マイクロソフトのCISOが語る–なぜパスワードをなくそうとしているのか

今回は「マイクロソフトのCISOが語る–なぜパスワードをなくそうとしているのか」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Microsoftの最高情報セキュリティ責任者（CISO）であるBret Arsenault氏は、同社に勤めて31年になるが、大勢の人から歓声を浴びた経験が1度だけあるという。それは、71日ごとのパスワード変更を義務づける社内ポリシーを廃止したときだ。

　Arsenault氏は、米ZDNetの取材に対して「それはセキュリティ担当者として、経営幹部として私が喝采を浴びた初めての経験だった」と話す。「私たちは、パスワード自体をなくしたことで、Microsoft社内のパスワードのローテーションをなくすのだと説明した」

　Arsenault氏は、MicrosoftのCISOとして、同社の製品と16万人の従業員に使われている社内ネットワークの両方を守る責任を負っている。ベンダーまで含めれば、世界で24万人分のアカウントの責任を負っていることになる。パスワードを廃止し、多要素認証（MFA）などのより良い選択肢に置き換えることは、同氏のやるべきことリストの上位に位置している。

　Microsoftはパスワードに関するポリシーを段階的に改訂してきた。2019年1月には、テレメトリーで効果を検証しながら、パスワードの有効期限を1年間に変更した。2020年1月には、その結果に基づいて、パスワードの期限を無期限にした。

　また2019年には、顧客に対してパスワードの有効期限を60日間に定める方針を推奨するのをやめる方針を示した。これは、ユーザーが既存のパスワードに小さな変更を加えるだけになったり、新しい優れたパスワードを忘れてしまう傾向があったためだ。

　Arsenault氏は、あらゆる場面にMFAを導入すべきだと主張する代わりに、この変化をパスワードをなくすための試みの一環として説明した。

　「パスワードが好きな人などいない。あなたも、ユーザーも、IT部門もみんなパスワードを嫌っている。パスワードが好きなのは犯罪者だけだ。サイバー犯罪者はパスワードが大好きだ」と同氏は言う。

　Arsenault氏は、「私たちはあらゆるところにMFAを導入することをモットーとしていたが、今にして思えば、それはセキュリティの目標としては正しいが、アプローチとしては間違っていた。追求すべきはユーザー目線での成果であり、目指すべきはユーザーに『パスワードをなくしたい』と思わせることだった。しかし、物事をどう表現するかは重要なことだ。この単なる表現の変化によって、文化が変わり、実現しようとしていることに対する見方が変わった。さらに重要なのは、それによって私たちが作る製品の設計が変わったことだ。『Windows Hello for Business』はその好例だといえる」と述べた。

　「パスワードをなくして何らかの生体認証を使えば、認証は素早く行えるようになり、ユーザー体験も改善される」と同氏は話す。

徳丸 浩の"無関係でない"セキュリティリスクの実態(1) Ecサイト運営に提言! 中小企業"こそ"気をつけるべき ...

いまや企業規模や業種業態を問わず、いかにビジネスにITを活用するかは、事業の成功のみならず、企業の成長をも左右する重要なファクターのひとつとなっています。と、同時にサイバー攻撃などによるセキュリティリスクの増大もまた、企業にとっては大きな課題としてクローズアップされるようになりました。

もはやセキュリティ対策の必需品？ システム障害を乗り切るsnsの使い方

もはやセキュリティ対策の必需品？ システム障害を乗り切るsnsの使い方

テレワーク実施組織でのセキュリティインシデント発生状況 ～ デジタルアーツ調査 | ScanNetSecurity

デジタルアーツ株式会社は6月21日、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施し、その結果を公表した。

テレワーク実施組織でのセキュリティインシデント発生状況 ～ デジタルアーツ調査 (2021年6月23日 ...

デジタルアーツ株式会社は6月21日、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」を実施し、その結果を公表した。同社では、自組織のインシデント状況を把握し情報セキュリティ対策の意...

