より古く、より伝統的なデジタル・セキュリティ・システムでは、パスワード認証というおなじみの手法が使われている。正しいパスワードが与えられさえすれば、アクセスは許可される。しかし、今日のビジネス社会では、パスワード・システムはますます脆弱になり、盗難や侵入を受けやすくなっている。幸いなことに、パスワードレス認証システムは現在広く利用できるようになっており、Entrepreneurによれば、4つの主な利点があるという。

盗難削減

企業がパスワードを使用する場合、このシステムは、特に認証ポイントが1つしかない場合、より脆弱であり、より多くの侵入につながる可能性がある。フィッシングや、よく使われるパスワードを推測するような総当たり的な試みはすべて、個人情報の盗難、さらにはデータや資金の盗難につながる侵入につながる。

パスワードレス認証システムは、この盗難の可能性を大幅に減らす。

パスワードに基づく攻撃を無効化する

デジタル犯罪の最も一般的な形態には、被害者を騙してパスワードを吐かせる「フィッシング」や、キーボードのどのキーが押されているかを監視するスパイウェアである「キーロギング」などがある。しかし、パスワードレス認証は、パスワードに依存した犯罪の試みを完全に無効化する。

顔認証、指紋認証、音声認証、特定のデバイスに埋め込まれた暗号化キーに依存するパスキーなどの生体認証技術は、パスワードに基づく盗難の試みをすべて阻止する新しい多要素認証システムの一部である。

経費削減

些細なことでも、時間が経てば、その分だけ積み重なっていく。パスワードベースのセキュリティに関連する問題を処理するための費用は、パスワードレス認証によって削減または排除できる不必要な支出である。

パスワードの保管や、さらに重要なこととして、パスワードの管理にはコストがかかる。また、パスワードのリセット、パスワードの回復、犯罪行為が発生した場合のパスワード盗難の影響への対処などにも、時間と金銭的なコストがかかる。パスワードレス認証は、これらの費用を削減する。

ユーザー・エクスペリエンスの向上

顧客はスピード、効率、利便性を好みますが、古いパスワードベースのシステムはこれらすべてを阻害する可能性があります。複雑なパスワードを覚えなければならなかったり、いくつものパスワードを管理しなければならなかったりすると、ログインが遅くなり、特に顧客が覚えていなくて自分のデータにアクセスするためにリセットが必要な場合には、ログインが遅くなる可能性がある。

パスワードレス認証は、より速く、より安全で、より便利です。例えば、バイオメトリクス認証は、音声、指紋、顔など、ユーザーが常に持っているものだけを必要とします。つまり、重要なセキュリティ要素を忘れる心配がない。多要素認証のためのパスキーのような追加の冗長性があれば、これらのシステムは誰にとってもより安全なものになります。

パスワードレス認証システムを使用するFIDO技術の採用により、ますます安全なシステムが進化しています。パスワードレス認証システムへのアップグレード方法については、こちらをご覧ください。

バーチャル・プライベート・ネットワーク（VPN）は、一部のコンピュータ・ユーザーに便利なテクノロジー・ソリューションを提供する。VPNを使えば、ユーザーは暗号化されたプライベートな「仮想ネットワーク」を作ることができ、標準的なオープンネットワークよりも安全で、匿名性も確保できる。 

たとえば、VPNの最も一般的な使い方のひとつは、グローバルユーザーがVPNをアメリカのネットワークに偽装し、ローカルとは異なるアメリカ版のサービスにサインアップすることである。同様に、VPNを使用して、ユーザーが別の場所にいるようにコンピュータを欺くことで、航空券の異なる価格設定やスキームを利用できるようになる。

しかし、TechTarget Networkによると、この匿名性と特別なレベルのコントロールは、追加のサイバーセキュリティを提供するものの、SDPやゼロトラストネットワークなどの新しいプロトコルに比べると、VPNはまだ安全性の低い選択肢である。

SDPとは何か？

SDPとは、Software-Defined Perimeter（ソフトウェア定義境界）の略である。一般的なネットワークは、ハードウェアによって「境界」や「境界線」を定義する。プリンター、電話、セキュリティカメラ、そして家電製品もすべて検出可能なハードウェアであり、ネットワークの境界を定義し、攻撃するために発見され、使用される可能性がある。ソフトウェア定義の境界（SDP）は、ソフトウェアの「透明化」のようなもので、ネットワークのすべてのハードウェアの側面を隠し、従来のネットワーク検出手段からは見えないようにする。

