クレデンシャルに関して、手抜きは禁物

本日のエピソードでは、ヒューストンにあるケルシー・セイボルド・クリニックのCISO、マーティン・リットマンが再び登場し、クレデンシャルについて語る。クレデンシャルを作成し、保護するためのシステムは不可欠である。これらのシステムについての彼の意見を聞いてみよう。

資格証明書

マーティンはクレデンシャルを定義するものを正確に概説する。クレデンシャルとは、アカウントにログインするために作成されるユーザー名とパスワードのことである。マーティンが判断しようとしている一つの疑問は、アカウントを使っている人が認証されている人かどうかをどうやって知るのか、ということだ。

彼はその見極め方を教えてくれた。以前は、テクノロジーが十分に発達する前は、信頼に大きく依存していた。現在では、テクノロジーを使ってアカウントの活動が正常か異常かを識別することが非常に重要になっている。ログインの場所を利用することは非常に重要です。人々の活動を相関させ、それが異常かどうかを判断することは、異常な活動を特定し、フラグを立てる良い方法である。

リスク管理

これをリスク管理にどう反映させるか。不審な傾向に気づいたら、ユーザーが身元を認証するために答えなければならない新しい課題を導入する。脅威と単なる悪質なITとを見分ける方法を学びましょう。

正常な行動とは、アクセスした時間、アクセスした期間、アクセスした場所である。これを使って正常な行動を特定し、リスクを評価する。

頻繁な質問

セキュリティ担当者は分析ツールを利用できるため、豊富な情報を持っている。彼らは侵害を判断する手助けをすることができる。そのため、彼らには多くの質問が寄せられる。彼らがすべてにアクセスできるわけではないが、セキュリティ担当者がアクセスする情報は多い。社内の他のメンバーは、その情報を使って生産性を判断することができる。

アドバイスとしては、決めつけずに事実を提示すること。

マーティンのアカウント保護へのステップ

アカウントを作成する基準はあるか？プロセスが自動化されている場合、上書きは不可能か？パスワードの長さと強さのプロセスはどうなっているか？パスワードの作成プロセスは？

マーティンのアドバイス

ポリシー・レベルでは、パスワードが満たすべき一定の要件がある。しかし、これらの要件を強制するためのテクノロジーも必要です。

マリンは、組織はクレデンシャルの保護に投資する必要があることを示唆している。パスワードポリシーは合理的かつ具体的である必要がある。

パスワードのローテーションとロックアウト

マーティンはこれらのトピックについてどう考えているのだろうか？彼は、パスワードは長い方が強力だが、頻繁にパスワードを変更しても、人々はパスワードを単純化するので、何の役にも立たないと考えている。彼は90日パスワードのファンではないが、パスワードは特定の事件で変更されるべきだと考えている。

マーティンはパスワード保管庫の活用も勧めている。

バラバラであること

個人的なことだが、自分のデータが検索される可能性があることを忘れないでほしい。個人的な質問に答えるために他人のデータを使うことは、あなたを守ることにもつながる。

最終アドバイス

二要素認証を行う場合、SMSを受信するのではなく、アプリを使用できる場合はそうする。 パスワード保管庫について言えば、パスワードの保管にブラウザ機能を使わず、専用のアプリを使うこと。

マルティン・リットマン

マーティン・リットマンは、ケルシー・セイボルド・クリニックのCTO兼CISOであり、ITアーキテクチャと戦略、インフラストラクチャ、ネットワーク、情報セキュリティを担当している。マーティンは地質学の理学士号を持ち、地熱探査の地質学者としてキャリアをスタートさせた後、IT開発とアーキテクチャに転身し、アプリケーション開発とデリバリー、インフラ、情報セキュリティ、顧客サービスなど、IT全般にわたって30年の経験を積んだ。過去19年間は、重要インフラと情報、サイバーセキュリティに重点を置き、現在はヒューストン・インフラガード支部のヘルスケア・クロス・セクター・チーフを務めている。

LinkedInでさらに詳しく