多くの企業では、セキュリティリスク、高額のITコスト、ユーザーの不満の原因となっているパスワードやモバイルベースのソリューションであるレガシー認証に悩まされています。 共有ワークステーションや共有デバイス環境を持つ組織では、これらの問題は更に深刻です。 ヘルスケア、製造、小売、サービス、金融、エネルギー、公共事業、石油・ガス、教育などの業界で一般的に使われている共有ワークステーションでは、実際には最もリスクの高い慣行が適用されているのです。
共有ワークステーション環境で、ユーザーの危険な行動が助長される原因と問題への対応策
まず、ヘルスケア業界から見ていきましょう。 米国国立医学図書館による最近の調査では、医療従事者の73.6%が電子健康記録(EHR)へのアクセスに他のスタッフの認証情報を使用していると報告しています。 研修医の場合は、この割合が100%まで跳ね上がります。インターンや往診医が資格を持っていない場合や権限が不十分な場合もありますが、必ずしもこれが原因とは限りません。
HIPAAの厳格な要件や 高水準のITセキュリティ教育にもかかわらず、ヘルスケア業界のITセキュリティ専門家は、未だにこうしたリスクの高い行為に直面しています。 この理由は、 医療従事者にとって「医療の使命はセキュリティの使命に勝る」ため、おそらくどんな方針や技術的な安全策もこの種の行動を防ぐことはできないからです。 重要なシステムへのアクセスに時間がかかるような手順は、患者の治療の妨げになる可能性があります。
しかし、他の共有ワークステーションや共有デバイスについてはどうでしょうか? 他の業界では、患者の安全性について心配する必要はないでしょうが、安全ではない認証方法に共通していることは、「緊急性」というテーマです。
小売業界はカスタマーエクスペリエンス改革の真っ只中にあります。 販売員はシームレスで合理的なショッピング体験を提供しなければならないというプレッシャーを感じているため、端末やmPOSデバイスにログインしたままでいるなど不用心な習慣が付く可能性が高くなります。 実際、最近の調査では38%の従業員が、パスワード共有は会社の方針であると回答しています(複数の業界を対象としたデータ)。
セキュリティやパスワードのベストプラクティスについて高い知識を持っている組織でも、パスワードの共有は依然として問題になっています。 Yubicoの最近の調査の結果では全従業員の51%がビジネスアカウントにアクセスするために同僚とパスワードを共有していて、その中にはITセキュリティ業界の回答者の49%も含まれています。
製薬、製造、公共事業、石油・ガス業界では、製造端末や 企業システムの認証を行う際に、ユーザーの手袋が邪魔になることがあります。 このような業界では、パスワードの入力や2要素認証(プッシュ型アプリやSMS OTP)を受信するために手袋を外す手間はかけたくありません。 モバイルが制限された環境では、それすらできない場合もあります。 他の業界でも、レガシーシステムでは安全性が高い多要素認証ではなく未だにユーザー名とパスワードを使った方法に依存しています。
上記の業界と同様に、ユーザーの不満や仕事を終わらせる必要性から、認証の回避を促すような状況が生まれています。 同様に、従業員の41%はパスワードを付箋に書き留めています。 共有ワークステーションや共有デバイス環境では、これは単純にリスクを高めます。 悪意のある内部関係者やサイバー攻撃によって認証情報が漏洩するリスク、 放置されたデバイスが悪用されたり、持ち去られたりするリスク、 パスワードの共有や特権データまたは保護されたデータへのアクセスについて、コンプライアンス違反を犯すリスク、 更には共有された認証情報にアクセスするためのフィッシングの試みに不信を抱かずに信じてしまうリスクを増やすことにつながります。
非があるのはユーザーではなくレガシー認証
このような職場環境では、悪意か過失かにかかわらず、インサイダーの脅威が増幅するだけです。 しかし、問題があるのはユーザー、企業文化、ITポリシーではありません。 責められるべきはレガシー認証です。オフィスの共有ワークステーション環境において、ユーザー名とパスワード、またはユーザー名、パスワード、モバイル認証機能の組み合わせでは、迅速かつシームレスな認証という重要なニーズに応えることはできません。
共有ワークステーションにおける認証の課題に対処するためには、これら独自の環境におけるセキュリティ、効率性、信頼性、コスト面での問題と、シンプルで生産性が高く、ポータブルな最先端ソリューションのニーズを十分に理解する必要があります。
———
共有ワークステーションに関する詳細な分析については、弊社ホワイトペーパー「最近のサイバー脅威から共有ワークステーションを保護するために」をご覧ください。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部