その結果、サーバースキャン、SQLインジェクション、サービス拒否などの典型的なサイバーセキュリティの脅威は、SDPを見たり悪用したりすることができないため、ほとんど排除される。これは、暗号化されているとはいえ、従来のサイバーセキュリティ攻撃に対して脆弱な暗号化されていない通常のネットワーク上で実行される通常のVPNとの大きな違いです。

ゼロ・トラストの違い

旧来のサイバーセキュリティの慣行では、セッションの最初に1回の認証が要求され、認証されるとフルアクセスが許可されるのが一般的である。しかし、「ゼロ・トラスト・ネットワーク」は異なる哲学に基づいている。様々な相互作用のために複数の認証が要求されることがあり、ネットワークの他の部分へのアクセスは多くの場合非常に制限され、侵入障壁が迂回されたとしても、権限のないユーザーが与えることができる損害の量を軽減する。

この組み合わせにより、ゼロトラストのネットワークプロトコルを備えたSDPは、VPN単独よりもはるかに安全であることが保証される。しかし、SDPシステムは、独自のネットワーク内でVPNに対応できる柔軟性を備えているため、必要な場合はさらに高度なサイバーセキュリティレイヤーを追加できる。

パスワードレス認証システムを使用するFIDO技術など、これらの対策やその他の対策はセキュリティを向上させており、詳しくはこちらをご覧いただきたい。

ケヴィン・ミトニックはハッカーであり、最終的には電信詐欺罪で起訴され、起訴された。しかし、彼はそのような生活を捨て、米国政府やマイクロソフトのような有名なクライアントのためにサイバーセキュリティ・コンサルタントとしてのキャリアをスタートさせた。犯罪者としての長年の経験を生かし、デジタル侵入から身を守る方法を他の人々に教えている。CNBCによると、彼はより良いサイバーセキュリティに関心のある人に3つの重要な戦略を持っている。

サイバーセキュリティのための規律あるパスワード管理

まだパスワードに頼っている人にとって、不便かもしれないが、これらのシステムを使いながらセキュリティを高める最善の方法は、"強力なパスワード "を使うことだ。強力なパスワードとは、英数字のランダムな文字列のことで、推測を不可能にする。

複数の強力なパスワードを扱う最善の方法は、パスワード管理システムを使うことです。覚えやすいパスワードや推測しやすいパスワードに頼ったり、同じ強力なパスワードを繰り返し使ったりすると、ユーザーはパスワードを盗まれやすくなります。

NextLevel多要素認証へのアップグレード

さらに一歩踏み込みたい人は、多要素認証システムに切り替えることで、さらにセキュリティの層が厚くなる。従来のパスワードでは、アクセスできるのは1つのポイントだけだった。正しいパスワードを入力することで、全てのアクセスが可能になります。多要素認証はその名の通り、認証のレイヤーを増やします。

多要素認証は、電話越しにテキストで送信される追加コードの入力を要求するなど、追加の変数を使用することができる。あるいは、パスワードやコードを排除し、音声、顔、指紋認証などの生体認証や、携帯電話やラップトップなどの特定のデバイスに結びつけられた暗号化されたパスキーに頼ることもできる。

絶縁デバイス

究極のセキュリティのために、特に財務データやその他の機密データに関連する最後のヒントは、その目的のみに使用する特定のデバイスに投資することです。つまり、携帯電話、タブレット、ノートパソコン、デスクトップパソコンを購入し、金融データへのアクセス、機密データの保存、あるいは金融口座や機密口座へのログインは、これらのデバイスのみを使用することである。

これはより抜本的な方法だが、保護されたデータ専用のデバイスを持つことで、セキュリティは98％向上する。これらのデバイスが日常的なコンピューティング活動に使われることはなく、重要なデータ関連のやりとりのためだけに起動され利用されるのであれば、盗難の確率は劇的に低くなる。ただし、これにはより多くの時間と投資が必要となる。

