Password policies

組織は、サイバー脅威から身を守るために時間と資金を投入しているため、サイバーセキュリティへの投資がどの程度成果を上げているかを測定することが極めて重要である。

パスワード・ポリシーを考えてみよう。どの組織にも1つはあり(Active Directoryの標準設定であっても)、さらにパスワード管理ソフトウェアを導入しているかもしれない。

しかし、パスワード・セキュリティに関する具体的な指標を測定していないのであれば、その戦略がプラスの効果をもたらしているかどうかをどうやって知ることができるでしょうか?

その1つの方法は、パスワード・ポリシーをより広範なサイバーセキュリティKPIと整合させることです。

この記事では、具体的な指標を追跡して、パスワードポリシーがサイバーセキュリティの目標全体に実際にプラスの影響を与えているかどうかを確認できる4つの分野を取り上げます。

また、Active Directoryに潜む脆弱性を発見するための無料ツールもご紹介します。

なぜKPIでパスワードポリシーを評価するのか?

パスワードポリシーをより広範なサイバーセキュリティKPIと整合させることで、投資の価値を証明することができます。このデータにより、ITチームはパスワード・セキュリティ・ポリシーの成否をよりよく理解し、改善が必要な領域を特定することができます。

結局のところ、強力なパスワード・ポリシーの要点は、アクセス・セキュリティを強化し、潜在的なデータ侵害を減らすことです。

セキュリティ・ポリシーの有効性を監視することで、関係者や経営陣に取り組みの成果を示すことができます。また、Active Directoryのセキュリティ体制をより深く理解し、不足している部分があれば、ネットワークの安全を守るために必要な変更を加えることができます。

パスワードKPIのトラッキング

強固なパスワードポリシーを持つことは、ネットワークを保護する上で重要です。以下のKPIに照らしてポリシーの有効性を測定することで、損害が発生する前に潜在的な問題を特定し、修正することができます。

規制コンプライアンス

米国標準技術局(NIST)のパスワード標準などのフレームワークは、安全なパスワードを作成し、最小限の複雑さの要件を設定するための要件を定義しています。

この分野での成功を測定するために、ITチームは、推奨される認証プロトコルに沿っているかどうかを確認するために、コモンズ標準に準拠しているかどうかを定期的にチェックする必要があります。

脆弱なパスワードのチェック

ユーザが脆弱なパスワードを作成しないようにすることが、パスワードポリシーの主な目的です。

監査ツールを使ってActive Directoryを定期的にスキャンすることで、パスワードがない、パスワードの有効期限が切れている、または他のユーザと同じパスワードのエンドユーザアカウントが減少または完全になくなることが確認できるはずです。

最良のパスワードポリシーは、一般的に使用される基本用語、キーボードウォーク、特定のビジネスや業界に関連するカスタム基本用語もブロックする必要があります。

漏洩したパスワードのスキャン

エンドユーザーが個人デバイスやセキュリティの弱いウェブサイトでパスワードを再利用した場合、強力なパスワードであっても漏洩する可能性があることを覚えておくことが重要です。

ActiveDirectory内のパスワードが漏洩していないか定期的にスキャンすることで、潜在的な攻撃経路を遮断することができます。

ユーザによるパスワードリセット要求

ユーザがパスワードをリセットする頻度を追跡することで、セキュリティシステムの弱点や認証プロトコルの不具合を特定することができます。

リクエスト数が多い場合、ユーザがパスワードを頻繁に忘れているか、悪意を持ってパスワードをリセットしようとしている可能性があります。ログインの失敗やリセットの試行が突然急増した場合は、サイバー攻撃のシグナルである可能性があります。

特権アカウントの監視

特権アカウントのセキュリティは、あらゆる組織のセキュリティ態勢にとって不可欠です。ITチームは、これらのアカウントに関するパスワード・ポリシーの強度を測定することが不可欠です。

そのためには、特権のエスカレーション・インシデント、特権のレビュー・サイクル時間、および特権の失効時間という3つの重要業績評価指標(KPI)を追跡することができます。

ご自身の組織が上記に関してどのような状況であるかを知りたいとお考えですか?無料の読み取り専用Active Directory監査ツールであるSpecops Password Auditorで、これらすべてをチェックしてください。

多要素認証(MFA)は効果的ですか?

MFAは、セキュアなパスワードポリシーに不可欠な要素であり、システムにログインする際に2つ以上の証拠の提示をユーザーに要求することで、セキュリティの追加レイヤーを提供します。ITチームは、MFAポリシーの有効性を測定する必要があります。ここでは、ITチームが従うべき3つのKPIを提案する:

導入率:この指標は、システムにログインする際にMFAを使用しているユーザーの数を追跡します。MFAが不正アクセスの試行から保護するために効果的であるためには、すべてのユーザーがMFAを使用していることが重要です。普及率が低いということは、ユーザーがMFAなどの特別なセキュリティ対策でアカウントを保護することの重要性を認識していない可能性を示唆している。

認証成功/失敗率:ユーザーがMFAによる認証に成功する頻度と、誤ったコードや認証情報の忘れによって認証に失敗する頻度を追跡する。失敗率が高い場合は、MFAを使用することの重要性に対するユーザーの認識不足、または複数の認証情報を記憶することの難しさを示している可能性があります。

バイパス率:攻撃者がパスワードを推測したり、脆弱性を悪用したりしてMFAをバイパスできる頻度。バイパス率が高いということは、攻撃者がセキュリティ対策を回避する方法を見つけたということです。

今すぐパスワードの脆弱性のスナップショットを取得する

Specops Password Auditorは、ITチームが組織のActive Directoryのパスワード脆弱性をプロアクティブに特定するのに役立つ無料の読み取り専用監査ツールです。

ダイナミックレポートは、規制コンプライアンス、脆弱なパスワード/漏洩パスワード、特権アカウントのアクティビティなどのKPIに関する貴重な洞察を提供し、既存のプロトコルを改善するための指針となります。

Active Directoryのパスワードポリシーを強化する必要がありますか?Specopsパスワードポリシーで30日間無料でできる方法をご覧ください。

Specops Softwareがスポンサーとなり、執筆しました。