原題:MFA implementation and the users you need to reach: overachievers, traditionalists and cautious employees
MFA導入への成功のカギは、プロジェクト開始前にあります。組織が取るべき適切なステップとは?情報システム部門やヘルプデスク業務に関わる方は、ぜひ参考にしていただきたい内容です。
企業や組織でインシデント調査チームによる原因調査が行われた際に、十分な情報を得ていないユーザーが「容疑者リスト」に上ることがあります。ちょっとした不注意や情報の不足が、時にセキュリティホールにつながるからです。コップを落としてしまう、車の鍵をなくしてしまうことと同じように、会社内の誰もが悪気なくセキュリティ上の事故を起こしてしまうことが現実に起こり得ます。サイバーセキュリティを効果的に管理することで、このような災難を軽減することができます。
Yubicoが日々お付き合いをさせて頂いておりますお客様の中には、セキュリティキーの大規模導入に際して、多様なユースケースを想定されているお客様がいらっしゃいますが、ほとんどの場合、何らかの文化的混乱を引き起こしています。物事は段階的に変革していくべきであり、企業は認証インフラを近代化するための適切なステップを踏むことが重要です。組織が取るべき推奨手順のいくつかを以下にご紹介します。
・一部ではなく、すべてのユーザーを把握した上で、リスクの高いユーザーとアカウントに優先順位をつける。
・「なぜこの変更が重要なのか」という質問に、納得してもらえるよう回答を行う。その変更が自分たちの仕事や企業にとっていかに重要であるかを真に理解して貰うことで、変化への対応が進みます。
・業務への組み込みと手順、更に何ができるのかについて説明する。これにより、主要なユースケース以外でも有機的成長(オーガニックグロース)を促すことにも繋がります。
・移行と運用がいかに簡単であるかを学ぶトレーニングセッションを開催し、サポートコールのためのヘルプデスクに対しても適切なトレーニングを行う。
認証インフラを近代化する大仕事を完了すれば、主目的をユーザー導入に移行することができます。ユーザーが納得できるコミュニケーションの計画と戦略的アプローチにより、企業はユーザー導入時の懸念を事前に回避または軽減することができます。つまるところ、セキュリティの導入を簡単にすることが目的となります。私たちは、これまでの経験を生かして、MFA導入のセキュリティを向上させるために組織がケアすべきユーザーをリストアップしました。
スキル保有者
高いスキルを持つことは悪いことではありませんが、ITセキュリティを我流に処理するあまり、時に問題を起こすことがあります。高度な知識をもつ彼等は、必要のない基礎的なITチュートリアルを受けることに不満をもつことでしょう、しかし彼らもまた、要件定義の際に見落とされたかもしれない、企業内の小規模グループの一員です。
もし彼らがヘルプを必要とする事態になっても、ヘルプデスクのレベルでは対応策がありません。
またIT部門に質問メールを送っても、基本的な質問の応酬にイライラするでしょう。
埒が明かなくなると、彼らは自力で問題を解決しようとします。彼らの目からみれば、会社は仕事をするために必要なツールを提供していないのです。そして必要なものを何でもダウンロードすることを正当化してしまいます。
しかし、もしスキル保有者が怪しげなソースから何かをダウンロードし、企業システムに脆弱ポイントを作ってしまったら?あるいは、彼らと会社を守るためのポリシーを無視してしまったらどうなるでしょう?
