パスワードリセットのコストとSSPRの必要性
パスワードのリセットは、記憶の喪失やセキュリティ上の懸念から、誰にとっても避けられないものです。しかし、このプロセスは組織にとって驚くほどの費用を発生させる可能性があります。そのため、セルフサービスパスワードリセット(SSPR)は単なる「あれば便利」な機能ではなく、不可欠なものとなっています。
Gartnerによると、ヘルプデスクへの電話の40%はパスワードの有効期限切れ、変更、リセットに関連しています。Forresterの試算では、1回のパスワードリセットに70ドルかかるとされており、これらのコストがいかに早く積み重なるかは容易に想像できます。
SSPRによる大幅なコスト削減
SSPRは、ユーザーがヘルプデスクに電話することなく、安全に自身のパスワードを変更できるようにすることで、大幅な経済的節約をもたらします。Specopsの顧客ベースにおける700以上の組織の分析では、同社のuReset SSPRソリューションの平均的なユーザーは、エンドユーザーあたり約136ドルを節約していることが判明しました。これは、金銭的な節約だけでなく、従業員やサービスデスクの時間の節約にもつながります。
簡単に言えば、ユーザーが自分でパスワードをリセットできれば、より早く仕事に戻ることができ、サービスデスクは他の重要な業務に集中できるようになります。
セキュリティの確保が最重要課題
SSPRの導入には課題も伴うため、正しいアプローチでSSPRを導入することが不可欠です。特に、潜在的な詐欺師や犯罪者からシステムを保護するために、テクノロジーが安全であることを確保する必要があります。
例えば、アカウントが侵害されるリスクがあります。パスワードリセットメッセージやセキュリティ設定の変更など、認識できない活動といった微妙な兆候に注意を払う必要があります。悪意のある攻撃者は、SIMスワッピング詐欺を仕掛ける可能性があります。これは、被害者の電話番号を不正なSIMに移植し、SMSベースの二要素認証コードを傍受して、ソーシャルメディアのプロフィールや銀行口座へのアクセスなど、自身の目的のためにパスワードをリセットする手口です。
リスクベースの階層型セキュリティアプローチ
では、その解決策は何でしょうか?安全で効果的なシステムは、リスクに基づいてユーザーを低から高までランク付けし、指定された階層全体にわたって構築されるべきです。英国国家サイバーセキュリティセンター(NCSC)によると、極めて重要な要素には、個人を特定できる情報を含むデータベースの管理者認証情報が含まれる可能性があります。
リスクの低い、しかし依然として重要な階層には、非本番環境の開発サンドボックス用のクラウドサービスコントロールパネルの開発者アカウントが含まれるとNCSCは指摘しています。パスワード回復オプションは、多要素認証(MFA)ツールからサービスデスクの関与まで、リスクレベルに応じてアカウントに適合させる必要があります。同様に、回復コードの発行や定期的な再検証を含む、適切な登録衛生を確保する必要があります。
例えば、Specopsは、Windows Logon、RDP、VPN用のMFAに基づいて構築された別の保護層で、Active Directoryパスワード攻撃に対する防御を強化するのに役立ちます。Verizonのデータ侵害調査レポートによると、盗まれた認証情報が侵害の44.7%に関与しています。
危険を検知するためのアプローチ
危険の検知を強化するために、さまざまなアプローチが取られます。
- レート制限: 特定のユーザーが定義された期間内に行うリクエストの数を制限し、監視するために使用できます。
- 異常な場所からのリセット: ユーザーが異常な場所、あるいは短期間に遠く離れた2つの場所からログインしているように見える場合、これはアカウントとパスワードが侵害されている可能性を示唆している可能性があります。
- IP/デバイスの評判チェック: デバイスやウェブサイトの履歴を評価することで、潜在的なリスクからシステムを保護するのに役立ちます。例えば、SpecopsのExternal Attack Surface Management(EASM)は、メールサーバーの評判チェックを実行できます。
- 監査証跡: 特定のアカウントやプラットフォームの履歴を監視することで、ユーザーは潜在的な問題を特定できます。これはSOCレビューにつながる可能性があります。
ユーザーエクスペリエンスの重要性
もちろん、ユーザーエクスペリエンスを考慮することは非常に重要です。プログレッシブプロファイリングを使用することで、摩擦を最小限に抑え、関連データと情報の収集を可能な限り苦痛なく行うことができます。また、正当なユーザーがアクセスを拒否される可能性のあるすべてのインスタンスを把握できるように、誤った拒否に関するテレメトリーを構築することもできます。
A/Bテスト計画は、チケット削減と不正なリセットを測定するのに役立ち、セキュリティを真に強化しながらスタッフの時間を節約しているという証拠を提供します。
Specops uResetの利点
Specops uResetは、SSPRの利点をユーザーに提供し、パスワードリセットに伴う手間を省きながらセキュリティを強化するように設計されています。ユーザーは、あらゆる場所、デバイス、ブラウザからEntra IDまたはActive Directoryのパスワードを安全にリセットでき、リモートおよびハイブリッドチームに最適です。
このシステムは、ユーザーとITチームの双方にとって使いやすいように設計されており、管理者はユーザーを自動的に登録でき、uResetのレポートツールは登録プロセスに関する最新情報を提供します。First Day Passwordアドオンにより、ITスタッフは新入社員と初日パスワードを共有する必要がなくなります。
重要なことに、このツールはMFAと、ユーザーの身元が確認されるまでスタッフがパスワードをリセットできないようにするエンドユーザー検証ステップに基づいて、ビジネス全体のセキュリティを構築するのに役立ちます。
パスワードリセットは費用がかかるだけでなく、おそらくそれ以上に、スタッフの貴重な時間を浪費する可能性があります。適切なSSPRツールを使用することで、スムーズで安全かつ効率的なプロセスを実現できます。