IT担当者もパスワード管理がずさん：再利用や共有するIT担当者が5割に及ぶ

NordPassはPonemon Instituteの最近の調査レポートを引用し、一般のユーザーと同様に、IT担当者やITセキュリティ担当者の中にも、パスワードセキュリティ対策の甘い人が高い割合で存在することを指摘した。

[＠IT]

　パスワード管理ツールを提供するNordPassは2021年9月22日（米国時間）に公式ブログで、Ponemon Instituteの最近の調査レポートを引用し、「IT担当者やITセキュリティ担当者は、模範となるパスワードセキュリティ対策を行っているように見えるが、実は一般のユーザーと同様に、対策の甘い人が一定の割合で存在する」と指摘した。

　この調査レポート「The 2020 State of Password and Authentication Security Behaviors Report」は、世界6カ国（米国、英国、ドイツ、フランス、スウェーデン、オーストラリア）のIT担当者とITセキュリティ担当者（以下、IT担当者）と個人ユーザーを対象に、2019年10〜11月に実施されたパスワードセキュリティと認証の現状調査の結果をまとめたものだ（IT担当者の回答数は2507人、個人ユーザーは563人）。

　NordPassが挙げた意外な調査結果の一つは、IT担当者の間でもパスワードの再利用が一般的だったということだ。

　調査レポートによると、IT担当者の50％が仕事関連のアカウントでパスワードを再利用しており、49％はパスワードを同僚と共有している。しかも、NordPassによると、さらに憂慮すべき調査結果がある。それはIT担当者の42％が、自社内では付箋を使ってパスワードを管理していると答えていることだ。

　このレポートには、次のような印象的な結果もある。

・過去2年間に個人データのプライバシーやセキュリティを非常に心配するようになったIT担当者の割合　37％

・アカウントの乗っ取りを経験したIT担当者のうち、パスワード管理やアカウント保護の方法を変更した人の割合　65％

・個人アカウントの保護対策として二要素認証を使用していないIT担当者の割合　60％

Ponemon Instituteによる調査結果の概要　一般ユーザー（左）とIT担当者（右）の結果を比較した。一般ユーザーと比較すると、IT担当者のパスワード対応は必ずしも優れていなかった。上から過去2年間にセキュリティを心配するようになった人の比率、乗っ取り経験にパスワード管理などを変更した人の比率、二要素認証を使っていない比率、パスワードを再利用している人の比率、パスワードを共有している人の比率（出典：Ponemon Institute）

ITとテクノロジー業界のパスワードセキュリティはどうなっているのか

　NordPassは世界のトップ企業でパスワードをどのように扱っているのか、独自調査をしている。Fortune 500企業について17の業種別に調査したものだ。それによると、ITとテクノロジー業界では、使い回しではないパスワードを使用している割合が28％にとどまった。業界別で最も優秀だったのは人材サービス業界で、31％だった。

　ITとテクノロジー業界では、ホスピタリティやヘルスケア、小売り、電子コマースといった業界と同様に、企業アカウントのパスワードに自社名や自社名のバリエーションを使うユーザーが多い傾向にあった。

　その結果、ITとテクノロジー業界でよく使われるパスワードの大部分を攻撃者が推測することが可能であり、ブルートフォース攻撃（総当たり攻撃）に耐えるものではなかったという。

ITとテクノロジー業界でよく使われているパスワード上位20種類　1位は「password」だった（出典：NordPass）

シンプルで効果的なパスワードセキュリティ対策

　NordPassは、サイバー犯罪が増加の一途をたどる中、企業におけるパスワードセキュリティ対策の効率化、簡素化に有効なのは、企業向けのパスワード管理ツールを利用することだと述べている。

　パスワード管理ツールは、ITセキュリティ部門が、パスワード管理に関する従業員の習慣を把握し、パスワードポリシーを全社的に標準化して強制するのに役立つとしている。また、パスワード管理ツールを使って、役割ベースのアクセス制御を実装したり、チーム環境でパスワードを安全に共有したりすることもできるという。