31 10月

4分読む

FIDOベースのパスキーの作成と購入に関するトップ6の検討事項

2023年10月31日ニュース 0 コメント

サイバーセキュリティ啓蒙月間も終盤に差し掛かり、ベンダー各社が自社のソリューションがいかに貴社と貴社の安全を確保できるかを宣言しているのを耳にしたことだろう。検討すべきことはたくさんあり、もしかしたら、「構築対購入」のルートで自力で問題を解決できると考えているかもしれない。ここでは、最先端のFIDOベースのパスキーを採用する際の考慮事項について見ていきましょう。

組織が従来のパスワードに代わるものとしてパスキーの導入を検討する場合、多くの場合、MVP（Minimum Viable Product：利用可能最小限の製品）に焦点を当てることから始めます。しかし、本当の課題はMVPの先にあります。バージョン1.1以降で発生する未知の問題です。テクノロジーは常に進化しており、適応性と拡張性が要求される。ゼロから始めるか、経験豊富なベンダーを活用するかの決断が重要になるのはこの時だ。

以下は、あなたの意思決定プロセスのための6つの考慮事項です：

1.完全性最小利用可能製品を超えて

パスキーソリューションをゼロから構築することは、特に費用対効果や既存のインフラへの適合性の観点から、魅力的な提案に思えるかもしれません。しかし、MVP（Minimum Viable Product：利用可能最小限の製品）の先にある道を考えることは極めて重要です。技術の急速な進歩には、最新かつ将来への対応が必要です。パスワードレス認証ソリューションの経験豊富なベンダーは、MVP以上のものを提供するだけでなく、将来の拡張や改善への道を開き、組織が技術的な行き詰まりを回避するのに役立ちます。

2.多様な環境への対応：ネイティブアプリ、ウェブアプリ、デバイス、規制要件

パスキーが多様な環境をシームレスに統合できることは、基本的な要件である。ほとんどの定評あるベンダーは、このような統合を提供することに優れており、組織の時間とリソースを節約します。対照的に、この統合を社内で構築することは、特にコンプライアンス要件に対応する必要がある場合、時間とコストがかかります。パスワードレス認証専業ベンダーは、長年の経験を生かし、さまざまなデバイスや規制環境での互換性を確保している。

3.シームレスな統合とバックエンドインフラのサポート

技術環境はもはや均一ではありません。さまざまなハードウェアやソフトウェアのバージョン間で互換性を維持することは、社内で構築する場合、大きな課題となります。専用ベンダーは、クラウドのハードウェア・セキュリティ・モジュール（HSM）やシークレット・ストアを含む、組織の既存のバックエンド・インフラとシームレスに統合することで、このプロセスを簡素化することができる。この統合機能により、大規模なコード変更を最小限に抑えることができます。

4.メンテナンスの課題仕様への対応

パスキーソリューションにとって、進化するFIDOとWebAuthnの仕様に後れを取らないことは極めて重要です。組織は、自社で構築する場合、継続的なメンテナンスに必要な労力とリソースを過小評価しがちです。経験豊富な認証ベンダーと提携することで、パスキーの機能が常に最新の状態に保たれ、メンテナンスの負担が軽減されるため、企業は中核的な目標に集中することができます。

5.開発リスクとプロジェクトの失敗を減らす

特にパスキーのようなパラダイムを初めて実装する場合、自前開発には未知の未知数が内在しています。組織は、重要な要素を見落としたり、予期せぬ課題に遭遇したりする可能性があり、その結果、コスト増、遅延、ユーザーエクスペリエンスの低下を招く可能性があります。確立されたパスワードレス認証プロバイダと提携することで、彼らの豊富な経験とパスキー導入の成功から学んだ教訓を活用し、これらのリスクを軽減することができます。

6.投資と経験を生かす

パスキー・ソリューションを独自に構築することは、コストの観点からは魅力的に見えるかもしれないが、隠れた出費や機会を逃すことを考慮に入れていないことが多い。未知の問題は、時間とコストの両面で高くつく可能性があります。FIDO ベースの実装に関する専門知識と豊富な投資を持つ Nok Nok のようなベンダーを活用することで、既存のインフラにスムーズに適合し、貴重な知的財産を利用することができます。

