5月28日

4分読む

重要な医療データを保護するには強力なリーダーシップが必要

2025年5月28日Nok Nok News0 コメント

01 5月

3分読む

世界パスワードデー：パスワードを永久に捨てる時？

2025年5月1日ニュース 0件のコメント

世界パスワードデー：パスワードを永久に捨てる時？

毎年、世界パスワードの日がやってくる。しかし、今年はもっと大きな問いを投げかけてみよう：パスワードはもう必要ないのでしょうか？Nok Nokではそう考えています。パスワードは私たちの役に立ってきましたが、今日のデジタル環境では、資産というよりも負債になりつつあります。

パスワードの歴史：合言葉からデジタル頭痛まで

パスワードの歴史は驚くほど長い。ローマ時代の「合言葉」から禁酒法時代の酒場の秘密のフレーズまで、秘密の言葉やフレーズを本人確認に使うという概念は何世紀にもわたって存在してきた。1961年、マサチューセッツ工科大学（MIT）のフェルナンド・コルバトーは、複数のユーザーがコンピュータを安全に共有できる最初のデジタル・パスワードを発明した。

しかし、テクノロジーが進化するにつれ、覚えなければならないパスワードの数も増えていった。今日、平均的な人は100以上のパスワードを使い分けている。そのため、多くの人が脆弱なパスワードを再利用したり、記憶だけに頼ったりしており、どちらも危険である。

パスワードの問題点

パスワードには本質的に欠陥がある。以下はその主な問題点である：

パスワード過多：多くのアカウントがあるため、人々はパスワードを再利用したり、弱いものを選んだりすることが多く、ハッカーの標的になりやすい。
フィッシングと総当たり攻撃：サイバー犯罪者が頻繁にパスワードを狙うのは、パスワードが比較的簡単に盗んだり推測したりできるからだ。
パスワードの共有：パスワードの共有は、たとえ信頼できる個人とであっても、セキュリティリスクを高める。
パスワード・マネージャー：便利ではあるが、マスターパスワードが漏洩した場合、保存されているすべてのパスワードが危険にさらされる。
AIクラッキング：人工知能が一般的なパスワードを数秒で解読できるようになり、従来のパスワード・セキュリティの効果がさらに低下している。

パスワードレスの未来より安全で便利なソリューション

Nok Nokでは、これからの時代はパスワードレスだと考えています。パスワードレス認証は、あなたが持っているもの（携帯電話など）やあなたが持っているもの（指紋など）を使って安全にログインします。これにより、パスワードの必要性が完全になくなります。

パスワードレス化のメリット

より強固なセキュリティ：盗まれたり推測されたりするパスワードがないため、セキュリティが大幅に向上します。
ユーザー体験の向上：ユーザーは、複数のパスワードを覚えたり、パスワードのリセット処理を行ったりする必要がなくなります。
コスト削減：パスワードの再設定が減ることで、ITサポートが軽減され、コストが削減されます。

Nok Nokがパスワードレス認証を可能にする方法

Nok Nokは、レガシー認証からFIDOのような最新の認証方式への移行を容易にするベスト・オブ・ブリードのパスワードレス・ソリューションを提供します。実績のあるプラットフォームがサポートします：

パスキー認証：幅広いデバイスに対応
デバイスベースでセキュリティを強化：認証には、ネイティブアプリまたはハードウェアトークンを備えたモバイルデバイスを使用します。
柔軟な統合：既存のアプリやシステムとシームレスに連携。

私たちは、一流銀行、小売業者、ヘルスケア・プロバイダーなど、さまざまな組織と協力して、パスワードレス認証への移行を支援しています。

今年の世界パスワード・デーには、パスワードの使い方を見直しましょう。より安全で便利な未来をNok Nokにお任せください。最良のパスワードはパスワードがないことです。今後はこの日を「世界パスワードの日」と改名し、パスワードの廃止を目指すべきかもしれません。

