パスワードと知識ベース・アクセス（KBA）はかつてサイバーセキュリティの先駆けであったが、テクノロジーの進化とデジタル接続の普及により、パスワードは徐々に過去のものとなりつつある。パスワードは、ユーザ、従業員、IT担当者の双方にとって厄介なものとなっており、ユーザは定期的に更新する必要のあるパスワードを覚えるのに苦労し、フラストレーションを募らせている。また、企業は、企業境界の内外を問わず、パスワードの回復やリセットにかかるOPEXや生産性・収益の損失で何百万ドルものコストを費やしている。パスワードレス認証は、このような事態を回避するのに役立ちます。

パスワードレス認証に移行するための4つのヒント

NokNok Inc.は、パスワードレス認証のパイオニアとして、組織や企業にサイバーセキュリティ向上のための移行を促してきた。多くの企業がパスワードレス認証への投資を始めていますが、この移行は難しいものです。以下のヒントは、関係者全員にとってよりスムーズな企業移行に役立ちます。

パスワードをできる限り管理する

移行を急がないこと。今後数年間、パスワードを使わなければならないのであれば、パスワードを安全に保つために最善を尽くすだけでよい。パスワード・マネージャーは引き続き資金援助を受けており、企業向けバージョンはパスワードを安全に保ちながら、パスワードの紛失を防ぐのに役立つ。パスワードマネージャーは、従業員がパスワードを忘れる心配なく、ユニークで複雑なパスワードを作成できるよう、強力な機能を提供している。その多くは、ウェブブラウザを含むウェブ認証とモバイルアプリ認証の両方を幅広くサポートしている。

多要素認証の重要性

多要素認証（MFA）は、従業員をパスワードレス・テクノロジーに移行させる素晴らしい方法である。MFAは、ユーザーや従業員を完全にパスワードレスに移行できない企業にとって、次の自然なステップである。ほとんどのパスワードレス・プラットフォームは、既存のセキュリティ・インフラに統合することができ、ほとんどのデバイスがすでにネイティブのバイオメトリック機能を提供しているため、最新のバイオメトリック認証と組み合わせたMFAを提供することができます。

真のSSOを使用して認証を一元化する

真のSSOは、セキュリティを向上させながら、パスワードレス認証への移行を容易にするもう一つのステップである。クラウドで提供される真のシングルサインオン（SSO）は、ユーザーが単一のアクセス認証情報のみを使用してデバイスやプラットフォームにログオンすることを可能にする。最新のパスワードレス・システムは、SSOインフラを幅広くサポートしている。

パスワードレス認証の現実性

パスワード・レスは間違いなく未来であり、今はここにとどまるが、世界のデジタル・サービスが完全にパスワード・レスになるまでには、まだ何年もかかるだろう。バイオメトリクス・ベースの認証にまだ馴染めない人が多いため、組織全体や顧客ベースが数年で完全にパスワードレスになるとは思わないでください。IT部門にセキュリティ・インフラの突然の変更で負担をかけることなく、パスワードレス認証への移行でセキュリティを向上させることは十分に可能だからだ。 ほとんどの企業インフラと、それらが接続されている複雑なエコシステムは、いまだに完全にパスワードとKBAに基づいている。デジタルトランスフォーメーション・プロジェクトは、移行完了まで数年かかることもある。

Nok Nok Inc.は、B2Cのパスワードレス認証、決済、トランザクション認証など、お客様のニーズに合わせた様々な機能を提供しています。バイオメトリクスベースのパスワードレス認証の導入に踏み切れないお客様のために、既存の多要素認証との統合もサポートしています。当社のサービスに移行した組織では、顧客のオンボーディング時間が50％短縮され、顧客のサインイン速度が78％向上しました。NokNokのパスワードレス・テクノロジーが提供するフィッシングに強い顧客セキュリティをご活用ください。Nok Nok Inc.の製品についてはこちらをご覧ください。

2022年は、ブロックチェーン・プラットフォームがサイバー攻撃者の標的となり、暗号投資家にとって厳しい年となった。これらの攻撃により、合計14億ドルが失われた。Axie Infinityを支えるブリッジのRoninは6億1500万ドルを失い、Jump Tradingが支えるブリッジのWormholeは3億2000万ドルを失い、Harmonyが支えるブリッジのHorizonは1億ドルを失い、Nomadからは約2億ドルが盗まれた。

