継続性を向上させます。
ソーシャルエンジニアリングリスクの軽減
SSPRソリューションを実装しようとしているセキュリティチームは、ソーシャルエンジニアリング攻撃のリスクを最小限に抑えるための積極的な手段を講じるべきです。たとえば、従来のチャレンジレスポンス質問(例:「お母さんの旧姓は?」)は、フィッシングや公に利用可能なデータを通じて簡単に回避されます。
代わりに、組織は最近のユーザー活動やコンテキストデータ(最後にアクセスしたファイル、最近のログイン履歴、既知の使用パターンなど)を参照する動的チャレンジレスポンスメカニズムを実装するべきです。
これらのコンテキストに基づくプロンプトは、要求される情報が時間に敏感で個別化されているため、攻撃者が正当なユーザーになりすますことを著しく困難にします。
よりスマートなチャレンジレスポンスプロンプトに加えて、セキュリティチームはSSPRワークフローにリスクベースの認証を統合して、疑わしい行動を検出しブロックすることができます。地理位置情報分析、デバイスフィンガープリンティング、ログイン速度チェックなどの技術は、見慣れない場所やデバイスからの異常なリセット試行をフラグ付けすることができます。
リセット要求がユーザーがこれまでにログインしたことのない国から来ている場合や、そのプロファイルに関連付けられていない新しいブラウザからのものである場合、システムは追加の検証を促すか、要求を完全に拒否することができます。
インテリジェントな検出とコンテキスト認証を重ねることで、組織はSSPRの利便性を損なうことなく、ソーシャルエンジニアリング攻撃のリスクを軽減できます。
SSPR採用時のベストプラクティス
- SSPRを実装する際、セキュリティチームはユーザーエクスペリエンスも優先すべきです。ユーザーの摩擦が高いと、SSPRソリューションの採用が成功せず、その長期的な価値を実現できなくなる可能性があります。使いにくいまたは混乱を招くリセットプロセスは、ユーザーを苛立たせ、サポート要求を繰り返す結果となり、セルフサービスの目的を最終的に損ないます。
- 採用を促進し放棄を最小限に抑えるために、組織はリセットフローを明確かつ簡潔に設計するべきです。これには、ステップバイステップの指示、インラインのヒント、ビジュアルエイド(例:パスワード強度メーター)を使用して、ユーザーが自信を持って正しくプロセスを進めることが含まれます。
- リセット体験中の摩擦を減らすことも、エラー率を下げ、ユーザーが最初の試みでプロセスを完了することを保証します。たとえば、パスワード要件に関するリアルタイムのフィードバックを提供したり、一般的なミスをフラグ付けしたりすることで、提出の失敗や再入力の問題を防ぐことができます。SSPR体験が直感的でサポート的であればあるほど、ユーザーはそれを受け入れる可能性が高くなります。
要するに、SSPRソリューションはITチームの負担を軽減し、組織全体のセキュリティ体制を改善しますが、その効果はコア機能だけに依存するものではありません。スムーズで直感的なユーザーエクスペリエンスは、採用と長期的な成功にとって重要です。
Specops uResetのようなソリューションはこれを念頭に置いて構築されており、Active Directoryとシームレスに統合し、カスタマイズ可能な検証フローをサポートします。Specops uResetは、キャッシュされた資格情報を更新し、詳細な監査ログを提供し、VPNを必要としません。
今日、ライブデモを予約しましょう。
Specops Softwareによって提供され、執筆されました。