30 4月

4分読む

Verizon 2025 DBIR：依然としてクレデンシャル攻撃が主流 - Nok Nokの視点

2025年4月30日ニュース 0件のコメント

Verizon 2025 DBIR：依然としてクレデンシャル攻撃が主流 - Nok Nokの視点

ベライゾンベライゾン2025データ侵害調査報告書（DBIR）は、パスワードに関連する攻撃が依然として世界中の組織にとって最大の脅威であるという、明確かつ緊急で、しかも見慣れた状況を描き出しています。パスワードレス認証のリーダーであるNok Nokは、この調査結果を警鐘であると同時に、すべての人をパスワードレス認証に移行させるというミッションの検証でもあると考えています。

主な調査結果パスワードとクレデンシャルの濫用は依然としてトップリスク

この報告書は、クレデンシャル・ベースの攻撃の永続性に関するいくつかの重要な点を強調している：

盗まれたクレデンシャルが主な侵入経路です：クレデンシャルの不正使用は、全世界の侵害の22%で最初の侵入経路となっており、攻撃者が侵入する最も一般的な方法となっています。攻撃者はハッキングで侵入するのではなく、盗まれた、推測された、または流出したパスワードを使って正面玄関からログインするのです。
ウェブアプリケーション攻撃はクレデンシャルに依存している：基本的なウェブ・アプリケーションに対する攻撃の88%は、盗まれた認証情報が関与しています。これは、パスワードの再利用と脆弱なパスワードポリシーがいかにセキュリティを損ない続けているかを浮き彫りにしています。
フィッシングとソーシャルエンジニアリングがクレデンシャル盗難を助長：不正侵入の約25%はフィッシングによるものであり、ソーシャルエンジニアリングはログイン情報を盗む手口のトップであることに変わりはない。ユーザーがフィッシング・リンクをクリックするまでの時間の中央値はわずか21分で、ほとんどの組織が検知して対応するよりはるかに速い。やばい！
情報窃取者の標的はデバイスと認証情報：情報窃取者が侵害したシステムの30%は企業で管理されたものであったが、46%は管理されていないものであり、その多くは業務で使用される個人用デバイス（BYOD）であった。これは、組織が直接管理できないところでクレデンシャルの盗難にさらされていることを意味します。
ランサムウェアと認証情報ランサムウェアは侵入の44%に存在し、ランサムウェアの被害者の半数以上から企業認証情報を含む情報盗取ログが発見された。クレデンシャルは多くの場合、より大規模な侵害への第一歩となります。

2025年DBIRのその他の注目すべき傾向

クレデンシャル攻撃以外にも、DBIRは重要な傾向を強調している：

脆弱性の悪用：パッチの適用されていないエッジデバイス（VPNやファイアウォールなど）を標的にしたエクスプロイトが34%急増し、現在では侵害の20%を占めている。攻撃者は、既知およびゼロデイ脆弱性の悪用をますます自動化しています。
第三者による侵害：サードパーティが関与する侵害の割合は2倍の30％に達し、サプライチェーンやパートナーのエコシステムにおけるリスクを浮き彫りにした。
ヒューマンエラー：侵入の60%は依然として人為的なものであり、ユーザー教育とセキュリティ設計の改善が必要である。
修復のギャップ：脆弱性のあるエッジデバイスの54%にしかパッチが適用されておらず、その修正期間の中央値は32日で、攻撃者にとって大きな隙が残されている。

なぜパスワードは脆弱なままなのか

DBIRの調査結果は、私たちNok Nokが以前から主張してきた、パスワードはセキュリティ・メカニズムとして根本的な欠陥があるということを裏付けるものです。攻撃者がパスワードを悪用する理由は以下の通りです：

フィッシングやマルウェア、情報漏えいによって簡単に盗まれる。
ユーザーは、職場でも自宅でも、複数のサイトでパスワードを再利用することが多い。
パスワードは推測されたり、ブルートフォースされたり、侵入されたデータベースから見つかったりする。
デバイスやBYODのリスクは、IT部門が見えないところで認証情報が漏洩する可能性があることを意味する。