結論

ゼロからソリューションを構築することは、費用対効果が高いように見えたり、既存のインフラにより適しているように見えるかもしれませんが、メンテナンスの課題や開発リスク、機会損失を過小評価することがよくあります。従来のパスワードレス・ベンダーの包括的なパスキー機能を活用することで、組織は、信頼できる業界リーダーの専門知識と投資の恩恵を受けながら、完全でスケーラブル、セキュアで将来性のある実装を確実に行うことができます。

10月5日

4分読む

Fun and Not so Fun Evolution of Authentication: Nok Nok’s Cybersecurity Month Special Series

2023年10月5日ニュース 0 コメント

デジタル世界という広大なランドスケープでは、セキュリティが最も重要である。テクノロジーが進歩するにつれて、サイバー脅威の高度化も進んでいる。このようなサイバーセキュリティの重要性を認識し、10月は「サイバーセキュリティ啓発月間」に指定されている。2000年代初頭に始まったこの月間は、サイバーセキュリティに対する意識を高め、デジタル資産を保護することの重要性について個人や組織を教育することを目的としている。

この「サイバーセキュリティ啓発月間」を通して、認証の進化の段階／レンズを通して魅力的な旅に出よう。ユーザーとシステムの身元を確認するプロセスである認証は、そのささやかな始まりから長い道のりを歩んできた。パスワードからバイオメトリクス、多要素認証（MFA）、ワンタイムパスワード（OTP）、そして最終的にはパスワードレスやパスキーへと、私たちのデジタルライフを守る方法に革命をもたらした変遷を探ります。

楽しい事実とそうでない事実

パスワードの時代
パスワードはデジタル領域における認証の先駆者である。そのルーツは、制限区域へのアクセスに合言葉や秘密のコードが使われていた古代にまで遡ることができる。コンピュータの時代になると、パスワードはどこにでもある認証手段になった。
面白い事実：1960年代初頭にマサチューセッツ工科大学（MIT）で使われたとされる世界初のパスワードは「password」だった。
面白くない事実：脆弱なパスワードはいまだに大きな脆弱性である。「123456 "と "password "は、最もよく使われるパスワードのリストで常にトップであり、より強力な認証方法の必要性を強調している。

バイオメトリクスの台頭
21 世紀は、バイオメトリクスの統合による認証のパラダイム・シフトをもたらした。バイオメトリクス認証は、指紋、顔認識、音声パターンなどのユニークな身体的または行動的特徴を使用して、個人の身元を確認する。
楽しい事実：本人確認の手段として指紋を使用するアイデアは古代バビロンにさかのぼり、そこでは商取引のために粘土板に指紋が使用されていた。
楽しくない事実： 現代のAIはディープフェイクを簡単に作成できるため、なりすましが実用的になり、所有要因の必要性も強調されている。

Multi-Factor Authentication (MFA)
セキュリティを強化するために、2つ以上の認証方法を組み合わせるMFA（または2ファクター）の概念が登場した。MFAは通常、あなたが知っているもの（パスワードなど）、あなたが持っているもの（スマートフォンなど）、そしてあなたが持っているもの（指紋など）の組み合わせを必要とする。
楽しい事実：MFAは、カード（あなたが持っているもの）と暗証番号（あなたが知っているもの）を必要とする銀行のATMカードの使用まで遡ることができる。
楽しくない事実：フィッシング攻撃は、レガシーMFAをバイパスすることができるため、フィッシングに強いMFAの必要性が強調されている。

ワンタイムパスワード（OTP）
OTPは、通常短期間有効な1回限りのコードを提供する動的な認証方法です。
面白い事実：OTPは2000年代半ばに人気を博し、以来、安全なオンラインインタラクションの標準となっています。
面白くない事実：OTPは簡単にフィッシングされやすく、ユーザーは自分が正当なアプリケーションにOTPを入力しているかどうかを知る簡単な方法がありません。

