PasswordIQの使用

共有

この記事は役に立ちましたか?

最終更新:

PasswordIQ製品マニュアル

KnowBe4のPasswordIQは、ダイアモンドレベルおよびSAT Advancedのサブスクリプションで利用できる機能であり、ユーザーのパスワードの脆弱性を監視します。PasswordIQクライアントは、Active Directory(AD)のパスワードに関連する設定の脆弱性をスキャンし、ユーザーのパスワードをさまざまなリストやデータベースと比較して、漏洩したパスワードや強度の低いパスワードを特定します。次に、クライアントがKSATと通信し、スキャンの結果をダッシュボードに表示します。

PasswordIQを有効にするには、[アカウント設定][アカウント統合][PasswordIQ]に移動します。次に、[PasswordIQを有効化]チェックボックスをオンにします。

注:PasswordIQを利用するには、オンプレミスバージョンのActive Directoryが必要です。PasswordIQはMicrosoft Entra IDと互換性がありません。

クライアントのインストール、スキャンの実行、結果の表示方法については、以下のセクションを参照してください。

重要:PasswordIQは、ユーザーのパスワードを表示または報告することはありません。ADでは、全てのパスワードは暗号化され、ハッシュ化された形式で保存されるため、ハッシュ化されていないパスワードにはPasswordIQやKnowBe4はアクセスできません。

要件

PasswordIQクライアントをインストールするには、以下の要件を満たす必要があります。

重要:クライアントは、ドメインコントローラーとして使用するコンピュータとは別のコンピュータにインストールすることをお勧めします。スキャンを実行するときには、ネットワークトラフィックが増大しCPUの使用率が高くなる場合があります。最高の結果を得るために、クライアントは、常時稼働している仮想マシンやサーバーにインストールすることをお勧めします。
  • 以下の条件を満たすコンピュータを使用してください。
    • OSがWindows 10以降(32ビットまたは64ビット)、またはWindows Server 2016以降であること。

    • コンピュータが.NET Frameworkバージョン4.7.2以降を使用していること。

      注:お使いのコンピュータにこの.NET Frameworkがインストールされていない場合、セットアップウィザードが実行されバージョン4.7.2が自動的にインストールされます。
    • コンピュータが4GB以上のRAMを搭載していること。
    • コンピュータのシステムドライブに、1GB以上のハードディスクドライブ(HDD)の空き容量があること。
    • コンピュータのユーザーアカウント制御(UAC)設定でUACが有効になっていること。

  • Windows Server 2008 R2降のバージョンで動作するオンプレミスADにアクセスできること。

    注:複数のADドメインがある場合、ドメインごとに異なるクライアントインスタンスをインストールする必要があります。
  • ADドメイン管理者、または管理者に昇格できるADアカウントにアクセスできること。このアカウントには、[ディレクトリの変更のレプリケート]および[ディレクトリの変更をすべてにレプリケート]の権限が必要です。詳細について、Microsoftの「Microsoft Metadirectory Services ADMA サービス アカウントに対して "ディレクトリ変更のレプリケート" アクセス許可を付与する方法」の記事を参照してください。
  • KSATの管理者であるか、PasswordIQへの読み取り/書き込み権限があるセキュリティロールが付与されていること。

脆弱性

PasswordIQクライアントは、各ユーザーについて11件の脆弱性をスキャンし、発見した脆弱性をKSATに報告します。さらに、Knowbe4のリスクスコアレポートでは、リスクスコアを計算するときに、これらの脆弱性をリスク要因として使用しています。詳細については、「Smart Risk™エンジンおよびリスクスコアガイド」を参照してください。