報告書によると、「クレデンシャルの盗難は、大半の侵害において王国の鍵であり続けている。そして、その勢いは衰えていない」と述べている。

前進への道パスワードレス認証

このサイクルを断ち切ろうとする組織にとって、DBIRは「パスワードを超える」という明確な指令を提示しています。Nok Nokが推奨する対応策は以下の通りです：

パスワードレス、フィッシングに強い認証の採用：FIDOベースの認証（別名パスキー）は、方程式からパスワードを取り除くことにより、クレデンシャルの盗難、フィッシング、再利用のリスクを排除します。
デバイスに対する強力なアクセス制御の実施：特にBYOD環境では、管理された安全なデバイスのみが機密システムにアクセスできるようにします。
パッチ管理の迅速化：エッジデバイスやVPNに迅速にパッチを適用することで、脆弱性悪用の機会を減らします。
ユーザー・トレーニングとリアルタイム検知への投資：テクノロジーは重要であるが、ユーザーの意識向上とフィッシングへの迅速な対応が不可欠であることに変わりはない。

結論今こそ行動を

2025年のベライゾンのDBIRで明らかになったこと：攻撃者は進化しているが、彼らはいまだに同じ古い手口、つまりパスワードを盗むことに頼っている。なぜか？それが最も抵抗の少ない方法だからだ。代わりにログインすればいいだけなのに、なぜハッキングに時間を費やすのか？組織がパスワードに依存する限り、侵入は続くでしょう。Nok Nokでは、解決策は簡単だと考えています。パスワードを廃止し、最新の認証を採用し、クレデンシャルベースの攻撃を永久にシャットアウトすることです。これにより、私たちは軍拡競争から抜け出し、クレデンシャル・ベースの攻撃を跳ね除けることができるのです。もしあなたがKuppinger Cole EIC 2025に参加するのであれば、当社の製品担当副社長であるRolf Lindemannが、まさにこのテーマについて講演します。このトピックについて!

セキュリティの未来はパスワードレス。2025年を、ついにパスワードを置き去りにする年にしよう。

4月29日

3分読む

フィリップ・ダンケルバーガー、RSAカンファレンス2025でPortal26から「Champion in Security」として表彰される

2025年4月29日ニュース 0件のコメント

フィリップ・ダンケルバーガー、RSAカンファレンス2025でPortal26から「Champion in Security」として表彰される

サンフランシスコ、2025年4月29日 /PRNewswire-PRWeb/ - 世界最大の組織向けパスワードレス認証のリーダーであるノクノック（Nok Nok）は、サンフランシスコで開催された2025年RSAカンファレンスの第3回「Champions in Security Awards」において、ノクノックのフィリップ・ダンケルバーガー最高経営責任者（CEO）がPortal26の「Champion in Security for Community」に選出されたことを心よりお祝い申し上げます。

Portal26が主催するChampions in Security Awardsは、Respect（敬意）、Inclusion（包摂）、Innovation（革新）、Community（コミュニティ）、Collaboration（協力）、Education（教育）という価値観を体現するサイバーセキュリティのプロフェッショナルを表彰するものです。この表彰は、個人の卓越性だけでなく、急速に変化するデジタル世界のセキュリティとレジリエンスを推進する集団行動の力を反映しています。

「フィリップ・ダンケルバーガーは、「仲間から選ばれたことを光栄に思いますが、この受賞は私だけのことではありません。

「ゼロックスに入社して間もない頃、イーサネット仕様の確立を支援したことから、情熱的な国際的PGP運動、そして今ではFIDOを取り巻く素晴らしいグローバル・コミュニティに至るまで、私は人々が一丸となることで真の変革が起こることを身をもって体験してきました。認証はサイバー犯罪の始まりです。だからこそ、私たちや他の人々はFIDOプロトコルを発明し、FIDOアライアンスを立ち上げ、パスワードを排除し、より良いものを構築するためにFIDOプロトコルを発明したのです。"

フィリップの受賞は、コミュニティ主導のイノベーションの遺産を強調するものだ。14年前、彼はセキュリティの先見者たちとともにFIDOアライアンスを設立した。FIDOアライアンスは、サイバーセキュリティの弱点であるパスワードの廃止に取り組む、今や世界的な組織である。大胆なアイデアから始まったFIDOは、その後、業界をリードする企業や政府によって採用される国際標準へと成長した。今日、パスキーは何十億もの人々のオンライン認証方法を再構築し、すべての人にとってデジタルライフをより安全なものにしています。

サイバー脅威が高度化し、AIがリスクとイノベーションの両方を加速させる中、Nok Nokはユーザーと企業を保護する強力でシンプル、かつスケーラブルな認証を提供することに全力を注いでいます。

