かつて、デジタル・セキュリティの伝統的な形態は、認証のための単一のパスワードで構成されていた。単一パスワードは実装や確認が簡単で便利な反面、このシステムは脆弱であり、他の点では不便でさえあった。こうした脆弱性は、企業がクラウドベースのコンピューティングやアプリケーションに移行するにつれて明らかになりつつあるが、幸いなことに、パスワードレス認証のような解決策がある。

パスワードの問題

まず、パスワードそのものの問題があります。なぜなら、パスワードを盗んだり推測したりすることで、データへの完全なアクセスやアカウントの完全なコントロールが可能になってしまうからです。回避策のひとつは、英数字のランダムな長い文字列で、ユーザーが覚えにくい「強力な」パスワードを使うことです。そのため、「パスワード疲れ」のために、便宜上このガイダンスを無視する人もいます。もう1つの解決策は、システムのさまざまな側面を処理するために多くのパスワードを持つことだが、パスワードの数と複雑さのために、これはしばしばパスキー・マネージャーを必要とし、インターフェイスの特別なレイヤーを追加します。

その結果、パスワードを盗む方法が予測できるようになった。発生するデータ漏洩の80%は、偽の電子メールや電話、その他のソーシャル・エンジニアリングによってユーザーを騙して自発的にパスワードを入力させる「フィッシング」か、ユーザーをスパイしてアクセス行動を監視し、ユーザーがパスワードを入力した際に盗み出す「中間者攻撃」のどちらかの結果であることがほとんどだ。

パスワードレス認証のためのパスキー登場

パスキーのコンセプトは、デジタル・セキュリティでは比較的新しいアイデアですが、パスワードレス認証には大きな期待をもたらします。これは、アップル、グーグル、マイクロソフトなどの企業がFIDOアライアンスと協力して実装している機能で、パスワードレス認証を簡単に行うために、強力な暗号鍵を生成してくれることになります。パスキーを受け付けるアプリを見つけたユーザーは、ユーザー名やアカウントごとにパスキーを作成することができます。そのパスキーは、テキスト入力の自動入力や自動訂正機能と同じように、ワンタッチで自動的に入力されます。

このシステムでは、ユーザーアカウントやパスキーシステムが存在しない他のデバイスにログインすることさえできます。パスキー機能を有効にするだけで、ユーザーの携帯電話がスキャンするQRコードが作成され、携帯電話上のパスキーがすべてを検証・認証できるようになります。フィッシングや中間者攻撃を排除する一方で、パスワードレス認証をシンプルで簡単に利用できるようにする、より耐久性のあるシステムにセキュリティが取り組んでいるもうひとつの方法です。FIDOプロトコルを使用し、パスワード不要のシステムに移行することに興味がある方は、こちらをお読みください。

Nok Nokは、独自の一次調査を通じて、現在のシステムレベルの認証プロセスの状態や、認証の失敗がビジネスに与える影響との関連性についてのビジネスデータが限られていることを認識していました。このギャップを解決する初の取り組みとして、Ponemon InstituteはNok Nokと共同で、現在デジタルトランスフォーメーション・プロジェクトを進めている企業を対象とした業界調査を開始しました。

この Ponemon 社の調査の主な発見は、認証の失敗によって組織が直面するさまざまなリスクと影響 を理解する上で、IT セキュリティ・マネジャーとビジネス・マネジャーの間にギャップが存在するという ことである。 

認証にかかる費用を学ぶ

これは、Ponemon Institute for Nok Nokが昨年夏に実施した「The Costs of Authentication Failure and Negligence（認証の失敗と過失がもたらすコスト）」と呼ばれる調査から得られた大きな収穫のひとつである。1,000人以上の企業参加者にインタビューしたこの調査によると、認証の失敗によって発生するのは単なる顧客の迷惑だけではない。組織は、このような障害に年間平均300万ドルを費やしており、1回の損失額は最大で3900万ドルから4200万ドルに及ぶ。 

