1年前、米国政府は新たな指令を出した。その目標は、2024年までに政府の主要なデジタル・インフラを「フィッシングに強いMFA」システムに移行させることだった。フィッシングとは、サイバー犯罪者が欺瞞的な技術、あるいはデジタル・スパイ／監視技術を使って、アカウントにアクセスするために必要なログイン認証情報を盗むことである。従来のパスワード・システムは、1つのパスワードで全アクセスを許可するため、常にこれに対して特に脆弱であった。

パスワードが盗まれるメカニズム

アクセスを盗む最も一般的なテクニックは以下の通り：

フィッシング

これは通常、権限のある個人または組織になりすまし、通常は偽のウェブサイトでのクレデンシャル・チェックインを要求する偽の電子メールを伴う。

プッシュ爆撃

何度も通知を送ることで、疲労が蓄積され、最終的に通知を誤って受け入れ、デバイスへのアクセスを不注意に許可してしまうことを期待している。

SS7プロトコルの脆弱性

携帯電話の通信インフラには、外部からの監視を可能にする一定の脆弱性がある。より巧妙なサイバー犯罪者は、これらの通信回線をスパイし、テキスト／SMSで送信されたメッセージを読むことができる。

SIMスワップ

フィッシングのより専門的な形態であるこの手口は、被害者になりすまし、サービス・プロバイダーに出向き、被害者を欺いて、盗もうとするIDを装った人物にアカウントへのアクセス権をより多く明け渡させる。ここでは、被害者がアクセス権を提供するのではなく、被害者のサービス・プロバイダが提供する。

MFAはどのように役立つか

フィッシングに耐性のある多要素認証（MFA）は、これらの確立されたプラクティスを実行することをほぼ不可能にする障壁を投げかけます。この認証の多要素の性質は、検証とアクセスに複数のコンポーネントが必要であることを意味します。つまり、パスワードがまだ使用されていたとしても、万が一パスワードが盗まれた場合、生体認証や物理的なパスキーなどの他のコンポーネントによって、パスワードだけではアクセスを許可することができなくなります。

Fast Identity Online Association（FIDO）は、Cybersecurity & Infrastructure Security Agency（CISA）と協力し、さまざまなハードウェアやソフトウェアで機能する標準的なフィッシングに強いMFA技術を開発しました。FIDO/WebAuthn認証とパスキーのような公開鍵認証基盤は、SS7のような監視技術でさえ、窃盗犯にとって完全な成功を収めることができないことを意味しています。なぜなら、特定のデバイスでパスキーを使用することが要求されるか、または拇印のような生体認証がリモート・アクセスを防ぐからです。

これにより、政府職員はデータ保護に必要なセキュリティを確保しながら、現場や場所を問わず、個人所有のデバイスでデータに安全にアクセスできる柔軟性を手に入れることができる。

サイバーセキュリティの向上にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

政府のデータは、米国で最も貴重なものの一部である。その中には、市民に関するデータのように、個人情報窃盗に利用できる社会保障番号などの重要な個人情報が含まれているものもある。軍事情報や経済情報のような他のデータは、窃盗や個人的な利用、あるいは利害関係者への売却に価値がある。

このため、政府のサイバーセキュリティは常に重要視されてきた。しかし、政府は政府機関がコード化した内部セキュリティ対策だけに頼っているわけではない。民間企業が重要な分野でサイバーセキュリティ対策を提供するケースが増えており、特に2つの企業が躍進している。

より良いサイバーセキュリティのためのパートナーシップ

コロラド州のPing Identityとバージニア州のUberEtherは、現在、セキュリティとID管理という2つの大きな側面で政府と緊密に協力しているアメリカの著名なソフトウェア企業である。政府は以前からサイバーセキュリティ、特にID管理の改善に関心を持っていたが、世界的な大流行が始まった2年前からその必要性が加速した。ますます多くの政府職員が、在宅勤務中にデータへのアクセスを必要としていた。このリモート・アクセスのニーズは、そのようなアクセスを想定していなかったレガシー・セキュリティ・システムによって妨げられていた。

Ping IdentityとUberEtherは、自治体、州、連邦政府機関がハイブリッド環境で動作するID管理システムに移行するのを支援した。労働者は、期待される現場でのアクセスを可能にする一方で、必要に応じて可能な限りベースのリソースを使用できる柔軟なシステムを必要としていた。

同時に、この利便性の向上は、すべてのクエリーが敵対的であると仮定し、IDを確認するために多要素認証を必要とする「ゼロトラスト」環境で動作する必要がありました。単一のパスワードですべてのアクセスを許可する時代は、より大きな仕事の柔軟性を提供しながら、より厳しいセキュリティ制約の下では機能しない。

FIDOは役立つ

Ping Identity、UberEther、FIDO（Fast Identity Online Association）などの企業間の協力により、パスワードなしの多要素認証は、複数のプラットフォームでシームレスに実装できるようになりました。労働者はもはや特定のハードウェア上の特定のソフトウェアに制限されることはなく、許可された担当者のみに制限されなければならない機密データを損なうことなく、さまざまな場所でより多くのデバイスを使用することができるようになります。

データはオンラインに存在するが、他の場所やデバイスから取り出す必要があるため、ID 管理はますます複雑になっている。パスワードレスの多要素認証技術は、政府がデータを保護しながら、このデータに便利にアクセスする方法を提供する上で極めて重要である。