Nok Nokは、デジタル・インフラを守るために戦う人々の活動を称えるPortal26に心から感謝の意を表します。サイバーセキュリティの分野は単一の取り組みではなく、進化する脅威から身を守るために技術、産業分野、国境を越えて活動する多くのコミュニティで構成されています。

今年のチャンピオンの皆さん、おめでとうございます。皆さんのリーダーシップは、すべての人にとってより安全なデジタルの未来を築くのに役立っています。

Nok Nok Labsについて

Nok Nokは、FIDOやその他の標準規格に準拠したキーベースのパスワードレス認証により、より安全で迅速なユーザー体験を実現し、グローバルなユーザーおよびデータプライバシー規制への準拠を可能にします。Nok Nokはパスワードレス顧客認証のリーダーであり、BBVA、Intuit、Motorola Solutions Inc.、NTTドコモ、Standard Bank、T-Mobile、Verizonなどの大手銀行、通信事業者、フィンテック企業から信頼を得ています。詳細はwww.noknok.com。

メディア・コンタクト
クリステン・キャロン、ノク・ノク、1 9784079283、[email protected]、https://noknok.com/

4月2日

3分読む

パスワードレスの未来への新たな一歩

2025年4月2日ニュース 0件のコメント

パスワードレスの未来への新たな一歩

マイクロソフトが2025年までに10億人以上のユーザーを対象にパスワードをパスキーに置き換えることを発表したことは、デジタル・セキュリティ全体にとって大きなニュースです。私たちNok Nokは、これが正しいアプローチであり、パスワードレスの未来に向けた長い道のりの新たな一歩であると考えています。

マイクロソフトの動きが重要な理由
マイクロソフトが、Outlook、Xbox、Microsoft 365を含むプラットフォーム全体のデフォルトのサインイン方法をパスキーにするという決定は、パスワードレス認証を強力に支持するものである。

その理由は以下の通りだ：

リーチ：マイクロソフトは、パスワードレス認証を多くのユーザーに提供できる。パスキーの利点と使いやすさについてユーザーを教育することで、全面的な普及が加速するだろう。

セキュリティFIDO標準に基づいて構築されたパスキーは、パスワードよりもはるかに強力なセキュリティを提供します。フィッシング、キーロギング、ソーシャルエンジニアリングなど、パスワードが受けやすい一般的な攻撃に耐性があります。ログイン認証情報を標的にしたサイバー攻撃が増加する中、この強化されたセキュリティは、セキュリティのニーズを満たす目的で構築されています。

ユーザー体験：マイクロソフトは、サインアップとサインインのプロセスを合理化し、パスキーの導入と使用を容易にすることに注力している。ユーザーエクスペリエンスをシンプルで直感的なものにすることで、導入の大きな障壁を取り除こうとしている。

Another Nail in the Password Coffin
何年もの間、パスワードはオンライン・セキュリティの最も弱いリンクとされてきた。パスワードは覚えにくく、推測されやすく、常に攻撃者に狙われている。業界は長い間このことを知っており、より良い解決策を模索してきた。今回のマイクロソフトの動きは、パスワードを一掃し、より安全なオンライン世界に近づくための大きな一歩である。

業界にとっての意味
マイクロソフトのパスキーへのコミットメントは、おそらく業界全体に波及効果をもたらすだろう。より多くのユーザがパスワードレス認証の利点を体験するにつれて、他の企業も追随せざるを得なくなるだろう。このような採用の増加は、パスキーの分野におけるさらなる革新と標準化を促進し、誰もがパスワードレス・ソリューションを実装し、使用しやすくする。

NokNokはパスワードレス認証のパイオニアであり、マイクロソフトのような巨大企業がパスキーを支持することに興奮しています。私たちはパスキーが認証の未来であることを知っています。マイクロソフトのイニシアチブは、私たちのビジョンを検証し、パスワードレス・テクノロジーの勢いが増していることを示しています。私たちは10年以上にわたってFIDOベースのパスワードレス・ソリューションを構築、展開しており、私たちのFIDO認定ソリューションは、インターネット規模で何億人もの世界中のエンドユーザーに展開されています。私たちは、パスキーの実装において企業をサポートする準備ができており、すべての人にとってインターネットをより安全なものにする手助けをすることに興奮しています！