ブロックチェーン・ネットワークはどのようにハッキングされたのか？

サイバー攻撃者はブロックチェーン技術、特にブロックチェーンブリッジと人間の脆弱性を悪用する。ブロックチェーンブリッジとは、人があるブロックチェーンネットワークから別のブロックチェーンネットワークにトークンを送り出すためのソフトウェアの一種である。ブリッジは、スマートコントラクトを人間の介入なしに実行できるようにするコードの一部であり、通常、あるネットワークから別のネットワークに転送される大きな値を保持する。十分なセキュリティがなければ、これらのブリッジは簡単に標的となる。

取引を成功させるには、まずバリデータが承認する必要があるが、ハッカーはバリデータを操作して秘密鍵を渡すように仕向けたり、資金を引き出すためにわずかな口座を侵害したりすることができる。ブリッジはブロックチェーン技術の中心であり、それだけに脆弱性の増大は大きな懸念材料である。

ハッカーが資金を盗むもう一つの方法は、人間の脆弱性を利用することである。被害者に資金を送金するよう説得するソーシャル・エンジニアリングの手口を使う者もいる。もう一つの方法は、単に暗号キーやプライベートなデジタル署名を盗むことで、アプリやウォレット、その他のレガシー認証でユーザーをデジタルサービスに認証するサードパーティー・ベンダーを通じて、そのアクセス権を得ることである。つまり、パスワードベースの認証だ。

パスワードレス認証による人的リスク要因の排除

暗号通貨は絶えず拡大しており、ブロックチェーン技術もそれとともに成長している。ブロックチェーン技術が高度な技術で運用されているにもかかわらず、サイバー犯罪者はパスワードによるログインのような基本的なものから侵入する方法を見つけることができる。

パスワードは長い間、サイバー攻撃者のお気に入りの脆弱性であった。ブロックチェーン・ネットワークのサイバー攻撃者が用いる手法は、いずれもパスワードの盗難をもたらす危殆化したフィッシングや中間者攻撃によって成功している。システムの相互接続性が高まっている今日、分散型ブロックチェーンのように洗練され安全な技術であっても、アクセスが分散しているため、パスワードのない強力な認証が必要となる。

アンフィッシャブルなキーベースのパスワードレス認証は、あらゆるプラットフォーム、特にサードパーティアプリケーションのブロックチェーンネットワークのセキュリティを高める一つの方法である。Nok Nok Inc.は、彼らが設立したグローバルな業界団体（FIDOアライアンス）とともに、極めて脆弱なレガシーパスワードや知識ベースのシステムアクセスへの人々の依存を減らすことを使命としている。

パスワードレス認証は、所有ベースおよびバイオメトリクス認証技術であり、パブリック・プライベート暗号に依存している。公開鍵と秘密鍵のペアが生成され、公開鍵はサービスと共有され、秘密鍵はPINまたは生体認証で保護されたユーザーのデバイス内に安全に保管される。このシステムはエンドユーザーにとって非常に便利であり、安全でもある。

Nok Nokのパスワードレス認証システムでサイバーセキュリティを強化できます。Nok Nok Inc.の業界をリードするFIDOプラットフォームについての詳細は、こちらからお問い合わせください。

昨年、ランサムウェアが増加したことが報告されている。ベライゾンの2022年データ侵害調査報告書では、2021年の全体的な攻撃は25％増加した。サイバーセキュリティイベントは、高度に相互接続された能力で運営されている今日の組織にとって、より衰弱させるものであり、その結果、攻撃対象が広がり、サイバー回復力がさらに緊急性を増している。

サイバーセキュリティの現状

ここ数年、企業はデジタルトランスフォーメーションを遂げ、その結果、アプリ、クラウド、サービス、ワークロード、ユーザー、デバイスがマルチクラウドやハイブリッド環境で極めて相互接続された状態で運用されるようになった。この変革は、エンドユーザーの利便性向上に貢献する一方で、組織や企業をサイバー攻撃に対してより脆弱にしました。