こうした損失には、セキュリティチームがさまざまな問題を解決する間のダウンタイムやビジネスの中断に関連するコスト、顧客の損失、ブランドイメージの低下による長引く影響などが含まれる。企業規模になると、システムレベルの障害の深刻さは非常に大きくなる。パスワードを覚えられない顧客が一人いるのと、覚えられない顧客が大勢いるのとでは、まったく別の話だ。同様に、1人がアカウントを押収されたり、身代金を要求されてデータを奪われたりするのはまずいことだが、組織全体が壊滅的な打撃を受けることになる。このような情報漏えいの最も一般的な原因は、認証の失敗である。例えば、パスワードのガイダンスを覚えられないために顧客が他所に仕事を移したり、単に遵守する気がなく、より便利だが安全性の低いプロトコルを提供する組織に移ったりすることである。

このマスタークラスはNok Nokが主催し、以下のような業界の様々なエキスパートが講演する：

ラリー・ポネモン（ポネモン研究所創設者兼会長

フィル・ダンケルバーガー（Nok Nok Labs社長兼CEO

Nok Nok Labs マーケティング＆戦略イニシアチブ担当副社長 ジム・デリ・サンティ氏

調査対象者の半数近くが、認証の失敗が企業にとって重大なセキュリティ上の課題であることに同意しており、今日のMFAソリューションはユーザー・エクスペリエンスに悪影響を与えるため、こうした失敗を防ぐことは困難であるとしている。そして悲しいことに、回答者の60％以上が毎月10回以上の認証障害を検知しており、これらの障害によって回答者が経験したダウンタイムは平均して月に約6時間である。 

調査回答者によれば、認証に失敗する理由はいくつかある。 

第一に、盗まれた認証情報を使用する犯罪者を特定し、実際の従業員と区別することは困難である。回答者のうち、犯罪者を見つけるのが「簡単」または「難しくない」と答えたのはわずか13％だった。回答者の約3分の1は、自社がクレデンシャル盗難攻撃を十分に可視化できていると答えている。この調査では、無作為の推測ではなくユーザーの実際のパスワードの窃盗、そのアカウントを使っての不正購入やその他の取引、機密データの窃盗が検討された。 

次に、認証プロセスを高いレベルで管理できていると感じているのは、わずか 19％であった。次に、これらの障害の半分以上が検出されないままであると考えているのは 33％で、3 分の 2 は、これらの障害の頻度（重大度については 55％）が過去 1 年で増加したと主張している。 

マスタークラスに申し込むと、認証失敗のコストについてさらに貴重な洞察を得ることができます。FIDOプロトコルについて学び、パスワード不要のシステムに移行することに興味がある方は、こちらをお読みください。

PCベースの代替システムとして不動の人気を誇るアップルは、最新のオペレーティング・システム・アップデート「macOS Ventura」の新機能の数々を発表した。最新のアップグレードは、ユーザーにとってMacコンピュータの利便性と機能性を拡大し、パスワードレス認証でデータやデバイスを保護する方法を数多く導入している。

マルチタスク・マネジメント

異なるアプリケーションやソフトウェアのウィンドウを行ったり来たりする必要があるユーザーにとって、「ステージ・マネージャー」は集中力を維持し、軌道に乗るのを助ける微調整のひとつだ。現在使用中の主要なソフトウェアは中央のウィンドウとして表示されるが、現在「プレイ中」の他のソフトウェアは、アクセスしやすいようにサイドのセカンダリウィンドウとして表示される。

メールも一新され、整理と検索機能が大幅にアップグレードされた。メールの連絡先、メールそのもの、あるいは特定の添付書類や写真も簡単に検索できるようになった。指定した期間内に特定のメールに返信したり、再訪問するようリマインダーを設定することもできる。

デバイスの相互接続性

新しいOSはまた、ワイヤレスでもiPhoneの存在を認識できるように特別に設計されている。"Camera Continuity "は、macOS VenturaがiPhoneをウェブカメラとして使用できるようにする新機能で、これらのデバイスにワイヤレスで接続して使用することができる。ユーザーはiPhoneをコンピュータにマウントすることも、好みに応じて手持ち撮影を続けることもでき、光を落としたり顔の特徴を強調したりできるスマートな機能を備えている。