これらの脆弱性の詳細については、以下の表を参照してください。

脆弱性 詳細 リスクスコアの重大性レベル
強度の低いパスワード パスワードは、KnowBe4の強度の低いパスワードリストにあるパスワードと一致しており、一般的で容易に推測できます。サイバー犯罪者がパスワードを推測し、ユーザーのアカウントにアクセスする可能性が高くなります。
共有されたパスワード パスワードは、AD内の少なくとも1人の別のユーザーのパスワードと一致しています。パスワードに一般的な用語などが使用されている可能性が高く、サイバー犯罪者がユーザーのアカウントにアクセスする可能性が高くなります。
クリアテキストパスワード パスワードはADで暗号化を元に戻せる状態で保存されています。パスワードは復号化できるため、サイバー犯罪者がユーザーのアカウントにアクセスする可能性が高くなります。
空のパスワード パスワードに文字が含まれておらず、ユーザーはパスワードフィールドに何も指定せずにアカウントにログインしています。この状況では、サイバー犯罪者を含め、誰でもユーザーのアカウントにアクセスできます。
DESのみの暗号化 このアカウントは、DES(データ暗号化標準)を使用してユーザーのパスワードを暗号化しています。DESは56ビットのキーだけでパスワードを暗号化する旧式の暗号化方式であり、新しい暗号化方式ではより安全な長いキーが使用されます。サイバー犯罪者がパスワードを推測し、ユーザーのアカウントにアクセスする可能性が高くなります。
侵害されたパスワード ユーザーのADアカウントでデータ侵害が発生しておりパスワードが流出しています。ユーザーは、サイバー犯罪者がアクセス可能なパスワードを使用しています。
パスワードの要求がない このアカウントでは、ユーザーがログインするときにパスワードを入力する必要はありません。この状況では、サイバー犯罪者を含め、誰でもユーザーのアカウントにログインできます。
有効期限がないパスワード アカウントのパスワードのタイムアウトがゼロに設定されています。この設定がされていると、ユーザーのプロパティで[有効期限がないパスワード]チェックボックスがチェックされていなくても、パスワードは失効しなくなります。PasswordIQは、組織のドメインポリシー、詳細なパスワードポリシー、およびユーザープロパティのパスワードの有効期限設定をチェックします。パスワードを頻繁に変更しなければ、サイバー犯罪者に推測される可能性が高まります。
LMハッシュパスワード アカウントはLAN Manager(LM)のハッシュを使用しています。LMハッシュは、パスワードをすべて大文字に変換し、パスワードを14文字に制限し、14文字を7文字の2つのグループに分割します。この処理によりパスワードの強度が低くなり、サイバー犯罪者はパスワードを解読しやすくなります。
AES暗号が未設定 このアカウントでは、ユーザーのパスワードの暗号化にAES(Advanced Encryption Standard)を使用していません。AESは、128ビットまたは256ビットの鍵でパスワードを暗号化するため、AES暗号を使用したパスワードは、攻撃を受けにくくなります。
事前認証の欠落 このアカウントは事前認証を必要としておらず、パスワード推測攻撃から保護されない可能性があります。事前認証では、ユーザーのパスワードに基づくキーを用いて、ログイン要求のタイムスタンプを暗号化します。このプロセスは、アカウントへのログインを試みるたびに記録されるため、パスワード推測攻撃からパスワードが保護されます。

これらの脆弱性を解決する方法については、以下の「脆弱性の解決」のセクションを参照してください。

APIトークンのコピー

PasswordIQクライアントをKSATコンソールに接続するには、製品APIトークンが必要です。

APIトークンを作成およびコピーするには、以下のステップに従って操作します。

  1. KSATアカウントにログインします。
  2. [PasswordIQ]タブに移動します。
  3. [PasswordIQクライアントの設定]をクリックします。
  4. [トークン名]フィールドに、トークンの名前を入力します。
  5. トークンの[有効期限]を選択します。
  6. [ユーザー]を選択します。
  7. [トークンの作成]をクリックします。

  8. [PasswordIQ APIトークン]ポップアップウィンドウが開いたら、そのPasswordIQ APIトークンをクリックして、このトークンをコピーします。このトークンは、以下の「クライアントのインストール」のセクションの設定を完了するために必要です。

    重要:このウィンドウを閉じると、このトークンを再度表示することはできなくなります。

  9. [OK]をクリックします。

クライアントのインストール

PasswordIQクライアントをインストールする前に、お使いのコンピュータが上記の「要件」セクションの要件を満たしていることを確認してください。次に、上記の「APIトークンのコピー」の手順に従って、APIトークンをコピーします。

クライアントをインストールするには、以下のステップに従って操作します。

  1. KSATアカウントにログインします。
  2. [PasswordIQ]タブに移動します。

  3. [PasswordIQへようこそ]画面に表示される説明のステップ2で、[PasswordIQクライアント]のリンクをクリックします。

    クライアントのダウンロード

  4. ポップアップウィンドウの[はい]ボタンをクリックします。

    WindowsポップアップのPNG

  5. [次へ]ボタンをクリックします。
  6. ソフトウェア使用許諾契約書を読んで、[承諾]ボタンをクリックして、条件を承諾してください。

  7. お使いのコンピュータがプロキシサーバーを使用してインターネットにアクセスする場合は、[Use a Proxy Server](プロキシサーバーを使用)チェックボックスを選択し、フィールドに必要事項を入力してください。詳細については、以下のスクリーンショットとリストを参照してください。お使いのコンピュータがインターネットアクセスにプロキシサーバーを使用していない場合は、この手順を省略してください。

    プロキシサーバー情報

    1. [IP Address or Name](IPアドレスまたは名前):プロキシサーバーのIPアドレスまたは名前を入力します。この情報は、コンピュータのプロキシサーバー設定([ネットワークとインターネット] >[プロキシ])で確認できます。
    2. [Port Number](ポート番号):プロキシサーバーのポート番号を入力します。この情報は、コンピュータのプロキシサーバー設定([ネットワークとインターネット] >[プロキシ])で確認できます。
  8. [次へ]ボタンをクリックします。