今日、1つの企業が採用するアプリやデータベース、デジタル・サービスの数は膨大であるため、サイバー・セキュリティ・リーダーは、攻撃を回避するために、より広範な脆弱性表面を監督・管理する必要がある。しかし、監督する必要があるのは攻撃対象領域だけではない。アプリケーション間の水面下の関係も意識しなければならない。相互に関連しているため、1つの資産に対するサイバー攻撃が成功すれば、システム全体とまではいかなくても、他の資産を危険にさらす可能性がある。そのため企業は、ある資産が侵害された後でも他のシステムが安全に動作できるように、脆弱性を最小限に抑える方法を見つけなければならない。

アタック・サーフェス・マネジメント

攻撃対象領域の拡大による脆弱性の増大に対する解決策は、攻撃対象領域の管理である。この新しいサイバー・セキュリティ戦略では、ビジネス・システム内の関係をマッピングし、セキュリティ・カバレッジ・ギャップの発見を自動化することで、組織がリスクを軽減できるようにする。攻撃対象領域の管理によって、組織はシステム全体を保護する予防的なポリシーと計画を実施し、脆弱性を見過ごす傾向を最小限に抑えることができる。

ここでは、企業が攻撃対象領域の管理を導入するためのいくつかのステップを紹介する：

新しいベンダーを注意深く評価し、サードパーティとの安全な統合や、公開されたインターフェイスがあることを確認する。

報告基準を導入する。CISO標準を最大限に活用し、新たな資産、脆弱性、対処したチケット、阻止した攻撃、および重要なビジネス機能に関連する攻撃サーフェスをマッピングする。

アプリの作成、サードパーティのアクセス、ID管理における透明性の必要性を強調する。

刻々と変化する潮流に対応する

攻撃対象の保護と管理は、今日のサイバー・セキュリティ情勢において極めて重要です。企業はますます相互接続が進むシステムをパスワードレス認証で保護することができます。Nok Nok Inc.のパスワードレス認証システムは、アタック・サーフェス（攻撃対象領域）管理戦略とうまく統合されています。このシステムにより、ユーザは盗みやすいパスワードを使用することなく、プラットフォームやアプリ間で安全にサインインすることができます。当社のパスワードレス認証は、サイバーエコシステム全体を攻撃から守ります。また、多要素認証により、パスワードが漏えいしても他の資産は安全です。Nok Nok Inc.の製品についてはこちらをご覧ください。

リモートワークの時代だ。97％以上の労働者がリモートワークを好み、より多くの雇用主がリモートワークを受け入れ始めている。しかし、サイバーセキュリティのリーダーにとっては、リモートワークはサイバーセキュリティリスクの増大を意味する。従来、IT専門家は、従業員が会社のデータやアプリに安全にアクセスできるようにするためにVPNに頼っていた。しかし、VPNはもはや現代のハイブリッドな職場には適していません。鍵となるのはパスワード不要のゼロトラスト・セキュリティ

VPNがもはや十分でない理由

仮想プライベート・ネットワーク（VPN）はかつて、インターネット上のプライバシーとセキュリティの頂点にあった。暗号化された接続によって組織のネットワークが保護される一方で、従業員は信頼できるコンピューターを通じてデジタルで情報をやり取りすることができる。しかし、リモートワークやBYOD（Bring Your Own Device）の台頭により、VPNはハッカーの格好の標的となっている。

従業員が自分のデバイスを職場に持ち込んでいるため、IT管理者はデバイスの安全性を監視できなくなっている。そのため、漏洩したデバイスやクレデンシャルがVPNネットワークにアクセスすると、ネットワーク全体も漏洩してしまう。IT管理者がネットワークが侵害されていることに気づくのに何年もかかることもあり、その場合、自社のデータ（および顧客のデータ）が何年も継続的に流出することになる。

それとは別に、VPNはもはや現代の職場環境には合わない。VPNネットワークの維持にはコストと時間がかかり、その結果ユーザー・エクスペリエンスが低下している。IT管理者が各デバイスをチェックし、信頼できることを確認するにはコストがかかる。地理的に異なる地域にリモート・ワーカーがいる組織では、これらの従業員の所在地に追加のVPNサーバーを設置する必要がある。

現代のソリューションゼロ・トラスト・アプローチ

ゼロ・トラスト・セキュリティ・モデルでは、すべてのデバイスの信頼性を排除し、組織のデータへのアクセスを許可する前に、ネットワークの内外を問わず、すべてのユーザーの認証、承認、検証を必要とする。これにより、認証情報の悪用や漏洩を最小限に抑えることができる。