パスワードレス認証とパスキーの出現
従来のパスワードに関連する弱点をなくすために、パスワードレス認証とパスキーが人気を集めている。パスワードレス認証は、多くの場合、生体認証、デバイスの指紋認証、またはユーザを確認するための暗号キーを活用し、パスキーはデバイスに安全に保存されたクレデンシャルを使用する。
面白い事実：FIDO（Fast Identity Online）アライアンスは、パスワードレス認証標準の開発と採用において重要な役割を果たしている。
面白くない事実：新しい認証方法の採用は、組織の準備態勢や変化への抵抗のために遅れることがある。

結論

サイバーセキュリティ啓発月間は、日々進化するサイバーセキュリティの現状と、常に最新の情報を入手し、更新することの重要性を再認識させるタイムリーな機会です。パスワードからパスキーへの移行は、セキュリティを強化し、私たちのデジタル・フットプリントを保護するために、認証の領域で絶え間ない努力と革新が行われていることを示しています。サイバーセキュリティ啓発月間を祝うにあたり、これらの進歩を受け入れ、より安全なオンライン世界のためにデジタル防御を強化する努力を続けましょう。

26日

6分読む

AI Brings Need for Robust Security

2023年6月26日ニュース 0 コメント

タイトル AIがもたらす強固なセキュリティの必要性
By：ロルフ・リンデマン博士

新しいテクノロジーはしばしば新しいビジネスモデルを可能にする。それは新しい見解ではない。最新の新技術は人工知能（AI）である。そのような新しいビジネスモデルの最初の兆候が見えるたびに、新技術の潜在的な利益と脅威をめぐる議論が引き起こされる。私が注目した最新の議論は、大規模な攻撃を実行するためにAIを（誤って）使用する可能性であった。なぜなら、そこには根底にあるパターンがあるからだ。もしそれがあなたの関心を引いたなら、私についてきてほしい。

数年前、インターネットは、瞬時に情報を入手できる検索エンジンをもたらした。すべての情報を収集し、更新し続けることは、膨大で高価な努力（固定費）であるが、クエリーあたりのコストはごくわずかであるが、検索あたりの収益が（広告）収入を生み出すので、それは報われる。これは通常、スケーラブルなビジネスモデルと呼ばれる。

スケーラブルな攻撃の第一段階。つまり、悪意を持った人々は、スケーラブルな攻撃に基づいてスケーラブルなビジネスモデルを作り出すことができる。私たちはすでにそうした事例を見てきた。 2013年には、何億ものパスワードが盗まれ、その時点で10億以上のパスワードが盗まれた。ある意味、これがスケーラブル・アタックの第一段階だった。これらは、リピーター・ユーザーの認証に焦点を当てていた。 Nok NokはFIDOアライアンスの創設メンバーの一人であり、スケーラブルな攻撃から保護するFIDO認証仕様を発表した。

スケーラブルな攻撃の第2段階は、知識ベースの認証に焦点を当てた。つまり、母親の旧姓、初めて飼ったペットの名前、初めて買った車のモデル、社会保障番号などを尋ね、それらの質問に正しく答えられるのは自分だけだと思い込むのだ。残念なことに、インターネット上の検索エンジン（上記参照）は、しばしばそのような質問の答えを見つけることができるため、攻撃者がユーザーの代わりに新しいアカウントを作成することが容易になっている。この種の情報はどの当事者にとっても秘密とはみなされず、結果として頻繁に共有されていたため、これは本当に驚くべきことではない。本人確認が本質的に破られるその結果、連邦金融機関審査委員会（FFIEC）は、ID 検証は一般に知識ベースの質問のみに依存してはならないと述べた。文書中心の ID 証明は、この攻撃への対応として発展した。これは、ユーザーが写真 ID と顔をスキャンし、リモート・サービスにそれらが一致することを検証させることを意味する。

