- LastPassのCEOカリム・トゥバ氏は、同社が依然として信頼できると考えている
- 2022年のデータ侵害により顧客の信頼は深刻に損なわれた
- 4年の歳月と数百万ドルの投資を経て、その信頼は回復できるのか?
LastPassのCEOカリム・トゥバ氏は、顧客が水に流して再び同社を信頼する時期がついに来たかもしれないと述べている。
悪名高い2022年の侵害以前、LastPassは最高のパスワードマネージャーの一つであり、費用対効果の高い価格設定と優れたセキュリティ機能を誇っていた。
しかし、複数のセキュリティの不備と一連の不運により、LastPassブランドは消費者の信頼に関する教訓となった – では、その信頼を取り戻すために同社は何をしてきたのか?
LastPassの教訓
ZDNetとのインタビューで、トゥバ氏は3年前にTechRadarに語ったのと同じメッセージを強調した。「私たちは複数年にわたる数百万ドルの投資を行い、標準的なセキュリティプログラムで通常期待される範囲を超えました。」
LastPassが行った変更には、従業員を高度にセキュアな会社提供デバイスに制限し、各従業員がダウンロードおよび実行できるアプリを厳格に管理することが含まれる。同社はまた、請求先住所やメールアドレスなど、2022年の侵害で盗まれたのと同じ種類の情報を含む、保存データの暗号化範囲を拡大した。
認証も、再発防止に向けた同社の取り組みにおいて重要な役割を果たしている。YubiKeysは現在、ハードウェアへの不正アクセスを防ぐ中心的存在となっており、これにより、攻撃者がシニアDevOpsエンジニアの個人用コンピュータから取得した認証情報を使用して、盗まれた顧客データバックアップの鍵を保持する内部ボールトにアクセスすることを阻止できたはずである。
「新しく改善されたLastPass、とでも言いましょうか、それは消費者のために行うすべての中心にセキュリティを置くものです」とトゥバ氏は付け加えた。
LastPassは侵害を受けたからこそより安全になったとさえ言えるかもしれない。同社は失敗から学び、トゥバ氏が表現したように、2022年のインシデントを「多くの変更を推進する強制的要因」として活用し、侵害につながった失敗に対処してきた。
もし二度目の不運が襲ったとしたら、LastPassは過去4年間と同じ回復を遂げられるだろうか? おそらく無理だろう。だからこそ、LastPassを可能な限り安全にするための多額の投資が行われているのである。