この種のセキュリティ・フレームワークは、分散型ITネットワークを利点に変える。ゼロ・トラストは、ネットワークにアクセスしようとするすべての試みに継続的な審査を要求することで、ハッカーのアクセスを制限することができ、その結果、データ侵害の影響を抑えることができる。また、IT管理者は侵害をすぐに検知し、すぐに対応することができる。

パスワード不要のセキュリティ・アプローチ

ゼロ・トラスト・アプローチは、パスワード不要の認証で実施するのが最適である。KBAベースの認証は、ユーザーにとって負担が大きく、ハッカーにとっては標的になりやすい。パスワードをキー・ベース認証に置き換えることで、組織は99.5％のサインイン成功率、78％のサインイン速度向上を享受し、従業員と顧客のログイン全体にわたってセキュリティが向上する。

Nok Nokの製品をご覧いただき、パスワード不要の認証がお客様の組織にどのようにフィットするかをご確認ください。

2021年後半以降、米国の一流企業や連邦政府機関に対するサイバーセキュリティ攻撃が相次いだことを受け、下院歳出委員会はサイバーセキュリティ対策に追加で資金を提供するという重大な決定を下した。データ漏洩や盗難は、組織や個人、特に政府機関を悩ませてきた深刻な問題である。今回の動きは、米国にとって、民間および公的なセキュリティ技術の進歩を可能にする、変革の可能性を秘めた一歩である。

サイバーセキュリティに150億ドルを計上

下院歳出委員会は、2023会計年度のサイバーセキュリティ対策費として150億ドルを計上した。これらの投資は、連邦政府機関にセキュリティ基準の改善を促すバイデン大統領の大統領令を受けたものである。この大統領令は、政府機関と民間企業との情報共有を改善することに重点を置き、予防措置の強化に加え、FIDOアライアンス仕様を含むゼロ・トラスト・ポリシーの採用を各機関に促している。

文民組織であるCISA（Cybersecurity and Infrastructure Security Agency）は、バイデン政権の要求額を4億1700万ドル上回る29億ドルを受け取った。この投資は、国家サイバーセキュリティ保護システムの下で、CISAが他の連邦政府機関に提供している主要サービスを補完するために行われる。主なサービスには、継続的な診断と緩和、エンドポイント検知、FIDO Webauthnなどが含まれる。

下院歳出委員会は、国防総省に112億ドルを割り当て、CISAともっと協力する方法を研究するよう要請した。議員たちは国防総省に対し、ロシアや中国からの侵入に対応するCISAを支援するよう要請した。

他の部局も、セキュリティ能力の向上、研究やエンジニアリングの支援、さらには将来のサイバーセキュリティ専門家の採用や育成（全米科学財団の場合）を目的とした資金を獲得した。

追加資金を獲得した各機関は、それぞれサイバーセキュリティ部門を持ち、セキュリティ攻撃から守ることを任務としている。下院歳出予算で割り当てられた追加資金は、これらの機関に権限を与えることになる。各省庁のサイバーセキュリティ能力を強化することは、最終的に国家の安全保障を強化するビルディングブロックとなるだろう。

国防の強化

技術開発が進むにつれ、サイバー犯罪の技術も進化し、最新のサイバーセキュリティの必要性もより速いスピードで進化しています。このようなリスクや脅威はますます複雑化しているため、Nok Nok Inc.はグローバルなFIDOアライアンスとともに、エンドユーザーを保護するためのより安全なサイバーセキュリティ対策を推進し続けています。FIDOベースのバイオメトリクス認証方式によるパスワードレス認証は、組織のセキュリティ強化に向けた重要な一歩です。Nok Nok製品の詳細はこちらをご覧ください。

アップルはiPhoneのオペレーティング・システムの新バージョン、iOS 16をリリースした。最新バージョンは、デザイン、カスタマイズ、アクセシビリティ、そしてパスワードレス認証によるセキュリティにおいて、より優れた革新を提供する。

カスタマイズ可能なロック画面

iOS16では、ロック画面をよりカスタマイズできるようになった。ロック画面とホーム画面に異なる壁紙を設定できるようになった。また、ロック画面に表示するフォントやウィジェットもカスタマイズできる。