ほとんどの人にとって、より現実的なシステムは、FIDOアライアンスが使用し提供している標準化されたプロトコルのような多要素認証システムにサイバーセキュリティをアップグレードすることである。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ビジネスの黎明期から、銀行業務は最もセキュリティを必要とするサービスのひとつであった。物理的な現金の盗難を防ぐにせよ、小切手が正当なものであることを保証するにせよ、バンキングは金融取引を促進するために信頼とセキュリティに依存している。

個人情報の盗難が後を絶たないデジタル時代の今、従来のパスワード・システムは輝きを失いつつあり、パスキーのようなより高度なセキュリティ・システムに目を向ける銀行が増えています。

パスキーとは？

従来のパスワードは、単一のセキュリティ・ポイントです。ユーザが必要なパスワードを知っていて、それを正しく入力すれば、デバイスやアカウントへのアクセスが許可されます。パスキーは、複数の認証手段を使用する多要素認証システムです。パスキーはパスワード不要で、通常はスマートフォンやノートパソコンなどのデバイスが主要なインターフェースとして機能し、必要に応じてBluetoothプロキシとして機能する必要があります。つまり、ユーザーはまず、顔認識、指紋、音声認識、PIN、あるいはスワイプ・パターンなど、さまざまな手段を使って自分の携帯電話にアクセスし、デバイスを認証します。  

これが完了すると、デバイスはブルートゥース接続を通じて追加の認証を行い、そのデバイスに関連付けられたアカウントに固有の「公開鍵」を送信し、「秘密鍵」と照合する。検証のこの部分は自動的に行われ、ユーザーからの追加アクションは必要ない。鍵の有効性が確認されると、ユーザーはそのデバイスからアカウントにアクセスできるようになる。ユーザーが別のデバイスを使用する必要がある場合、QRコードは、プライマリ・デバイスを使用する代わりに、その新しいデバイスに検証プロセスを転送するために必要となる。

より安全に

パスキーシステムの利便性とセキュリティは、従来のパスワードシステムに代わる効果的な手段と言えます。Fast Identity Online(FIDO)アライアンスのようなグループは、AppleやGoogleのような大手テクノロジー企業と密接に協力し、パスキーシステムの標準とプロトコルを統合し、多要素認証をより簡単で安全なデータ保護手段にしています。  

複数の認証システムを使用し、バイオメトリクスのようなパスワード不要の認証システムと組み合わせることで、ユーザーはランダムな英数字の長くて難しい文字列を覚える必要がなくなります。また、バイオメトリックデータを携帯電話やノートパソコンなどのデバイスに保存することで、データ自体のプライバシーが保たれ、認証情報がオンラインで盗まれることもありません。FIDO標準を使用した、より便利なパスワード不要の認証システムを統合した、俊敏でセキュリティ強化のためのパスキーシステムにご興味のある方は、こちらをお読みください。

米国では、データの送受信をスマートフォンなどのモバイル機器に依存する傾向が強まっており、有線インターネット接続と同程度のワイヤレス・データ通信のニーズが高まっている。その結果、最新・最速・最大のデータ伝送規格である5G無線ネットワークが続いている。ベライゾンやAT&Tといった最大手の通信会社は、175と100の顧客をカバーすると推定される展開を続けている。しかしこれは、5Gネットワークでより多くのデータが伝送されるため、より多くのセキュリティも必要になることを意味する。そして、パスワード不要の便利な認証システムを備えたゼロ・トラスト・ポリシーが、この成功に不可欠となる。

ゼロ・トラストとは何か？

その名が示すように、「ゼロ・トラスト」セキュリティとは、データにアクセスしようとする人やデバイスの正当性を仮定せず、ログインやトランザクションのすべての段階を通じて、複数の段階の検証と認証を必要とすることを意味する。パンデミックの影響で、多くの企業が従業員を自宅待機させ、自宅のデバイスや、場合によっては自分のスマート・デバイスさえも使用してデータにリモート・アクセスすることを余儀なくされたため、近年、この傾向はさらに強まっている。このため、デスクでオフィスのコンピュータを操作し、そのデバイスにローカルに保存されているデータにアクセスしているユーザーを物理的に確認できるため、そのユーザーがネットワークに正しくアクセスしていることがわかるといった、通常の信頼の仕組みの一部は、もはや当然のこととは言えなくなった。今、ワーカーは、あらゆる場所やデバイスからデータにリモート・アクセスできる必要があり、正当なユーザーの認証が最優先事項となっている。