仕様の理解は重要 - テリロジーワークス

セキュリティサービス Security Service. パケットベース脅威ハンティング「THX」 サイバーセキュリティレーティング「BitSight」 脅威情報モニタリングのプラットフォーム「KELA RaDark」 マルウェア監視分析「Team T5」 世界最大のDNSデータベース 「Domain Tools」

IBMがセキュリティ研究機関「IBM Center for Government Cybersecurity」を創設 ...

IBMは、米国連邦政府機関による長期的なサイバーセキュリティ脅威への対応を目的に「IBM Center for Government Cybersecurity」を創設する。同社の専門技術を活用し、イベントやワークショップ、新ソリューションの開発を実施する予定だ。

テレワークセキュリティガイドラインから考える、テレワークと業務品質とセキュリティ（ランシステム連載コラム）：吉政忠志 ...

テレワークセキュリティガイドラインから考える、テレワークと業務品質とセキュリティ（ランシステム連載コラム） 新型コロナウイルス感染症によるデジタル化への影響; Podcast #50：他社や他のサービスと比較する時の注意点・落とし穴

人事異動に関するお知らせ | セキュリティ対策のラック

株式会社ラック（本社：東京都千代田区、代表取締役社長：西本 逸郎）は、2021年6月23日付で下記のとおり人事異動を行いましたのでお知らせします。

【新商品】次世代のカーセキュリティ Igla Alarm（イグラアラーム）販売開始! | くるまや工房 制作実績ギャラリー

【新商品のご案内】 オーサアラームより、次世代のカーセキュリティ『デジタルイモビライザー・IGLA ALARM（イグラアラーム）』の販売がスタートしました。 当店では爆発的な需要を視野に入れていち早く確保 先日、複数台が […]

Kubernetesにおけるリスクと脅威をMITRE ATT&CKフレームワークにマッピング #aqua #コンテナ ...

CL LAB |本ブログは「Aqua Security」社の技術ブログで2021年6月3日に公開された「 Mapping Risks and Threats in Kubernetes to the MITRE ATT&CK Framework 」の日本語翻訳です。

2021年6月23日 - ロイヤルセキュリティ株式会社

06-6809-2333 info@royal-security.info 大阪市北区豊崎4丁目6-3 クレピス21 413号

NRIセキュア、クレジットカードのPINコードを扱う事業者向けに、国際的なセキュリティ基準への準拠支援／審査サービスを開始

NRIセキュアは、クレジットカードでの取引に使用されるPINコードを扱う事業者が、国際的なセキュリティ基準「PCI PIN Security」に準拠するための支援、および当該基準への適合性を審査する「PCI PIN Security準拠支援コンサルティング／審査サービス）」の提供を、本日開始します。

テレワーク中のセキュリティインシデント、8割以上がウェブアクセスとメール - (page 2 ...

2020年にテレワークを導入した組織が経験したインシデントはウェブアクセスとメールに起因する外部攻撃であり、組織規模に関係なくインシデントに遭遇している――。デジタルアーツが調査した。

インターネット接続に必要なセキュリティを手軽に提供する【アバスト・セキュリティラインVPN】 | 4b-media

アバスト セキュリティラインVPNは、インストールするだけで暗号化されたセキュアなネット環境と仮想IPアドレスを入手できるツールです。 カフェや出先で公共のWi-Fiなどで安全にインターネット接続する場合に役立つサービスです。

キャンペーンメール誤送信し会員154名のアドレス流出|株式会社まどか｜サイバーセキュリティ.com

画像：株式会社まどかより引用 株式会社まどかは同社が運営するウェブサイト「デコラヒロバ」の会員に向けたメールについて誤送信が発生し、会員154名のアドレスが流出したと明らかにしました。 発表によると、同社は2021年6月10日、

【7/8 15:00】動画活用、セキュリティ向上、プロジェクト管理について学べるdxセミナー【参加無料 ...