パスワードレス認証によるサイバーセキュリティ

おそらく最も重要なのは、macOS Venturaに新しいセキュリティ機能が追加され、デバイスの使用がこれまで以上に安全になったことでしょう。Safariブラウザーのユーザーは、「パスキー 」と呼ばれるパスワード不要の認証機能を利用できるようになりました。パスキーとは、特定のデバイスにローカルに残るデジタルキーのことです。このパスキーは、ユーザーの利用状況や好みに応じて異なるパスワードレス認証機能によってのみ解除できます。

アップルはすでに、生体認証に基づくパスワード不要のさまざまな認証方法をユーザーに提供している。そのため、Touch IDであれFace IDであれ、ユーザーはランダムな英数字の長く難しい文字列を覚える心配はない。iCloud Keychainは、この同じセキュリティをエンドツーエンドの暗号化によって、Mac、iPhone、iPad、Apple TVなどのデバイス間で同期させることができる。このセキュリティは、iPhoneを使用しているApple以外のウェブサイトやアプリケーション、Apple以外のデバイスにも適用されます。 

これらのステップにより、アップルユーザーは、不便な手順や対策を講じることなく、なりすましの試みを強力に撃退する、より安全なデジタル体験に一歩近づくことができます。FIDOプロトコルの使用とパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

バイオメトリクスとは、暗記した単語やフレーズを入力する代わりに、顔や声、あるいは親指のような指紋など、ユニークな個人的特徴を利用して身元を確認する、パスワード不要の認証の一形態である。バイオメトリクスは徐々に金融取引に組み込まれつつあるが、新たな研究によると、この傾向は爆発的に拡大するという。

バイオメトリクス・バンキング

ジュニパー・リサーチによると、生体認証による金融取引は2027年までに1兆ドルを超えるという。遠隔決済、特にモバイル機器を通じた決済となると、PIN番号とパスワードが依然として主流である。生体認証がスマートフォンやタブレットなどのモバイル機器に徐々に統合されつつある現在、その取引額は約3320億ドルに上ると推定されている。

つまり、ジュニパーリサーチ社の試算が正しければ、生体認証を利用した遠隔決済は今後5年間で約365％増加すると予想される。

必要性による成長

バイオメトリクスの成長が起こっている理由はいくつかある。最大の原動力は利便性である。バイオメトリクスは迅速かつ簡単である。強力な」パスワードのために、ランダムな英数字の長い文字列を記憶する必要はない。アップルのような大手テクノロジー企業は、アップル・ペイのような金融ソフトウェアにバイオメトリクスを組み込み、アップル・ユーザーにとって簡単にアクセスでき、使いやすい決済手段にしている。

もうひとつの要因は、政府の介入である。例えば、欧州連合（EU）には「第二次決済サービス指令」（PSD2）があり、サイバーセキュリティに改めて重点を置いている。強固な顧客認証（SCA）はこの指令の一部であり、パスワードだけに頼らない多要素認証を意味する。バイオメトリクスは、これらの基準を満たすための重要な要素である。

バイオメトリクスの幅広い導入に貢献しているもう一つの要因は、FIDO（Fast Identity Online alliance）である。2013年に結成されたこの業界専門家の同盟は、パスワードへの依存を減らし、標準化されたプロトコルを推進することにコミットしている。

FIDOは最近、大手テック企業のマイクロソフト、アップル、グーグルから公式発表があり、FIDO標準を技術的に普及させる意図で、FIDO標準を幅広くサポートすることを発表した。この取り組みは、早ければ来年にも展開され、さらに普及が進むだろう。

バイオメトリクスは、パスワードを使わずに認証するための、高速で安全でより便利な方法です。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

個人金融はかつてないほど利用しやすくなっている。平均的な消費者は、銀行の支店が開いているときに利用することに限られていたのが、特定の場所で24時間365日自動預け払い機を利用したり、自宅のパソコンや外出先から携帯電話やタブレットなどのモバイル・デバイスを使って銀行口座にアクセスしたりすることができるようになった。しかし、顧客の資金の安全を確保するためには、より厳格なセキュリティ対策が必要となっている。そこで、最新のバイオメトリクス認証のような、より優れた、より便利な対策が導入されない限り、事態は複雑になりかねない。

