全員がオフィスで働いていた頃、パスワードリセットは面倒ではあるものの対処可能でした。誰かが認証情報を忘れても、廊下を歩いてIT部門に行けば、数分で仕事に戻れました。やり取りは短く、解決は即時で、日常はそのまま続きました。
しかし、ハイブリッドワークがそれを変えました。今では、従業員がアカウントにアクセスできなくなると、自宅やカフェにいて、ITがチケット対応するまで仕事ができません。
ヘルプデスクはただ席まで行ってトラブルシュートするわけにはいきません。都市部に散在する人々、異なるタイムゾーン、そして接続品質がまちまちな自宅ネットワークからの問い合わせに対応しているのです。
かつては小さな中断だったものが、生産性を蝕む要因となり、多くの組織が想像する以上のコストを生んでいます。
ハイブリッドワークがActive Directoryのパスワードリセット問題を増やした仕組み
分散型の働き方への移行は、元に戻るのを待つ一時的なトレンドではありません。2022年以降、勤務場所の傾向は驚くほど安定しています。現在、リモート勤務が可能な米国の従業員の51%がハイブリッドモデルで働いており、ハイブリッド勤務者は週平均2.3日をオフィスで過ごしています。
これが新しい常態であり、この変化に伴う運用上の課題は、多くのITチームにとって不意打ちでした。
Gartnerによれば、パスワードリセットはすでにヘルプデスクへの問い合わせの40%を占めていましたが、分散型の勤務環境ではさらに悪化しています。理由は、人々が突然忘れっぽくなったからではありません。技術的な状況が変わったのです。
キャッシュされた資格情報とリモート接続がアカウントロックアウトを引き起こす
リモート従業員は、ノートPCにキャッシュされた資格情報が、企業ネットワークに継続的に接続されていないと古くなってしまうため、ロックアウトが増える傾向があります。
たとえば、従業員がVPN(仮想プライベートネットワーク)経由で接続している間にパスワードを変更し、翌朝、ローカル端末上のキャッシュされた資格情報を使ってログインしようとすることがあります。
その結果、ヘルプデスクへの連絡が必要なロックアウトが発生します。複数の場所やデバイスで働く従業員は、どのパスワードがどのアカウントに対応しているかを忘れやすく、特に普段の作業環境ではなく、慣れたログイン手順が通用しない状況ではなおさらです。
セキュリティポリシーがリモートユーザーのパスワードリセット頻度を増やす
セキュリティ上の懸念により、ITチームはリモートアクセスに対して、より頻繁なパスワード変更を義務付けざるを得なくなっています。
CISO(最高情報セキュリティ責任者)の約半数がハイブリッドおよびリモート従業員を主要なセキュリティリスクとして挙げており、多くはパスワードのローテーション要件を強化することで対応しています。しかし、変更を義務付けるたびに、新しい資格情報を忘れたり、すべてのデバイスで更新し損ねたりする機会が増えます。
ITヘルプデスクにとってのパスワードリセットの本当のコスト
Forresterの推計では、パスワードリセット1件あたりのITの時間・リソースコストは70ドルです。しかも、いまだに手作業で対応している組織では、これがすぐに膨れ上がります。
Specopsのセルフサービス型パスワードリセットツールを利用する700以上の組織からの最新データによると、平均的な企業は年間923件のパスワードリセットを処理しています。1件70ドルなら、年間のリセットコストは約65,000ドルになります。
しかし、ヘルプデスクのコストは問題の見える部分にすぎません。隠れた費用は、ITの対応を待つ間に仕事ができない従業員側にのしかかります。
たとえば、火曜日の午前9時に誰かがロックアウトされた場合を考えてみてください。チケットを提出して待つことになります。運が良ければITが20分で対応するかもしれません。あるいはヘルプデスクが立て込んでいれば、2時間かかることもあります。その間、従業員は会議に参加できず、ファイルにアクセスできず、意見を必要とする同僚の作業を止めてしまう可能性もあります。
その失われた生産性はIT予算のレポートには表れませんが、実際には確実にお金が流出しています。
さらに、頻繁にパスワードをリセットする従業員を考慮すると、計算はもっと悪化します。Specopsがパスワードリセットデータを分析したところ、たった10人が1年間で5,703件のリセットを発生させていました。
慢性的な技術的問題を抱えているか、ひどいパスワード習慣が身についてしまっているこうした例外的なユーザーは、すべてのリセットがヘルプデスク経由で処理される場合、1人あたり年間で数千ドルのコストを組織にもたらし得ます。
リモートワーカー1人あたりのリセット増加を正確に定量化した研究はないものの、ハイブリッドワークが主要モデルとして定着していること、CISOがリモートワーカーをセキュリティリスクと見なしていること、そしてITチームがVPNやパスワード関連のチケットに「殺到」していると報告していることが見て取れます。この傾向は、両者の関連を示唆しています。
ハイブリッドなActive Directory環境でセルフサービスのパスワードリセットが不可欠な理由
解決策は、2019年に戻るためのタイムマシンを作ることではありません。ハイブリッドワークはなくならず、それに伴う技術的課題もなくなりません。対処法は、日常的なパスワード問題について、ヘルプデスクを方程式から外すことです。
セルフサービスのパスワードリセットツールを使えば、従業員はITの介入を待たずに、安全に自分で資格情報をリセットし、アカウントのロック解除も行えます。この技術は、SMSコード、認証アプリ、または秘密の質問などの方法で本人確認を行います。
確認が取れれば、ユーザーは新しいパスワードを作成でき、それがデバイス間で即座に同期され、ローカル端末上のキャッシュされた資格情報の更新も含まれます。
ハイブリッド組織にとって、これにより最大の不満が解消されます。つまり、リモートで働いている最中に従業員がロックアウトされ、助けを待つ間に何時間もの生産性を失うという状況です。
また、ヘルプデスク担当者はパスワードリセットに時間を費やすのではなく、本当に専門知識が必要な問題に集中できるようになります。
これらのソリューションを導入した組織では、測定可能な成果が出ています。データによれば、企業はリセットだけで年間平均65,000ドルを節約し、さらにアカウントロック解除で48,000ドルを節約しています。さらに重要なのは、従業員が何時間もではなく、数分で仕事に戻れることです。
セルフサービス型のActive Directoryパスワードリセットツールで確認すべきポイント
すべてのセルフサービスソリューションが、ハイブリッドワークの課題に同じように対応できるわけではありません。リモートユーザー向けのキャッシュ資格情報の更新に明確に対応し、既存のActive Directory基盤と統合できるツールを選びましょう。
Specops uResetのようなソリューションは、まさにこの問題のために設計されており、企業ネットワーク上にいる場合でも、どこからでも作業している場合でも、パスワード変更がすべてのデバイスに適切に反映されることを確保しながら、安全なセルフサービスを可能にします。
パスワードリセット事案の急増は収まっていません。問題は、貴社がこれをハイブリッドワークの避けられないコストとして扱い続けるのか、それとも解決可能な課題として扱い始めるのか、という点です。