サイバーセキュリティの向上にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

政府は、市、州、連邦の3つのレベルで運営されている。それぞれのレベルにおいて、市民個人を保護するため、あるいは国家安全保障上の理由から、非公開にしなければならない貴重な情報が豊富に存在する。

しかし、軍の研究部門である国防高等研究計画局（DARPA）が "ARPANET "を構築したことで、今日誰もが利用している現代のインターネットの礎が築かれ、すべてが変わった。オンラインで情報を送受信し、アクセスできるようになったことで、データ・ベースの技術はより効率的になったが、同時に脆弱性も高まった。それ以来、サイバーセキュリティは、当然のことながら大きな関心事となっている。

CISAの仕事

2018年、政府はCISA（Cybersecurity & Infrastructure Security Agency）と呼ばれる新組織を設立した。その名が示すように、この新機関は政府のデジタル・インフラや、政府のシステムに依存する可能性のあるその他の重要なインフラ・システムのサイバーセキュリティの完全性を維持することを目的としている。

同局は設立以来、米国におけるサイバーセキュリティの現状を評価し、2022年9月には、2つの柱からなる戦略計画を発表した。

リスク軽減

まず最も重要なのは、アメリカ政府の様々なデジタルシステムの脆弱性を減らし、民間人や国家に支援された行為者の両方に対するサイバー戦争に対してより強固にすることである。2022年、ロシアのハッカーがウクライナ侵攻の際に発電などのインフラを不安定化させようとしたのを世界が目撃したように、デジタル・インフラの重要性はすでに実証されている。大規模な侵入は、長年にわたってさまざまな企業や医療施設に被害を与え、何千人もの個人データを危険にさらしてきた。これらはすべて、CISAが政府自身のサイバーセキュリティのために考慮している教訓である。

レジリエンス

もうひとつの重要な要素は、システムが侵害され、混乱が生じた場合の対応能力である。デジタル侵入を撃退するための防御を構築するだけでは不十分で、万が一侵害が発生した場合に対応し、回復するための計画が必要である。防御が破られた場合の予防措置がない組織は、復旧計画がなかったり、システム全体が故障しないことに依存していたりすると、復旧が極めて困難になり、時には不可能になることさえある。

このためCISAは、重要なインフラを認識し、それらのシステムの脆弱性を調べ、重要な機能の復旧を早めるための検疫と復旧プロセスに取り組んできた。 

これらのサイバーセキュリティ対策はすべて、パスワードレス認証システムなどの新しいプロトコルを包含しています。ご興味のある方は、Nok Nokの多要素認証技術とパスワードレス・セキュリティ対策について、こちらで詳細をご覧ください。

インテュイットは、会計士などの財務管理をデジタル化し、財務の迅速化、効率化、安全性の向上を支援するデジタルの取り組みを率先して行うことで、財務管理の分野でその名を馳せてきた。金融業界では、Turbo Tax、Credit Karma、QuickBooksといったソフトウェアですでによく知られており、個人にも企業にもサービスを提供している。Yahoo Financeによると、Intuitはデジタル財務管理をさらに便利にする革新的な製品群を提供しており、そのすべてがサイバーセキュリティの必要性を高めているという。

商業会計

最近の調査によると、会計の多くはいまだにソフトウェアと紙とペンの組み合わせで行われている。コマース会計は、より多くのコマース・チャネルをデジタル・ストリームにシームレスに統合し、手作業を減らすインテュイットの新機能である。

例えば、Amazon、eBay、Shopifyのような小売業者からの売上は、QuickBooksに直接追跡し、取引やその他のやり取りを追加することができます。

中堅企業向けサイバーセキュリティ統合の拡大

インテュイットは、中堅企業向けソフトウェアに新機能を導入し、大企業がより効率的な財務会計を行えるよう支援するとともに、売上向上にも貢献する。例えば、QuickBooksは「Spreadsheet Sync」を導入し、Microsoft Excelのような業界標準と連携して双方向の同期を統合し、会計処理と活動報告の合理化を支援する。

その他の革新的な機能としては、「チャートビュー付きカスタムレポートビルダー」があり、営業活動の主要業績評価指標を追跡するのに役立ち、企業は営業活動の状況やどの要素が重要かをより正確に把握することができる。

クイックブックス・オンラインの拡張

クイックブックス自体も、人事管理のためのソフトウェア・スイートや、会計のための一元化されたオンライン・リソース、さらには、長期的な成功に欠かせない重要なスキルやビジネス慣行を育成するために、さまざまな発展段階にある企業や起業家を支援するトレーニング・ポータルなど、サービスの幅を広げている。

しかし、より便利なオンライン・リソースが重視されるようになったことで、企業にはより優れたサイバーセキュリティが求められるようになった。導入は簡単だが、従来のパスワード・システムはますます危険にさらされている。パスワード・システムを使った一要素認証は、パスワード盗難のリスクをもたらす。多くのユーザーは、自分にとって使いやすいように推測しやすいパスワードを選ぶが、それが犯罪者にとっても推測や「総当たり」をしやすくしていることに気づかない。多要素認証やパスキーのようなパスワードレス・システムなど、サイバーセキュリティを強化することで、これを回避することができる。

パスキーやサイバーセキュリティの強化にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。