1Password（ワンパスワード）XAMレポート：アクセスと信頼のギャップを埋め、パスワードレスセキュリティーへの道を切り開く

著名なグローバルアナリスト兼アドバイザリー企業であるOmdiaは、1Password（ワンパスワード）の「Extended Access Management（XAM）がセキュリティーギャップを埋める方法」と題したレポートを発表した。このレポートでは、現代の従業員のアクセス管理の複雑さを深く掘り下げ、これらの課題に対処するための戦略を提案している。レポートでは、アクセス管理において課題となる3つの主要な領域、「アプリのスプロール化」、「デバイスのスプロール化」、「IDのスプロール化」を特定している。これらはそれぞれ、組織内におけるアプリケーション、デバイス、ユーザーIDの無制限な増加を指す。

本レポートは、ユーザー、デバイス、アプリケーションを含む、管理されていないアクセスポイントの統合が、組織がもはや見過ごすことのできない重大なセキュリティー上の盲点につながっていることを示唆している。これは、大手パスワード管理プラットフォームである1Passwordが「アクセスと信頼のギャップ」と呼んでいるものだ。このギャップは、適切なガバナンス管理なしに企業データにアクセスする、連携されていないID、管理されていないデバイス、アプリケーション、AI搭載ツールに関連するセキュリティーリスクを表している。

これを受けて、1Passwordは2024年にExtended Access Management（XAM）を導入した。この新しいセキュリティーカテゴリーは、アクセスと信頼のギャップを埋めるために設計されている。1Password XAMプラットフォームは、組織があらゆるデバイスから、あらゆるアプリへのあらゆるサインインを安全に行うのに役立つ。Omdiaのレポートでは、XAMが目指す5つのセキュリティー目標が強調されており、組織が現在および将来のセキュリティーリスクに対応できるよう支援している。

このレポートでは、パスワードレス認証の重要性も強調されている。レポートによると、「真のパスワードレス環境は、セキュリティーリーダーにとって長年の夢だった」とのことだ。これは主に、パスワードが脆弱でリスクの高い認証方法であるためだ。Verizonの2025年データ漏洩調査レポートによると、長年にわたるセキュリティー対策にもかかわらず、ハッカーがシステムにアクセスする主な手段として認証情報が依然として使用されていることが明らかになった。パスワードレス認証は、ユーザーがパスワードを直接操作する必要がないようにすることで、フィッシング、ブルートフォース攻撃、クレデンシャルスタッフィングなどのリスクを軽減する。

しかし、レポートでは、パスワードを完全に廃止するには長期的な取り組みが必要であり、プロセスのあらゆる段階で認証を可能な限り安全にする必要があることも指摘している。これは、パスワードレス認証が二者択一の概念ではなく、プロセスであることを強調している。組織は、最も機密性の高いリソースに対してパスワードレス認証を優先する必要があるが、技術面や予算面の考慮から、完全なパスワードレス認証を直ちに実現することが難しい場合もある。パスワードレスへの道筋としては、各リソースにおいて実現可能かつ利用可能な最も安全な認証を採用することが挙げられる。

1Password XAMは、管理者が使用中のアプリケーション、アクセス元となるデバイス、そしてアクセスしたユーザーを可視化し、リスク管理を行うことで、組織がパスワードレスを実現できるよう支援する。また、侵害された、あるいは脆弱な認証情報、そして利用可能な多要素認証やパスキーを使っていないサインインを全て特定できる。さらに、従業員がアプリケーションにアクセスする前に、リスクのあるサインインをより強力な認証情報に置き換えるよう、セキュリティーポリシーを適用することも可能だ。

出典：1Password