スキル保有者の安全性を担保する方法
スキル保有者の暴走を生み出してしまうタイミングは、彼らが助けを求めても、ヘルプデスクが手助けできないか、エスカレーションパスが確立されていないときです。これを避けるには、いくつかの方法があります。
・大多数ではなく、全てのユーザーを把握する。
他ユーザーよりも技術的なツールを使用しているようなケースも含め、あらゆるユースケースを考慮する必要があります。
・調達要求に対し、迅速に検討と例外承認を行えるようにする。
彼らから調達要求される技術オプションに強力な認証プロトコルが実装されていることが前提ですが、いくつかのボタンをクリックするだけで彼らの望む結果が得られるのであれば、一線を越えることはないはずです。
・「なぜこの変更が重要なのか」という質問に、納得できる回答を行う。
技術系のユーザーには、業務や企業における重要性を理解してもらうことで、変更への適用が進みます。
・四半期末や休暇の多い時期など、タイミングの悪い時期に大量のマニュアル配布や混乱を来す変更をしないこと。
常識的なことですが、セキュリティチームの仕事は、物事をシームレスにし、業務混乱を最小限に留めることです。
慣例主義者
セキュリティチームからの情報を何も読まない人は、自力で回避策を探すユーザーと同様に問題を引き起こす可能性があります。自分の仕事に直接的な影響がないだろうと考える従業員は、セキュリティトレーニングに参加せず、セキュリティチームからの電子メールも読まず、新しい認証プロセスを学ばない傾向があります。(少なくとも「強制アップグレード」の日までは)。また、セキュリティチームを信頼していなかったり、セキュリティチームと関わることが無駄な時間だと考えていたりする場合もあります。
慣例主義者にアプローチする方法
慣例主義者の動機が何であれ、彼らは組織文化の重要な部分であるため、彼らに適切にアプローチするための確実な計画が必要です。以下にいくつかのアイデアを紹介します。
・部内、課内の意識共有チャンネルを活用し、繰り返し情報を共有することが重要。
何がいつ起こるかの情報が定期的にアップデートされていれば、アップグレードの前に十分な余裕をもって準備したり、疑問を払拭するための機会が与えられます。情報の共有手段としては、セキュリティチームや彼らが面識のない人からメールを送り付けるのではなく、彼らの直属上司を通じて連絡を取るようにしましょう。
部署上司からのメールであれば、未読の可能性は低くなります。また部課内のミーティングにおいて、リーダー層から情報の発信、共有を行うことも、非常に効果的です。
・セキュリティアップデートは、できる限り既存の業務形態に統合する。
慣例主義者は、いつもと同じ道を歩きたいだけなのです。MFAの実装は、必ずしも業務フローにシームレスに組み込むことができるわけではありませんが、乖離を限りなく減らすことで慣例主義者との摩擦を減らすことができます。
慎重派ユーザー
慎重派は慣例主義者とは異なり、セキュリティ部門の要請を無視しませんし、セキュリティのアップグレードが行われることも理解しています。しかし、業務フローに支障が出ることを恐れていたり、以前にヘルプデスクやセキュリティアップグレードで嫌な思いをしたりした経験があり、同じことを繰り返したくないと思っています。彼らは、積極的に行動するよりも「様子を見る」傾向にあるため、普通の従業員に対するよりも少し説得力が必要かもしれません。
慎重派ユーザーにアップグレードを促す方法
・これまで述べてきましたコミュニケーション方法はすべて慎重派ユーザーにも当てはまりますが、業務フローの変更を限りなく目立たないよう実装することが効果的です。
・説明資料は慎重派専用のバージョンを用意する。
慎重派は、業務フローへのセキュリティ実装が面倒くさくなく、その変更によって日常業務が実際に改善されるものであることを理解すれば、アップグレードに同意してくれるでしょう。説明資料には、彼らにとって悪影響がないことを確認するために、どのようなテストが行われたかも含める必要があります。
・スキル保持者の場合と同様に、対面式(またはビデオ通話式)のトレーニングセッションなど、移行がいかに簡単かを理解してもらうための場を用意する。
・すべてがうまくいけば、システムのアップデートに際して、多くの非適用者が発生することはないでしょう。
しかし、まだ自分がアップグレード対象ではないと思いたい慎重派ユーザーが数人いる場合、明示的に彼らの機器やソフトウェアがアップグレードされる終了日と時間があることを通達することが必要です。
一般的にこのような期限を設けると、ユーザーはアップグレードに対して重い腰を上げますが、土壇場でアップグレードするユーザーが殺到することを想定して、ヘルプデスクを準備しておく必要があります。
上記のような作業のほとんどは、導入プロジェクトを開始する前に実施します。多くの場合、セキュリティプロジェクトの成功は、事前に確立されたセキュリティチームへの信頼に依存します。従業員がセキュリティチームに問い合わせしやすい状況にしておく(つまり、従業員がセキュリティチームに直接または電話でコンタクトしたことがある)ことは、困難な移行や業務フローの変更が訪れたときに、大きな役割を果たすことになるのです。
今後、MFA セキュリティへのアップグレード要件に企業の予算がより多く確保されるようになってくると思いますが、導入が大規模になるにつれ、セキュリティチームは、すでに関与しているユーザーだけでなく、すべてのユーザーとつながるための戦略を策定する必要があります。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