27 3月

2分読む

Nok NokのFIDO認証によるAmazon Cognitoの強化

2025年3月27日ニュース 0件のコメント

Nok NokのFIDO認証によるAmazon Cognitoの強化

先日、Nok NokがAmazonと取り組んでいることについてエキサイティングな発表を行いました。Nok Nok Authentication Cloudを AWS Marketplaceから直接Amazon Cognitoでご利用いただけるようになり、企業はAmazon CognitoのデプロイメントにNok Nokの優れた認証を簡単に統合できるようになりました。

Cognitoを使用している組織は、ログインをより安全で簡単にすることができます。パスワードを使用する代わりに、高度な技術と適応的なセキュリティ対策により、シームレスなユーザーエクスペリエンスで、フィッシングに強いFIDO認証の認証を導入することができます。当社のNok Nok認証クラウドは、アカウント乗っ取りや詐欺を防ぐと同時に、現代のセキュリティニーズに合わせた摩擦のないログイン体験を提供します。

Nok Nok Authentication Cloudは、従来の認証方法から最新のFIDOベースのパスキー認証への移行を容易にし、プラットフォームやデバイス間の複雑性を簡素化します。つまり、組織は適応型認証ポリシーのような機能を利用することができ、一度設定すれば、既存の認証情報、デバイスの種類、デバイスの健康状態、場所などのコンテキスト・データに基づいて認証パスを調整します。この柔軟性により、Amazon Cognitoの顧客は、進化するサイバーセキュリティ標準を確実に先取りしながら、自社のアプリケーション・エコシステムに最適な認証オプションを選択することができる。

Amazon Cognitoはセキュアな認証の実装プロセスを簡素化するため、これはAmazon Cognitoを使用する組織にとって大きな問題である。AWS Marketplaceから直接入手できるため、セットアップと管理が容易で、進化するサイバーセキュリティの脅威に先んじることができる。

Nok Nok Authentication CloudをAmazon Cognitoユーザーに提供できることを誇りに思います。また、マーケットプレイスと統合されているため、企業にとって購入、導入、利用が容易です。

より詳しい情報をご希望の方は、こちらの統合ビデオをご覧いただき、以下のフォームからお問い合わせください。

2月27日

4分読む

運用技術におけるサイバーセキュリティのナビゲーション：統合サイバー防衛共同体からの洞察

2025年2月27日ニュース 0件のコメント

運用技術におけるサイバーセキュリティのナビゲーション：
統合サイバー防衛共同体からの洞察

統合サイバー防衛共同体（JCDC）は、"Secure by Demand：と題する重要な文書を発表した。この共同作業には、サイバーセキュリティ・インフラセキュリティ庁（CISA）、ドイツ連邦情報セキュリティ局（BSI）、英国国家サイバーセキュリティセンター、欧州委員会など、サイバーセキュリティの主要企業が参加している。この文書は、サイバー脅威に対してますます脆弱になっている運用技術（OT）環境のサイバーセキュリティ態勢の強化に向けた重要な一歩である。

JCDCの提言は、OTのオーナーやオペレーターがデジタル製品を選択する際に、十分な情報に基づいた意思決定を行うためのロードマップを提供するものである。以下は、この文書で強調されている2つの重要なポイントである：

1.フィッシングに強い多要素認証(MFA)
目立った推奨事項の1つは、フィッシングに強い多要素認証(MFA)をベースライン・バージョンに含む製品を優先的に購入するよう呼びかけていることであり、今日の脅威の状況における強固な認証メカニズムの重要性を強調している：

選択基準製品のベースライン・バージョンは、特にセーフティ・クリティカルな機器の変更について、役割ベースのアクセス制御（RBAC）と多要素認証（MFA）をサポートしている。

メーカーが、自社製品でロールベースの共有パスワードの使用を廃止したか、または廃止に向けて取り組んでいるか。MFAはベースラインバージョンに含まれているか？

なぜこれが重要なのか：強力な認証は、徹底的な防御を可能にし、アイデンティティとアクセス管理のベスト・プラクティスを可能にする。

このガイダンスへの準拠を目指す組織にとって、Nok Nok S3 Suite、Authentication Cloud、IoT SDKなどのソリューションは優れた選択肢となります。これらの製品は、フィッシングや中間者攻撃のリスクを軽減する高度な認証機能を提供し、許可されたユーザーのみが重要なシステムやデータにアクセスできるようにします。このようなソリューションを導入することは、運用技術環境を保護するための積極的な一歩です。