改良されたフォーカス機能

アップルはフォーカス機能を改良し、フォーカス機能がアクティブなときに通知を受け取りたいアプリをユーザーが手動で選択できるようにした。また、誰が通知を受けるかをカスタマイズすることもできる。

よりスマートなSiri

以前のバージョンではSiriを使うのが難しかった機能が改善され、音声アシスタントがより使いやすくなりました。Siriは、シンプルな音声機能で電話に出たり、通話を終了したりできるようになりました。Siriでのテキスト入力も改善され、句読点を自動的に追加できるようになったため、ユーザーが口述する必要がなくなりました。また、「emoji」と絵文字の説明を言うことで、絵文字を追加することもできます。

よりスムーズなディクテーション

iOS16では、会話とタイピングの切り替えがスムーズになった。キーボードは話している間も開いたままなので、いつでも使うことができる。置き換えたいテキストをタッチすると、音声に置き換えることができる。

ライブテキストへの追加機能

Live Textに、マルチメディアからの情報抽出をより便利にする機能が追加されました。新しいアップデートにより、Live Text機能で画像や動画内のテキストを認識し、コピーできるようになりました。新しいビジュアル・ルックアップ機能では、画像内の被写体を持ち上げ、任意のアプリで入力することができる。これら以外にも、アップデートには翻訳機能、15分間の取り消し、通貨変換が含まれている。

ライティングの改善

iPhoneのネイティブ・キーボードもハプティック・タイピングにアップグレードされ、よりスムーズで効率的な入力が可能になった。ハプティック・キーボード・フィードバックは、個別にオン・オフが可能だ。 iOS 16はまた、iMessagesでの無制限・編集機能を備えている。iPad OS 15で初めて導入されたクイックメモ機能は、iOS 16でも利用できるようになった。

パスキーによるパスワードレス認証ログイン

パスキーはデジタル暗号認証機能で、様々なアプリ、ウェブサイト、サービスのパスワードを保存し、ユーザーが多くのパスワードを覚える必要がないようにします。パスキーは特定のデバイスにローカルで、iOS 16ではバックグラウンドで行われます。パスワードレス認証は、ユーザーをサイバー犯罪から守ると同時に、ユーザーにとっての利便性を保つものであり、2020年にパスキーの利用が拡大したのも当然と言えます。

パスワードレス認証システムに興味がある方は、こちらをお読みください。

デジタル専用銀行は、デジタル・プラットフォームを通じてバンキング・サービスを提供することで、利便性を提供している。しかし、大半の消費者は、データ・セキュリティーに対する懸念から、デジタル専用銀行への移行に消極的な姿勢を崩していない。こうした懸念や金融機関に対する継続的なサイバー犯罪攻撃を考慮すると、デジタル専用銀行はパスワードレス認証を通じてサイバーセキュリティ能力を強化する義務がある。

データ・セキュリティの問題

米国消費者庁の報告によると、COVID-19の大流行が始まって以来、サイバー犯罪の件数は倍増している。ここ数年、デジタルバンキングや電子商取引が一般的になったため、エンドユーザーにとってのデータセキュリティ問題も増加している。サイバー犯罪者がエンドユーザーを標的にし始めたことは明らかである。消費者は、パスワードの漏洩、財産の盗難、個人情報の盗難、詐欺などを心配している。したがって、デジタル専用プロバイダーは、サイバー犯罪との戦いの最前線にいる。

Pymnts.comの調査によると、デジタル専用銀行が提供する摩擦の少ないユーザーエクスペリエンスは消費者にとって魅力的だが、サイバー犯罪への恐怖が抑止力の第1位であることが明らかになった。デジタル専用銀行に対する不信感は、特にベビーブーマーとX世代に強いが、ミレニアル世代にも存在する。しかし、リスクに対する意識が高まるにつれ、消費者は安全のために利便性を犠牲にすることを厭わなくなっていることは朗報である。

パスワードレス認証でセキュリティを強化

サイバーセキュリティは、金融セクターにとって常に最大の関心事である。金融規制当局は、消費者の安全を確保するため、デジタル・バンキングに厳格なセキュリティ基準を設けている。しかし、サイバー犯罪の手口や巧妙さは日々進化しているため、サイバーセキュリティ能力は継続的に強化されなければならない。

