多要素認証(MFA)を有効にすることは、エンドユーザーのネットワークアクセスを保護するために実行できる最善の手順の1つです。 ログインセキュリティの低下による脅威は、すべての企業を侵害やコンプライアンス違反のリスクにさらしています。
ただし、調査によると、MFAソリューションは広く採用されておらず、管理にコスト、複雑、時間がかかると考えられているためと考えられます。 さらに、MFAの恩恵を受けるには、企業が特定の規模である必要があるという一般的な誤解が存在します。
業にとっても重要なセキュリティイニシアチブであり、アカウントを保護するための最も簡単で簡単な方法の1つです。
会社の規模に関係なく、MFA展開を成功させるための準備をする際に覚えておくべき6つの重要なポイントは次のとおりです。
1. ログインを保護すると、セキュリティ構造が大幅に向上します
- 認証は(ほぼ)あらゆる種類の攻撃の中核です
- 誤検知を制限します
- 実際に攻撃を止めることができます
リモートセッションを使用して、PowerShellを介して、ドライブのマッピングを利用して、またはコンソールでローカルにログインすることによって達成されるかどうかにかかわらず、ネットワークでは、ユーザーがあらゆる種類のアクセスを許可される前に自分自身を認証する必要があります。
セキュリティソリューションの恐ろしい部分は、誤検知であることが判明するアラートの嵐の可能性です。 非常に多くのユーザーがログインしているため、ほぼいつでも、ITが介入するときだけでなく、攻撃の可能性を確実に把握し、被害が発生する前にアクションを実行するソリューションをITに導入することが重要です。
市場に出回っているほぼすべてのセキュリティソリューションは、攻撃を阻止すると言っています。 ここで注意してください。ソリューションはITに脅威の可能性を警告するだけですか、それとも実際に行動を起こして攻撃を止めますか?
2. IT部門のため、MFAを複雑にしないでください
IT部門は、セットアップと管理が複雑で時間がかかることが判明した場合、MFAをすぐに却下します。 調査によると、中小規模の組織の62%がMFAをしようしていません。
2015年の私たち自身の調査でも、MFAソリューションは広く採用されておらず、回答者の62%がネットワーク資格情報の侵害を防ぐためにMFAを使用していないことが示されました。
ただし、MFAセキュリティで苦労する必要はありません:
- トークンなどの追加のハードウェアやソフトウェアを必要とせずに、すべてのユーザーに簡単に展開できるソリューションに焦点を当てます。
- 既存のITインフラストラクチャ(およびその投資)と連携して機能するソリューションを選択します。このソリューションは、各ワークステーションに移動して展開する必要がなく、複雑なコードやカスタマイズされたコードも必要なく、シームレスにインストールできます。
- 最も重要なことは、管理が容易で、管理者がエンドユーザーの問題に迅速に対応でき、会社に合わせて拡張できるMFAソリューションを選択することです。
3. MFAはユーザーのセキュリティとユーザーの生産性のバランスをとる必要があります
組織は、エンドユーザーを妨害していると信じる場合、MFAセキュリティ管理策を認可しません。 ビジネスの観点からは、セキュリティ手順は、組織全体を支援および保護するためのものであり、従業員の生産性、そして最終的にはビジネスの収益性を妨げるものではありません。
- 毎回ユーザーにMFAの入力を求めることは避けてください。 セキュリティとユーザーの生産性のバランスをとるMFAが必要な状況と頻度を選択します。
- ユーザーにとって簡単で直感的なものにします。 たとえば、スマートフォン認証アプリケーションは安全性が高く、使いやすく、どこでも(オフラインでも)使用できます。
- ユーザーに対して透過的なコンテキストアクセス要素(場所、時刻、同時接続数など)より制御することで、より多くの「MFAを使用しなくて済む状況」を提供することに自信を持ってください。
4. MFAをサポートするようユーザーを教育し、権限を与えます
仕事以外では、ほとんどの人は二要素認証のオプションを無視します。 Googleアカウントの10%未満のみで二要素認証が有効になっており、アメリカ人の約12%だけがパスワードマネージャーを使用しています。
二要素認証の真のセキュリティメリットについての認識は残っており、ユーザーが自分のデバイスに任せた場合、ユーザーは利便性のためにセキュリティを犠牲にしても大丈夫でしょう。
しかし、情報に通じた従業員は、重要かつ追加の防衛線として機能することができます。
- エンドユーザー自身の資格情報が使用されたときに(成功したかどうかにかかわらず)エンドユーザーに警告することは、エンドユーザー自身の不注意なユーザーアクティビティを強調するのに役立ちます。
- オーダーメイドのメッセージとログインアラートによる通知は、悪意のあることを考えている可能性のある従業員を思いとどまらせます。
- アラートは、ユーザーが自分の信頼できるアクセスに責任を持つことを可能にし、疑わしいログインアクティビティを自分で評価するように促します。
5. MFAは特権ユーザーだけのものではありません
MFAは、Windowsローカル管理者アカウント、ドメイン管理者アカウント、Active Directoryサービスアカウント、およびネットワーク環境の大部分を支配するあらゆるアカウントなど、最も特権のあるアカウントを保護するために主に使用されていると見なされる場合があります。 これは確かに、特権アカウントの使用を制限して対応するITの能力を強化します。
ただし、重要なデータ、アプリケーション、システムにアクセスできるアカウントを保護するために使用すると、真の価値が実現します。 たとえば、営業責任者のユーザーアカウントは特に「特権」があるようには見えませんが、顧客データベースへの完全なアクセス権はあります。
6. 経営陣のコミットメントと賛同を得ます
MFAの使用は、IT部門だけが気にすることの1つです。多くの組織では、上級管理職がITセキュリティの問題に十分な注意を払っていないことを私たちは知っています。トップダウンで適切に実施するために、ITセキュリティが会社の安全を維持する以上のことを経営陣に思い出させてください。
- セキュリティの向上は、顧客やサプライチェーンとの信頼関係を築くのに役立ちます
セキュリティの認識は、顧客がどの企業と取引することを選択するかについての顧客の決定において大きな部分になり始めています。セキュリティをどれだけ真剣に受け止めているかを示すことができれば、新しい取引に勝つことができます。 - セキュリティの向上により、競争力を維持できます
今日、どの企業も新しいテクノロジーをすばやく採用して、新しい機能を獲得したり、効率を向上させたり、コストを削減したりできます。しかし、効果的なITセキュリティソリューションを持たない企業は、新しいテクノロジーを採用するのが難しく、より機敏な競合他社に遅れをとる可能性があります。 ITセキュリティは、歓迎されないコストとしてではなく、ビジネスソリューションを実現するものと見なされるべきです。