スケーラブルな攻撃の第3段階 お母さんから電話がかかってきたとき、どうやってお母さんだとわかりますか？第一に、携帯電話のディスプレイに彼女の電話番号が表示されるかもしれない。第二に、あなたは彼女の声を認識し、第三に、通話中、あなたは彼女があなたとやりとりする方法を認識する。 4つ目は、ビデオ通話で彼女の顔を認識することだ。つまり、4つの独立した方法があるわけだ。発信者番号通知」によるなりすまし攻撃について知っているように、電話番号に頼るのはやめよう。

では、彼女の声は？ここでAIの出番だ。 DALL-Eというエンジンについて聞いたことがあるかもしれないが、これは大規模な言語モデルを使ったエンジンで、あなたの指示（とトレーニングに使われた何億もの画像）に基づいて画像を作成する。 VALL-Eと呼ばれる同様のエンジンがあり、これはわずか3秒間の音声で訓練された後、誰の声でもシミュレートする。この技術がボンド映画で使われているのを初めて見たとき、私は「サイエンス・フィクション」だと思ったが、今では現実のものとなり、ダークネット上で誰でも簡単に利用できるようになるかもしれない。

お母さんの顔動画は？世間では「ディープフェイク」と呼ばれている。インターネット上には、非常に説得力のある例がある。ヨーロッパ最大のハッカー団体であるカオス・コンピュータ・クラブ（CCC）は、このような攻撃を使って著名な文書中心の身元証明サービスを攻撃する方法を実演した。繰り返しになるが、この種のツールはダークネット上で誰でもすぐに簡単に入手できるようになるかもしれない（あるいはすでに入手可能だが、私は確認していない）。

ということは、残された唯一のセキュリティー方法は、彼女があなたと接する方法ということになる。このやりとりはそう頻繁に変わるものではないと思うので、誰かが一度観察すれば、上記のツールを使って再現できる可能性が高い。繰り返しになるが、私の声もビデオ録画も秘密とはみなされない。それらはしばしばインターネット上で入手可能でさえある。だから、そのような公開情報を適切なタイミングで誰も複製できない場合にのみ安全であるような方法は堅牢ではない。

ここでの「教訓」は何だろうか？スケーラブルな攻撃に対して強固なセキュリティとなると、他人の声や動画を作成することの難しさに頼ることはできない。その代わりに、電子IDカードやハードウェアに裏打ちされたウォレットのように、ユーザーが所有するものに直接裏打ちされた暗号方式を使うか、FIDOセキュリティ・キーやパスキーなどに裏打ちされた強力なユーザー認証を使った、強力なセキュリティが証明されたクラウド・ウォレットのように、ユーザーが所有するものに間接的に裏打ちされた暗号方式を使わなければならない。

以前は理論的に攻撃可能であった（しかし現実的には攻撃されなかった）方法が、現在では現実的に攻撃されている（あるいは近い将来攻撃されるようになる）ためである。この強固なセキュリティへのシフトは、詐欺を抑制し、ビジネスを加速させ、ユーザーに安心を提供することにつながり、ePromiselandに近づくことになる。

2月15日

2分読む

Eコマース・チャネルのセキュリティ強化

2022年2月15日ニュース 0 コメント

セキュリティは、世界中の消費者の最優先事項であり、懸念事項のひとつである。キャッシュレス化が進む中、それは特に顕著である。幸いなことに、多くの組織がサイバーセキュリティの重要性に気づいている。例えば、EMVCoはFIDOアライアンスやW3Cと提携し、不正防止に取り組んでいる。

サイバーセキュリティによる安全な取引

EMVCo は、カードベースの決済を可能にする EMV 仕様とプログラムを管理・開発する組織で、安全な決済トランザクションの確保に継続的に取り組んでいる。グローバルな相互運用性に伴う課題に対処するため、同組織は強化されたEMV 3-Dセキュア（3DS）仕様を発表した。

最新バージョンはEMV 3DS 2.3と呼ばれている。このバージョンは、アクワイアラー、発行者、加盟店が様々な電子商取引のチャネルやデバイスを横断して不正行為に対抗する能力を強化する一方で、顧客体験を向上させることを目的としている。