ゼロ・トラスト・プロトコルの特徴の一つは、常に検証を行うことである。パスワードやバイオメトリクス認証を一度だけ受け入れ、残りの取引期間中、そのユーザーが何をしようと見て見ぬふりをするだけでは不十分である。検証は、さまざまな行動に対して継続的に行われる。したがって、パスワード不要の認証システムは、このプロセスを合理化する上で重要である。

ゼロ・トラスト・アプローチのもう一つの重要な側面は、"爆発半径の制限 "である。セキュリティ・プロトコルは、違反が起こらないことを前提にしているため、違反が発生した場合の不測の事態を想定していない場合、極めて脆弱である。ゼロ・トラスト・プロトコルは、何らかの侵害が起こることを前提に、アクセスや活動を区分けし、たとえ侵害が起こったとしても、単一の侵害がシステム全体を完全に集中制御することを許すのではなく、迅速に封じ込め、隔離できるようにする。

ゼロ・トラスト・セキュリティのコンセプトや、パスワード不要の認証システムへのFIDOプロトコルの組み込みに興味がある方は、こちらをお読みください。

パスワードと知識ベース・アクセス（KBA）はかつてサイバーセキュリティの先駆けであったが、テクノロジーの進化とデジタル接続の普及により、パスワードは徐々に過去のものとなりつつある。パスワードは、ユーザ、従業員、IT担当者の双方にとって厄介なものとなっており、ユーザは定期的に更新する必要のあるパスワードを覚えるのに苦労し、フラストレーションを募らせている。また、企業は、企業境界の内外を問わず、パスワードの回復やリセットにかかるOPEXや生産性・収益の損失で何百万ドルものコストを費やしている。パスワードレス認証は、このような事態を回避するのに役立ちます。

パスワードレス認証に移行するための4つのヒント

NokNok Inc.は、パスワードレス認証のパイオニアとして、組織や企業にサイバーセキュリティ向上のための移行を促してきた。多くの企業がパスワードレス認証への投資を始めていますが、この移行は難しいものです。以下のヒントは、関係者全員にとってよりスムーズな企業移行に役立ちます。

パスワードをできる限り管理する

移行を急がないこと。今後数年間、パスワードを使わなければならないのであれば、パスワードを安全に保つために最善を尽くすだけでよい。パスワード・マネージャーは引き続き資金援助を受けており、企業向けバージョンはパスワードを安全に保ちながら、パスワードの紛失を防ぐのに役立つ。パスワードマネージャーは、従業員がパスワードを忘れる心配なく、ユニークで複雑なパスワードを作成できるよう、強力な機能を提供している。その多くは、ウェブブラウザを含むウェブ認証とモバイルアプリ認証の両方を幅広くサポートしている。

多要素認証の重要性

多要素認証（MFA）は、従業員をパスワードレス・テクノロジーに移行させる素晴らしい方法である。MFAは、ユーザーや従業員を完全にパスワードレスに移行できない企業にとって、次の自然なステップである。ほとんどのパスワードレス・プラットフォームは、既存のセキュリティ・インフラに統合することができ、ほとんどのデバイスがすでにネイティブのバイオメトリック機能を提供しているため、最新のバイオメトリック認証と組み合わせたMFAを提供することができます。

真のSSOを使用して認証を一元化する

真のSSOは、セキュリティを向上させながら、パスワードレス認証への移行を容易にするもう一つのステップである。クラウドで提供される真のシングルサインオン（SSO）は、ユーザーが単一のアクセス認証情報のみを使用してデバイスやプラットフォームにログオンすることを可能にする。最新のパスワードレス・システムは、SSOインフラを幅広くサポートしている。

パスワードレス認証の現実性

パスワード・レスは間違いなく未来であり、今はここにとどまるが、世界のデジタル・サービスが完全にパスワード・レスになるまでには、まだ何年もかかるだろう。バイオメトリクス・ベースの認証にまだ馴染めない人が多いため、組織全体や顧客ベースが数年で完全にパスワードレスになるとは思わないでください。IT部門にセキュリティ・インフラの突然の変更で負担をかけることなく、パスワードレス認証への移行でセキュリティを向上させることは十分に可能だからだ。 ほとんどの企業インフラと、それらが接続されている複雑なエコシステムは、いまだに完全にパスワードとKBAに基づいている。デジタルトランスフォーメーション・プロジェクトは、移行完了まで数年かかることもある。