  9. [Application Programming Interface (API) Token](APIトークン)フィールドに、上記の「APIトークンのコピー」のセクションでコピーしたAPIトークンを貼り付けます。

    APIトークン画面

  10. [次へ]ボタンをクリックします。

  11. [ユーザー名][パスワード]フィールドには、必要な権限があるADサービスアカウントのログイン認証情報を入力します。クライアントは、このサービスアカウントを使用して、全ての定期的なスキャンを実行します。

    注:このアカウントに[サービスとしてログオン]の許可が割り当てられていない場合、クライアントによって自動的にこの許可が割り当てられます。

  12. [次へ]ボタンをクリックすると、インストールが完了します。

スキャンの実行

PasswordIQクライアントをインストールしたら、ADの脆弱性スキャンを開始できます。最初のスキャンは、自分のクライアントから実行する必要があります。最初にスキャンを実行した後は、ダッシュボードからスキャンを実行したり、スキャンのスケジュールを作成して実行したりできます。詳細については、「PasswordIQダッシュボードの使用方法」の記事の「スキャンの実行」のセクションを参照してください。

注:パスワード関連情報を保護するために、PasswordIQがスキャン中に収集したデータは、コンピュータのハードドライブに永続的に保存されることはありません。このデータは、コンピュータのランダムアクセスメモリ(RAM)に一時的に保存されるだけです。

最初のスキャンを実行するには、以下のステップに従って操作します。

  1. PasswordIQクライアントを開きます。

  2. [クイックスキャン]セクションで、[今すぐスキャン]ボタンをクリックします。

    注:ウィンドウ右上の歯車アイコンをクリックすると、PIQのその他の設定にアクセスできます。[高度]設定では、[AES暗号が未設定]または[有効期限がないパスワード]の2つのオプションの脆弱性を含めるかどうかを選択できます。

    [今すぐスキャン]ボタン

  3. スキャンが正常に完了したら、[View Dashboard](ダッシュボードを表示)ボタンをクリックして、KSATでスキャン結果を表示します。

    [View Dashboard](ダッシュボードを表示)ボタン

設定

PasswordIQクライアントの右上にある設定アイコンをクリックすると、設定をカスタマイズできます。モーダルが開き、[一般][高度]の2つのタブが表示されます。これらのタブの詳細については、以下のサブセクションを参照してください。

一般

[一般]タブでは、[APIトークン][プロキシサーバー]の2つのセクションを編集できます。これらのセクションには、PIQクライアントを最初に起動したときの設定が含まれます。

[APIトークン]フィールドでは、KSATコンソールで入力したAPIトークンを変更できます。変更を保存するには、[Validate API Token](APIトークンの検証)をクリックします。

[プロキシサーバー]フィールドで、インターネットに接続するために使用するコンピュータのプロキシサーバーを変更できます。[プロキシサーバーを使用する]チェックボックスが無効になっている場合には有効にして、使用するプロキシサーバーの名前またはIPアドレスを入力します。[ポート番号]フィールドにプロキシサーバーのポート番号を入力します。変更を保存するには、[Validate Proxy Settings](プロキシサーバーの検証)をクリックします。

高度

[高度]タブでは、[Custom Domain Controller](カスタムドメインコントローラ)[Custom Organizational Units](カスタム組織単位)の2つのセクションを編集できます。[Custom Domain Controller](カスタムドメインコントローラ)セクションでは、[Custom Domain Controller](カスタムドメインコントローラ)フィールドにコンピュータ名またはIPアドレスを入力して、PasswordIQがスキャンするドメインコントローラを選択できます。

[Custom Organizational Units](カスタム組織単位)セクションでは、PasswordIQがスキャンする1つ以上の組織単位をドロップダウンメニューから選択できます。

結果の表示

PasswordIQクライアントでは一部の結果しか見ることができないため、KSATアカウントを使用して結果を表示および分析することをお勧めします。ダッシュボードに移動するには、KSATコンソールの[PasswordIQ]タブに移動します。

デフォルトのダッシュボードを使用するか、カスタムダッシュボードを作成して、スキャン結果を表示します。詳細については、「PasswordIQダッシュボードの使用方法」の記事を参照してください。

検出されたユーザーへのスマートグループの使用

スマートグループを使用して、フィッシングやトレーニングキャンペーンで脆弱性が検出されたユーザーを登録できます。例えば、[PasswordIQイベント]の条件を使用して、パスワードが脆弱なユーザーを、[強度の高いパスワードの作成 - セキュリティ意識トレーニング]トレーニングモジュールに参加させることができます。

スマートグループの詳細については、「スマートグループの概要」を参照してください。

脆弱性の解決

結果を確認して、ユーザーと一緒にパスワードの脆弱性を解決できます。詳細については、「パスワードの脆弱性を解決する方法」の記事を参照してください。

この記事は有用でしたか?

21人中21人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