2.デフォルトパスワードの排除
この文書のもう一つの重要な焦点は、デフォルトパスワードの排除である。デフォルト・パスワードは、サイバーセキュリティの弱点となることが多く、悪意ある行為者にとって容易な侵入経路となる。この文書は、組織がこうした脆弱性から脱却し、より安全なパスワード慣行を採用する必要性を強調している：

選択基準選定基準：最も一般的な脅威や脆弱性に対して回復力があり、ユーザーや管理者による追加設定が不要で、すぐに安全な製品が提供されること。

メーカーがデフォルト・パスワードを廃止したか、あるいは廃止に取り組んでいるか。

なぜ重要なのか？安全でないデフォルト設定は、資産所有者をより多くのリスクにさらし、セキュリティコストを増加させる。

Nok NokIoT SDKを使用することで、運用技術者はこの取り組みを大幅に支援することができます。このSDKは、デフォルトのパスワードに依存しないフィッシングに強い認証方法の実装を容易にし、IoTデバイスやシステムの全体的なセキュリティを強化します。このような技術を活用することで、組織はOT環境を不正アクセスからより確実に保護することができます。

運用技術におけるサイバーセキュリティの重要性
運用技術システムの相互接続が進み、デジタル製品への依存度が高まる中、強固なサイバーセキュリティ対策の必要性はかつてないほど高まっている。JCDCが提示した提言は、単なるベストプラクティスではなく、デジタル製品の選択と導入におけるセキュリティ優先のアプローチへの基本的な転換を示すものである。
フィッシングに強いMFAを優先し、デフォルトのパスワードを排除することで、OTの所有者とオペレータは、進化するサイバー脅威に耐えることができる、よりレジリエントなインフラを構築することができる。JCDCの文書で提供されているガイダンスは、サイバーセキュリティ戦略を強化し、重要な資産を保護しようとしている組織にとって貴重なリソースとなる。

結論
「Secure by Demand」の出版は、運用技術に携わる組織にとって極めて重要な瞬間である。サイバー脅威が進化し続ける中、セキュアな設計原則と堅牢な認証メカニズムの重要性は強調しすぎることはありません。JCDCの勧告に従い、Nok Nok S3 SuiteやIoT SDKのようなソリューションを統合することで、企業は防御を強化し、運用技術環境の完全性を確保するための実質的な手段を講じることができます。リスクに満ちたデジタル環境において、サイバーセキュリティに積極的に取り組むことは単なる選択肢ではなく、必要不可欠なことなのです。

1月23日

3分読む

冗談はやめよう：私の2025年アンチ予測

2025年1月23日フィル・ダンケルバーガー 0件のコメント

冗談はやめよう：私の2025年アンチ予測

フィル・ダンケルバーガー

私は何十年もの間、サイバーセキュリティの予測を行ってきた。事態の悪化についてではなく、事態が実際にどの程度悪化するかについてである。ほとんどの予測は大きく間違っている。私たちが想像していた以上に事態は悪化しているのだ。

だから、甘い言葉でごまかすのはやめよう。2025年に直面する厳しい現実について話そう：

限界点にある政府インフラ
政府システムは重大な岐路に立たされている。30年前のPIVカードとCACシステムは、現状をどのように改善できるかについて、これまでとは異なる考え方を始めるのに適した場所である。バイデン前大統領の最近の大統領令でも認識されているように、近代化は極めて重要である。

パスワードの死
SMS OTPは本当に悪い。何年もの間、ハッカーたちによって積極的に悪用されており、インターネット上ではSMSを利用したハーベスティングの例が数え切れないほどある。時代遅れのセキュリティーと、その考えを鵜呑みにする人々は、セキュリティーが全くないよりもたちが悪い。2025年は、パスキーが流行語から基本的なものになる年になるだろう。古い認証のやり方は時代遅れというだけでなく、危険なのだ。