EMV 3DS 2.3の概要

EMV 3DS 2.3採用の目的は、合理化された認証プロセスにより、顧客の全体的な支払経験をより良いものにすることである。同時に、EMV 3DS をチャネルやデバイスにまたがって導入する際の柔軟性も高まります。従って、発行者が不正取引を識別するのに役立ちます。

このバージョンの最も重要なアップデートの一つは、サイバーセキュリティに焦点を当てていることです。EMVCoは、不正行為に対する取り組みを強化するため、World Wide Web Consortium（W3C）およびFIDO Allianceと協力しました。この協力の結果、EMV 3DS フローに Web 認証（WebAuthn）と Secure Payment Confirmation（SPC）が組み込まれたのです。これらにより、イシュアーや加盟店は、取引が正当か否かをより適切に判断することができます。

その他に期待できることがあります：

複数のバリエーションを持つSplit-SDKモデルにより、従来型および非従来型の電子商取引決済チャネルやデバイスへのEMV 3DSの導入が容易になることが期待される。
消費者認証プロセスは、消費者のデバイスが認証の詳細を記憶するデバイス・バインディングをサポートするアップデート・バージョンによって、より高速化されると見られている。
帯域外への自動化された移行により、消費者は加盟店アプリケーションから、別の加盟店アプリケーションへ、またはその逆へとシームレスに切り替えることができます。
トランザクションとEMVペイメントトークンという追加データがあり、発行者がトランザクションをよりよく識別できるようになります。このデータは、将来的には認証の簡素化にも役立つでしょう。

EMV 3DS Specificationsの詳細については、同団体のウェブサイトをご覧ください。また、Nok Nokにご登録いただくと、サイバーセキュリティの最新情報をご覧いただけます。

10月17日

6分読む

安全な境界はなくなった

2020年10月17日ニュース 0 コメント

私たちにはチャンスがあります。今年は、かなり以前から進行していた根本的なシフトを急激に加速させました。セキュリティー・アーキテクチャーの核となる要素が排除されたのです。
「境界を安全に」は、コンピューターが部屋全体を占めていた時代からある時代遅れの概念ですが、今ではすっかり姿を消してしまったのです。当時の「セキュリティ」は、誰が物理的に部屋に入ることができるかによって定義されていました。論理的、物理的なセキュリティは一元化されていました。ワークステーションが一般的になると、安全な境界はエンドポイントの周りに作られるようになりました。コンピューティング技術が進化するたびに、何らかの方法で物理的な境界を再現しようとしてきました。しかし、「エンドポイントの考え方」に依存することには根本的な欠陥があります。結局のところ、エンドポイントは模倣され、なりすまされ、傍受される可能性があるのです。この時代遅れのモデルを強化しようとする限り、私たちは的外れなことをしてきたのです。境界は時間とともに消滅し続けています。

より多くのデバイスが導入され、ますます複雑になっている。同時に、データ漏洩、データの紛失、顧客の混乱、規制の強化、摩擦の増加、そして問題の増加も増え続けており、これらの問題はすべて「安全な境界」の崩壊に起因している。

先人たちの夢を遥かに凌駕する能力を持つコンピュータを発明し、世に送り出すために、天才たちは力を注いできました。しかし、これらのコンピューターの内部コンポーネントが時代とともに進化してきたように、セキュリティ・アーキテクチャーのコンポーネントも進化を必要としています。「境界を安全に」という概念が一貫して失敗してきただけでなく、その概念自体が、新しいデバイスについて別の考え方をすれば、これらの新しいデバイスでできることを制限していることになるのです。

1997年、スティーブ・ジョブズは私たちに "Think Different"（人と違うことを考えよう）と挑戦した。

2020年はすべてが変わった年だ。この30年間、セキュアな境界の要塞を崩す文化的な変化がゆっくりと起こってきた。在宅勤務、在宅勤務、"Bring-Your-Own-Device"（自分のデバイスを持ち込もう）などの動きは、これらの要塞の礎石を徐々に侵食してきた。COVID-19のロックダウンが3月に始まるまでは、完全なリモートワークが可能であったにもかかわらず、その動きは雪崩のように押し寄せ、セキュアな境界という概念を覆し、この時代遅れの概念を再考することを余儀なくされた。