デジタル専用銀行がサイバー・セキュリティ能力を強化することは、もはや組織内部のデータを強化することだけでなく、より重要なことはエンド・ユーザーを保護することに重点を置くことである。知識ベースの認証は非常に安全でないことが証明されており、時間の経過とともに安全性は低下している。消費者は強力なパスワードの作成と記憶で苦労することが多く、ハッカーがパスワードを解読するのは容易であり、さらにフィッシングのような手法もあるため、ユーザーは知らず知らずのうちに自分のユーザー名とパスワードを明かす可能性があり、このセキュリティと認証方法は過去のものとなっている。

パスワードレス認証とは、公開鍵-秘密鍵-暗号化鍵をデバイスの生体認証と組み合わ せて使用し、知識ベースの認証に取って代わる最新のタイプの認証である。FIDOとして知られるグローバル・アライアンスは、公開鍵と秘密鍵のペアを活用する一連のパスワードレス認証標準をサポートしている。公開鍵はサービスと共有されるが、秘密鍵はユーザーの暗証番号または指紋や顔認証などの生体認証によって保護されるため、安全なままである。

パスワードレス認証はエンドユーザーにとって非常に便利ですが、消費者や従業員にとっても最も安全でセキュアな方法です。組織のサイバーセキュリティ強化にご興味のある方は、業界をリードするNok NokのFIDOプラットフォームの詳細をご覧ください。

「クラウド・コンピューティング」と「クラウドベースのアプリケーション」は、企業レベルのデジタル活動に多くの大きなメリットを提供し続けている。クラウド "で計算やソフトウェアのニーズをオンラインに移行することで、企業にはコスト面でも運用面でも多くのメリットがもたらされる。クラウド・コンピューティングを利用する企業は、ハードウェアを購入することなく、オンラインで計算ニーズを実現することができる。多くの場合、クラウドベースの計算能力は、自社で機器を購入した場合の金額を上回る。

同時に、ストレージやアプリケーションを自由に利用できるため、役員や社員がデータを取り出したり、ホームオフィスの1台のマシンで作業したりする必要がなくなる。スタッフが適切な機器とアクセス許可を持っていれば、データとソフトウェアはいつでもオンラインで利用できる。

しかし、こうした具体的な作業やコスト面でのメリットには、セキュリティなどの新たな懸念がつきまとう。

IT専門家はサイバーセキュリティを懸念している

オンライン・データやアプリケーションへのアクセスが容易であるということは、従業員がオンライン対応のデバイスであればどこからでもデータやソフトウェアにアクセスできる可能性がある一方で、犯罪者もアクセスできる可能性があるということでもあります。クラウドベースのストレージとコンピューティングには、サイバーセキュリティに関する特別な配慮が必要だが、Ponemon Instituteが1500人のIT担当者を対象に実施した調査では、ITおよびセキュリティ・リーダーの60%が、クラウドベースの運用に必要なサイバーセキュリティの追加要件を正しく処理する組織の能力に自信を欠いていた。回答者の59%は、アカウント乗っ取りやクレデンシャル/ID盗難をサイバーセキュリティリスクのトップとして挙げている。

特に複数のデバイスが同じアカウントにアクセスできるようになった現在、単一のパスワード・システムのような従来のセキュリティ手法では、現代のセキュリティ・ニーズを満たすにはもはや不十分であることに、多くのIT担当者が気づいています。ゼロトラスト・ネットワーク・アクセスのような新しいプロトコルは、多要素認証のような新しいセーフガードを採用し、より安全なアクセス・レベルを追加し、場合によっては、アカウントやデータにアクセスするために何かを記憶する必要のない生体認証、パスキー・システム、その他のメカニズムを使用して、パスワードの必要性を完全に排除します。

より安全な未来

より多くの業務がクラウドベースのアーキテクチャに移行する中、組織はこの移行に伴い、サイバーセキュリティを適切に強化する必要がある。新しい多要素セキュリティの概念は、単一パスワードシステムの脆弱性を取り除き、その脆弱性を相殺しようとする英数字の長い文字列の不便さを解消することができる。Fast Identity Online AllianceまたはFIDOのようなグループは、この移行を標準化し、企業にとってより簡単で相互運用可能なものにする手助けをしている。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。