The Breach Fatigue Crisis（情報漏洩の疲労）
情報漏洩はより甚大で、よりダメージが大きいにもかかわらず、新聞を覚えている人がいるとすれば、今では新聞の裏の求人広告のように掲載されている。私たちはそれに無感覚になっている。数字に嘘はない。情報漏洩は昨年より30％増加しているが、根本的な原因に対処する我々の集団的な意志は弱まっている。情報は通貨であり、私たちはそれを流出させている。データ侵害のコスト調査において、私たちは何年もそれを見てきた。

手作業によるセキュリティの終焉
今、どんな大企業を見ても、効率性と開放性を与えてくれる彼らのシステムは素晴らしいが、巨大なリスクを伴っている。2025年は、人間規模のセキュリティの終焉を最終的に認める年になるだろう。セキュリティを大規模に自動化できる企業と、その準備不足が話題となる企業の間で、戦線が引かれようとしている。

The Stakes Have Never Been Higher
銀行業務から医療、国防に至るまで、私たちがビジネスや個人的な用途で毎日使っているこれらのシステムの要点は、今やすべてが私たちの重要なインフラの一部であるということだ。これらのシステムはすべて、進化する電子システムの上に構築されている。侵害された認証システムはすべて、敵対行為者にとって潜在的な資金源となる。多くの作家や識者が何年も前から取り上げてきたように、サイバー犯罪から国家のツールへの変貌は、注意を払っていない人々の目の前で起きている。

私は何年も同じ歌を歌ってきた。でも、2025年が違うのは、もうテーブルの賭け金で戦っているわけではないということだ。私たちが防衛しているのはダンプスター・ダイバーではない。詐欺は今後も続くだろうし、そのペースも規模もこれまで経験したことのないものになっている。

私が知っている絶対確実な予測は？私たちが根本的にアプローチを変えなければ、状況はさらに悪化する。それは恐怖を煽るものではなく、同じパターンが繰り返され、ますます壊滅的な結果をもたらすのを何十年も見てきた現実に基づくものだ。

2025年の問題は、さらなる違反が起こるかどうかではない。問題は、我々が最終的にそれに対して何かをするかどうかである。

1月29日

6分読む

2024 Security Industry Predictions: Consolidation, ROI, and the AI Hype Train

2024年1月29日フィル・ダンケルバーガー 0件のコメント

2024 Security Industry Predictions: Consolidation, ROI, and the AI Hype Train

フィル・ダンケルバーガー

なぜセキュリティ業界はいまだに繁栄しているのだろうか。なぜこれほど多くの企業が、あなたの大切なデータを守る究極のプロテクターであると主張しているのだろうか。マルウェアが増殖しているように見えるのには理由があるのかもしれない。パンデミック直前の2020年1月、私はCESのゲストスピーカーとして、2019年に80億台強のデバイスがインターネットに接続されたことを話した。2023年末の時点で、その数は150億台にほぼ倍増している。つまり、人やモノがインターネットに接続し、データにアクセスするということであり、そのすべてが認証され、保護される必要がある。フィッシングやマルウェア、その他の悪質な行為によって、セキュリティ産業が必要かつ重要なものとなっているのはこのためだ。

2024年に向けて、この進化し続けるデジタル・ディフェンスの領域に何が待ち受けているのかを見極める時が来た。ネタバレになるが、統合、ROIのプレッシャー、AIの宣伝、規制当局の取り締まりなど、さまざまな要素が入り混じっている。あなたは銀の弾丸を探しているかもしれませんが、セキュリティ問題に対する絶え間ない警戒訓練と意識に特効薬はありません。

1.さらなる統合？画期的だ！

私たちはそれを避けることはできない。私たちの業界では現在、統合がほとんど恒常化している。サイバーセキュリティ・テトリスの終わりのないゲームのようなもので、大手企業が中小企業を食い潰し、我々は皆驚いたふりをする。次はどうなるのか？シマンテックやマカフィーを思い出してほしい）、特に機械学習やAI、暗号化に手を出している企業の間では、さらに統合が進むだろう。2023年の第1四半期だけでも、10の統合が発表されている！しかし、当初は多くの動きがあったように見えたが、2023年全体ではセキュリティ業界のM&Aは低調な年だった。