Nok Nok Inc.は、B2Cのパスワードレス認証、決済、トランザクション認証など、お客様のニーズに合わせた様々な機能を提供しています。バイオメトリクスベースのパスワードレス認証の導入に踏み切れないお客様のために、既存の多要素認証との統合もサポートしています。当社のサービスに移行した組織では、顧客のオンボーディング時間が50％短縮され、顧客のサインイン速度が78％向上しました。NokNokのパスワードレス・テクノロジーが提供するフィッシングに強い顧客セキュリティをご活用ください。Nok Nok Inc.の製品についてはこちらをご覧ください。

2022年は、ブロックチェーン・プラットフォームがサイバー攻撃者の標的となり、暗号投資家にとって厳しい年となった。これらの攻撃により、合計14億ドルが失われた。Axie Infinityを支えるブリッジのRoninは6億1500万ドルを失い、Jump Tradingが支えるブリッジのWormholeは3億2000万ドルを失い、Harmonyが支えるブリッジのHorizonは1億ドルを失い、Nomadからは約2億ドルが盗まれた。

ブロックチェーン・ネットワークはどのようにハッキングされたのか？

サイバー攻撃者はブロックチェーン技術、特にブロックチェーンブリッジと人間の脆弱性を悪用する。ブロックチェーンブリッジとは、人があるブロックチェーンネットワークから別のブロックチェーンネットワークにトークンを送り出すためのソフトウェアの一種である。ブリッジは、スマートコントラクトを人間の介入なしに実行できるようにするコードの一部であり、通常、あるネットワークから別のネットワークに転送される大きな値を保持する。十分なセキュリティがなければ、これらのブリッジは簡単に標的となる。

取引を成功させるには、まずバリデータが承認する必要があるが、ハッカーはバリデータを操作して秘密鍵を渡すように仕向けたり、資金を引き出すためにわずかな口座を侵害したりすることができる。ブリッジはブロックチェーン技術の中心であり、それだけに脆弱性の増大は大きな懸念材料である。

ハッカーが資金を盗むもう一つの方法は、人間の脆弱性を利用することである。被害者に資金を送金するよう説得するソーシャル・エンジニアリングの手口を使う者もいる。もう一つの方法は、単に暗号キーやプライベートなデジタル署名を盗むことで、アプリやウォレット、その他のレガシー認証でユーザーをデジタルサービスに認証するサードパーティー・ベンダーを通じて、そのアクセス権を得ることである。つまり、パスワードベースの認証だ。

パスワードレス認証による人的リスク要因の排除

暗号通貨は絶えず拡大しており、ブロックチェーン技術もそれとともに成長している。ブロックチェーン技術が高度な技術で運用されているにもかかわらず、サイバー犯罪者はパスワードによるログインのような基本的なものから侵入する方法を見つけることができる。

パスワードは長い間、サイバー攻撃者のお気に入りの脆弱性であった。ブロックチェーン・ネットワークのサイバー攻撃者が用いる手法は、いずれもパスワードの盗難をもたらす危殆化したフィッシングや中間者攻撃によって成功している。システムの相互接続性が高まっている今日、分散型ブロックチェーンのように洗練され安全な技術であっても、アクセスが分散しているため、パスワードのない強力な認証が必要となる。

アンフィッシャブルなキーベースのパスワードレス認証は、あらゆるプラットフォーム、特にサードパーティアプリケーションのブロックチェーンネットワークのセキュリティを高める一つの方法である。Nok Nok Inc.は、彼らが設立したグローバルな業界団体（FIDOアライアンス）とともに、極めて脆弱なレガシーパスワードや知識ベースのシステムアクセスへの人々の依存を減らすことを使命としている。

パスワードレス認証は、所有ベースおよびバイオメトリクス認証技術であり、パブリック・プライベート暗号に依存している。公開鍵と秘密鍵のペアが生成され、公開鍵はサービスと共有され、秘密鍵はPINまたは生体認証で保護されたユーザーのデバイス内に安全に保管される。このシステムはエンドユーザーにとって非常に便利であり、安全でもある。

Nok Nokのパスワードレス認証システムでサイバーセキュリティを強化できます。Nok Nok Inc.の業界をリードするFIDOプラットフォームについての詳細は、こちらからお問い合わせください。