お金を守る

かつて銀行口座にアクセスするには、銀行の支店を訪れ、通帳や本人確認書類を提示しながら書類に記入する必要があった。しかし、デジタルの世界では、個人の財務にアクセスするための主役はパスワードである。PYMNTS.comによると、財務データにアクセスする人の64％が、少なくとも月に一度は従来のユーザー名とパスワードの組み合わせを使っている。

残念なことに、パスワードは個人の選択によっては極めて脆弱なセキュリティーとなりうる。無知や怠慢から、推測されやすいパスワードを選んでしまい、金融データを不正アクセスにさらされやすい状態にしてしまう人もいる。その解決策は、「強力なパスワード」とユーザー名を使うことである。このパスワードは通常、ランダムな英数字の組み合わせの長い文字列で構成され、推測を不可能にする。残念なことに、この方法ではパスワードを覚えるのが非常に難しくなり、信じられないほど不便になる。

物事をより簡単に

そこで、FIDOのバイオメトリクス認証方式が大きな影響を与える可能性がある。PYMNTS.comによると、調査対象となった消費者の60％以上が、従来のユーザー名／パスワードの仕組み以外のシステムを試してみたいと考えている。 これは、複数のモバイルデバイスでオンライン金融サービスにアクセスする消費者では73％以上に跳ね上がる。

バイオメトリクス認証は、ユーザー名とパスワードを暗記するのではなく、推測に よって悪用されることのない個人の固有の特徴を利用する。その特徴とは、顔、指紋、音声識別、またはその他の要素である。しかし、重要な特徴は、顔が "推測 "できないことである。泥棒が人の顔を知っているからといって、その知識は人の顔を必要とするシステムへのアクセスには役立たない。USB暗号化キーや複数のバイオメトリクス確認など、他の仕組みと組み合わせることで、ユーザー名とパスワードを入力するよりも速く、暗記を必要としないためより便利な多要素認証システムを形成することができる。

より多くの人々が、複数のプラットフォームやデバイスを横断してデータにアクセスするモデルに移行するにつれ、より優れた、より高速で強力なセキュリティ・システムが必要とされている。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ある種のソフトウェアはどこにでもある。マイクロソフト・ウィンドウズは世界中の何百万台ものコンピューターに搭載されているし、グーグル・クロームは多くの人に好まれるデフォルトの検索エンジンだ。Javaプログラミング言語もそのようなデジタルツールのひとつで、モバイルソフトウェアからウェブベースのアプリケーション、さらには多くの企業が依存しているミドルウェアまで、あらゆるものに広く使われている。残念ながら、このユビキタスなソフトウェアが、場合によっては逆効果になることがあり、サイバーセキュリティもそのひとつだ。Java開発者のお気に入りであるLog4Jロギング・ユーティリティに重大な脆弱性が発見された。

Log4Jとは？

Log4Jユーティリティは、Javaソフトウェアの世界で最も人気のある開発者ツールの1つです。これはJavaベースのオープンソースのロギング・ユーティリティである。これは、開発者がソフトウェアの欠陥を監視し、最終的に対処できるように、エラーのような「イベント」を追跡し、報告するようにプログラムすることができる。Log4Jユーティリティは、その手軽さと有用性から、膨大な種類のソフトウェア、特にこの組み込みソフトウェアが存在する何億ものモバイルデバイスに組み込まれている。

残念ながら、Log4Jユーティリティに脆弱性が発見され、Log4Jは非常にユビキタスであるため、深刻なサイバーセキュリティの脅威となっている。

サイバーセキュリティにおける重大な制御不能

Log4Shellの脆弱性は、一般的な脆弱性スコアとして、脅威の観点から最も深刻な指定である10が与えられている。このサイバーセキュリティの脆弱性を悪用した具体的な例としては、DDOS攻撃、リモートからのアプリケーションの奪取・制御・実行、企業ネットワークへのアクセスを犯罪者の最高入札者に競売にかけること、さらには暗号通貨のマイニングのためにネットワーク内のデジタルリソースを分割することなどが挙げられる。