2、セキュリティのプロが教える!会社のセキュリティレベルを向上する方法 大手企業との取引開始やテレワーク移行などを機にセキュリティに取り組む企業様も多いと思います。しかし、その際にネックとなるのが ・何から取り組めばよいのかわからない

テンセントクラウド、モバイルゲーム開発と運営に関わる包括的なセキュリティソリューションの国内販売を開始：北海道新聞 ...

[画像1] https://user.pr-automation.jp/simg/1951/48688/150_23_2021062217465060d1a37aec57c.png An...

【7/8 15:00】動画活用、セキュリティ向上、プロジェクト管理について学べるdxセミナー【参加無料】｜Lrm ...

LRM株式会社のプレスリリース（2021年6月23日 11時30分） 7/8 15:00 動画活用、セキュリティ向上、プロジェクト管理について学べるDXセミナー 参加無料

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。

バイデン米大統領、敵対勢力から個人情報を守るための新たな大統領令に署名｜セキュリティ通信

【セキュリティ通信】パスワードの漏えいは簡単に無料でチェックすることができる。この流出チェックサイトHIBPのデータベースに、FBI保有の漏えいデータも追加されることになった。

LINEインストール後の初期設定とセキュリティ上必要な5つの設定

メッセージアプリ、無料通話アプリとして人気の高いLINEの初期設定についての解説です。特に知らずに使用しているとリスク要因になるセキュリティ的な初期設定についても項目別に解説します。

テンセントクラウド、モバイルゲーム開発と運営に関わる包括的なセキュリティソリューションの国内販売を開始 | プレス ...

モバイルゲームのセキュリティは、世界的な課題となっていますが、モバイルゲーム独自のセキュリティ強化には、包括的な機能、高難度のストリッピング、強力なリソース保護、強力な互換性、低パフォーマンス消費などが求められます。

テンセントクラウド、モバイルゲーム開発と運営に関わる包括的なセキュリティソリューションの国内販売を開始 ...

[画像1]https://user.pr-automation.jp/simg/1951/48688/150_23_2021062217465060d1a37a…

Akamai、機械学習でWebアプリケーションおよび API 保護をインテリジェントに自動化、セキュリティ運用の負荷 ...

Akamai、機械学習でWebアプリケーションおよび API 保護をインテリジェントに自動化、セキュリティ運用の負荷を軽減

デジタルアーツ、2020年にインシデントのあったテレワーク導入組織のセキュリティ対策の調査結果を発表 ...

SecurityInsight（セキュリティインサイト）は情報セキュリティを中心としたエンタープライズITの情報サイトです。

Akamai、機械学習でWebアプリケーションおよび API 保護をインテリジェントに自動化、セキュリティ運用の負荷 ...

アカマイ・テクノロジーズ合同会社Edgeでインシデントへの対応力を強化し、セキュリティに関する意志決定を支援世界で最も信頼されているソリューションで安全なデジタ…

テンセントクラウド、モバイルゲーム開発と運営に関わる包括的なセキュリティソリューションの国内販売を開始 (2021年 ...

[画像1]https://user.pr-automation.jp/simg/1951/48688/150_23_2021062217465060d1a37aec57c.pngAnti-CheatE...

【日本初】 米セキュリティベンダーcomodo社の企業向けセキュリティ製品販売開始 - 産経ニュース

株式会社バリュープランニング国内の総代理店契約を株式会社バリュープランニングが締結2021年、米COMODO社と(株)バリュープランニングは日本総代理店契約を締…

Newセキュリティ!分散型VPN『Deeper Connect Nano』が6月21日18:00にクラウド ...

通信販売を行う合同会社STEP UP(所在地：群馬県前橋市、代表：秋山 徹)は、「Newセキュリティデバイス！分散型VPN『Deeper Connect Nan…

Newセキュリティ!分散型VPN『Deeper Connect Nano』が6月21日18:00にクラウド ...

合同会社STEP UPのプレスリリース：Newセキュリティ！分散型VPN『Deeper Connect Nano』が6月21日18:00にクラウドファンディングサイト「CAMPFIRE」で公開！