これは触媒となる瞬間です。誤った思い込みを修正するだけでなく、顧客やパートナー、従業員が想像もしなかったようなアクセスを提供するような方法で、私たちのアーキテクチャを増強するために活用できるものです。結局のところ、壁のない世界がどのようなものか想像できるでしょうか？要塞を必要とせず、安全、安心、守られていると感じられることを想像してみてください。

第1回「全米サイバーセキュリティ意識向上月間」に参加した一経営者として、このコンセプトが恐ろしく思えることは認めよう。私は、皆さんの多くが抱えている責任を共有している。顧客データを保護し、パートナーのリソースを保護し、知的財産を保護し、競争力を維持し、収益を上げ、従業員の生活を保障する責任を共有しています。私もあなたと同じように、規制や業界を考慮する必要があります。私たちは皆、顧客満足度や従業員のニーズなど、複雑なリスクシグナルに支配されている。新しくて先見の明がある」ことをすれば、聞こえはいいかもしれないが、現状維持の惰性が恐怖に基づく決断を招くこともある。

恐怖に基づく決断の多くは、間違った道へと導き、好都合な道や選択肢を排除してしまう。

私がPGPを運営する機会に恵まれたとき、ある大手銀行と議論を交わしました。暗号化について話していたのですが、当時、暗号化は非常にサイロ化されていました。セキュリティ・アーキテクトとLine of Businessのオーナーが参加した会議で、私のアーキテクトの一人が、"もしすべてのデータが自動的に暗号化されたら、御社のビジネスはどのように変わるでしょうか？"と質問しました。

ライン・オブ・ビジネスの人たちは、「そんな馬鹿な。システムレベルの変更もあるし......。システムレベルの変更もあるし......それに......それに......」と言った。

その銀行のセキュリティ・アーキテクトは、「いや、そもそもそんなことはしていない。そんなことをすれば、私たちのビジネスのやり方が劇的に変わってしまうからです」。

アーキテクチャー担当者は、すべてを暗号化すれば、より流動的に、より少ないオーバーヘッドで、より少ない摩擦で物事を進めることができることを理解していました。しかし、LoBチームはその可能性に気づかず、テーブルを囲んで意見の相違が生じていました。

現状維持の惰性がビジネスに与える影響がある。

あれは私にとって決定的な瞬間だった。マンネリを目の当たりにした。現状維持の惰性がビジネスの意思決定に及ぼす影響を目の当たりにしたのだ。

Nok Nokの代表として、現在のFIDO標準を提案したグループの一員として、フィッシングやアカウントの乗っ取りを排除し、クレデンシャル・スタッフィングを排除し、攻撃のベクトルを減らすために当初から設計されていた標準に携わった者として、私はこの議論に同じ議論が入り込むのを見てきた。そのため、予算をめぐる議論、役割と責任をめぐる議論、さまざまな議論を経て、有益であるはずの変化を遅らせたり、排除したりすることになる。

メインフレームの時代から技術が進歩したのと同時に、莫大なリスクも発生したことを認識している業界団体がある。今年で17年目になりますが、私たちはサイバーセキュリティに対する認識を強調してきました。しかし、私たちはいまだに「安全な境界線」について話しています。まだ50年も60年も前の話をしているのです。私は、白紙に戻せとは言いません。私が提案したいのは、このような問題を段階的に解決するのではなく、全体的に解決することです。

私たちは違うことを考える必要がある。ホリスティックに考える必要がある。

結局のところ、サービスを求めて歩き回る人々や機器がいるだけなのです。このパンデミックは、このような行動の大爆発を引き起こしました。人々はオフィスやビルからサービスを受けに来ることに慣れていたのです。そのパラダイム全体を考え直さなければなりません。私たちがそれを再考している間に、機能している良い部分のいくつかを取り入れ、何が機能し、より良い未来を作ることができるかについて、新しいこと、新しいアイデアを取り入れてはどうでしょうか。