なぜ起こるのか

Log4Shellの脆弱性は、コストと安全性の間の闘いの最新の例である。ソフトウェアにおける最もコスト効率の良いアプローチは、社内で独自のオーダーメイド・ソリューションを作るよりも、既存のリソース、時には古いものでさえも利用することだ。しかし、これによってコストが下がる一方で、古いアプリケーションやプロセスは、最新のアプリケーションやツールに比べて脆弱になりがちである。どの企業も、セキュリティにどれだけのコストをかけるべきか、頭を悩ませている。

現在、企業はこの脆弱性を特定し、対処し、パッチを当てるために奔走しているが、これは最新のセキュリティ対策を維持する継続的な必要性を示しています。新しいソフトウェア、新しいアップグレード、そしてパスワードを不要とするIDや認証のような新しいユーザー・コントロール・システムは、最新のパスキーがフィッシングに強く、ユーザー中心のセキュリティを提供するため、重大な脆弱性が発見され、悪用される可能性を減らすことができます。

FIDOプロトコルを使用し、パスワードレスのIDおよび認証システムに移行することに興味がある方は、こちらをお読みください。

近年、デジタル・セキュリティの強化に再び関心が集まっている。生体認証やその他のパスワードレス認証の利用は、エンドユーザーがより安全でセキュアな環境を維持する上で大きな進歩を遂げている。

しかし、安全なデジタル環境を維持するために重要なのは、ユーザーだけではない。専門家をはじめとする有資格のデジタル・セキュリティ・スタッフが不可欠であり、これは米国では深刻な問題になりつつある。

需要が供給を上回る

米国では現在、100万人の米国人がデジタル・セキュリティ分野で働いていると推定されている。しかし、早急な補充が必要な欠員は約60万人で、そのうち50万人以上は民間企業だけである。フォーブスによると、デジタル・セキュリティ・チームを持つ企業の45％が、有能なスタッフを必要とする人材不足を報告している。

これは、セキュリティ経験を持つITスタッフの「売り手市場」と見なすことができる。求人需要は現実のものであり、企業は、セキュリティのスペシャリストにアピールし、就職してそこにとどまる決断を揺さぶるための努力をしなければならない。しかし、これだけ多くの人材が不足しているため、すでにドミノ効果が起きている。

人手不足は不完全な仕事を意味する

バイオメトリクスでできることは限られている。パスワードレスの認証システムは、個々のユーザーを保護する上で大きな進歩を遂げることができるが、決して唯一のセキュリティ・メカニズムとして頼るべきものではない。特に、新しいセキュリティ・テクノロジーを既存のフレームワークに統合する際には、人間の専門知識が依然として必要である。

資格のあるセキュリティ要員の不足が最も深刻なのはここである。組織内の体系的な認証の問題や企業セキュリティの問題に取り組む有能な人材が存在しない限り、全体的な解決策は提供されない。デジタル・セキュリティの領域では、これは、熟練した人材とその専門知識の不足により、システム全体の脆弱性が対処されない可能性があることを意味し、これらが相まって企業のセキュリティ・リスクを増大させる。適切なセキュリティ要員が不足していると、コンプライアンスを維持するのに苦労し、脆弱性やシステム的な認証の失敗が発見されずに放置されることになります。

セキュリティとバイオメトリクスには人が重要

安全なビジネスを維持したいと思うだけでは不十分で、人材への投資が必要である。適切な予算を持つ大企業は、CISOに投資する意思を持たなければならないが、さらに重要なのは、そのCISOのニーズをサポートする準備が整っていることである。セキュリティ担当者が業務に必要な人材やツールを得られていないためにセキュリティが機能しないのであれば、その努力が報われないのは当然である。バイオメトリクスのような効果的で便利なセキュリティ対策を導入することは助けになるが、それは協調的な取り組みの一部に過ぎない。

FIDOプロトコルを使用し、パスワードレスのIDおよび認証システムに移行することに興味がある方は、こちらをお読みください。