エンタープライズパスワードマネージャー、またはパスワードボルトは、企業がパスワードに関して議論し、社員にとっての使い易さを確保しながらセキュリティの高いものにしようとする際に、しばしば最初のステップとなります。しかし、エンタープライズパスワードマネージャーが、すべて同じものであるわけではありません。以下は、このようなツールならどれでも備えている特徴、そして一部のツールにしかない、お客様のビジネスに必要であるかもしれない、追加の特長です。
市場にある、どの主要なエンタープライズパスワードマネージャーも、ユーザーパスワードを大抵はクラウドにある、セキュリティの高いパスワードデータベースに保存するという基本タスクを行います。高品質なパスワードマネージャーは、AES-256 のような暗号を使用して、データをセキュアに暗号化します。このようなツールのほとんどは、内蔵ランダムパスワードジェネレーターを備え、セキュリティの高いパスワードの作成を容易にします。
ビジネスパスワードボルトを選定する場合、デバイス間にまたがる社員のアクセス、それにそれらをまたがる同期をサポートするツールを確実に選択することを、お客様は望むでしょう。それは、社員は一般的に電話、それに業務用機器を使用し、そして個人のノート PC も使用するかもしれないからです。優れたエンタープライズパスワードマネージャーは、すべての一般的ブラウザーやモバイルオペレーティングシステムをサポートします。
それでは、追加機能です。
パスワードマネージャーに求められる 2 つのことは、自動パスワードリセットと、ツールを通してパスワードルールを強要する機能です。両方ともセキュリティに役立ちますが、一方で IT 部門や社内のヘルプデスクの負担も軽くします。
セキュリティには、エンタープライズパスワードマネージャーが 2 要素、または多要素認証をサポートすることが重要です。パスワードマネージャーは、パスワードのセキュリティを改善する、適切な最初のステップです。しかし、それだけで十分であることは稀です。パスワードマネージャーはハッキングに遭ってきましたが、さまざまなタイプの攻撃は、今でも入力されるパスワードを傍受し、捕捉することが可能です。エンタープライズパスワードボルトが、確実に MFA ソリューションと協調し (または MFA を含み)、ユーザーがログインする際に、ユーザーが、電話アプリからの暗証番号、指紋、顔認識などの追加認証要素を提示することを要求するようにしてください。
エンタープライズパスワードマネージャーが機能するためには、社員がそれを使う必要があります。社員が使うには、簡単でなければなりません。次のような機能を見てみましょう。
エンタープライズパスワードマネージャーは、いくつかの基本レポートを提供するかもしれませんが、PCI や SOX のような基準へのコンプライアンスのために必要な監査ツールの類を提供することは稀です。それらは、また、攻撃の試みを識別するために必要な情報ももたらしません。
エンタープライズパスワードマネージャーは、Active Directory などのディレクトリとの基本同期しか提供しません。ロール、ロケーションなどに基づき、きめ細かいパーミッションによるセキュリティポリシーの実装を求める場合は、パスワードマネージャーではなく、真のシングルサインオン (SSO) システムが必要です。同様に、Active Directory、Workday、または他のディレクトリ—または、多くの組織に見られる複数のディレクトリ—を通してオンボードやオフボードをする場合、パスワードマネージャーではほぼ手に負えないことが明らかになり、単なるメンテナンスが必要なだけのシステムになってしまいます。
適切なエンタープライズパスワードマネージャーは、お客様の会社のセキュリティを高める、適切な最初のステップとなることができます。しかし、パスワードのセキュリティを維持し、社員を満足させるには、おそらくは SSO ソリューションへの移行が望ましいです。そのことにより、ユーザーは、1 回だけログインし、後は作業するすべての Web サイトやアプリ—クラウドベースでもオンプレミスでも—に、再ログインする必要なく簡単にアクセスできます。すなわち、純粋に 1 つのパスワードのみを使用します。そして、SSO ソリューションは、ご使用のディレクトリと統合され、そもそも Active Directory のようなディレクトリを使用する目的である、きめ細かいパーミッションと管理を提供します。
ですから、エンタープライズパスワードマネージャーは、より高いセキュリティのための道筋の第 1 ステップと考えてください。ただし、それが最終となることは期待できません。