世の中には、セキュリティのスーパーヒーローを名乗る企業が数多く存在する。しかし、困ったことに、これらの企業はしばしば重複するテクノロジーを持ち、顧客にとって混乱の不協和音を生み出している。つまり、適者生存であり、サイバーポンドで最大の魚が雑魚を飲み込んでしまうのだ。あなたのお気に入りのサイバーセキュリティ新興企業が姿を消したとき、それはおそらく、より大きな魚に食われてしまったからだということを覚えておいてほしい。召し上がれ！

2.ROI：証明するか、動かすか

そのため、M&A市場が低迷しているときは、企業として顧客を獲得できるようにROIを証明することにもっと集中する必要があり、プレッシャーがかかる。サイバーセキュリティ・ソリューションに貴重な資金を投じることを企業に納得させるには、おしゃれなロゴと専門用語満載のマーケティング資料があれば十分だった時代は終わった。2024年、ゲームの名前は「Show me the money！」、より正確には「Show me the ROI！」である。

企業は、サイバー災害からあなたを救うことができると主張するだけでは不十分である。煙に巻くのはもうやめよう。サイバーセキュリティ・プロバイダーは、自社のソリューションの有効性を証明しなければならないという強いプレッシャーにさらされることになる。派手なアルゴリズムやバズワードはもう通用しない。実際に侵害を防いだり脅威を軽減したりしていることを示すことができないのであれば、蛇の油を詰め込んで路頭に迷うことになるかもしれない。

また、組織全体の中で、より多くのチームにわたってROIを実証する必要も出てくるだろう。CISOだけで判断できる時代は終わった。企業では多くのプロジェクトが進行中であり、セキュリティはほとんどすべてのアプリケーションに統合する必要がある。

3.AIと機械学習：誇大広告と現実の三面コイン？

AIと機械学習は、ハイテク業界の寵児である。どのサイバーセキュリティ企業も、自分たちが知覚を持ったロボットの軍隊を訓練して、あなたのデータを守る準備ができたと思わせたがっている。しかし、2024年にはAIの誇大宣伝列車は力尽きるかもしれないのだ。

確かに、AIやMLはサイバーセキュリティの分野でその役割を担っているが、一部の人々が主張するような魔法の万能薬ではない。その有効性は光沢のあるパンフレットの中だけでなく、実際のシナリオで証明される必要がある。したがって、企業はAIの波に乗り続けるだろうが、ユーザーは懐疑的なシールドを張っておくべきだ。結局のところ、安全性を維持することに関しては、どんなアルゴリズムも昔ながらの人間の警戒心と常識に取って代わることはできないのだ。

AIは3面のコインである。しかし、セキュリティの世界でAIを使って勝つのは、「エッジ」を活用することを最もよく学んだ者、つまりマージンを見つけた者である。

4.規制とプライバシーの要求：影響に備える

さて、ここからが我々の予測パーティの悲痛な部分である。世界中のサイバーセキュリティの状況において、規制とプライバシーの要求がさらに高まることを覚悟してほしい。規制要件を満たすことは、もはや広範なチェックボックス項目ではなく、セキュリティ・ベンダーが規制に対応することは、地域的にも垂直的にも極めて重要なことなのだ。サイバーセキュリティ・コンプライアンスの迷宮をナビゲートすることは、すでに十分楽しいことではありませんでしたが、私たちは、さらに厳格な基準と、失敗した企業に対する潜在的により厳しい結果を期待することができます。

これもまた、私たちがたびたび目にする統合シフトとは似て非なるもので、新技術のペースに追随する振り子のようなものである。AIがシーンに登場し、規制が導入されるのを目の当たりにすると、膝を打つような反応だと言う人もいるかもしれないが、個人を特定できる情報（PII）や企業情報、つまり知的財産（IP）を扱う場合、その道のりは複雑だ。PSD2、FIDO標準、そして最近のパスキーの導入のように、私たちはこの道のりを手助けしてきたいくつかの例を挙げることができる。しかし、道のりは長い。シートベルト（あるいはエアバッグ）が交通事故による人々の負傷を防げなかったように。

サイバー脅威がより巧妙になり、データ漏洩事件が世間を賑わす中、政府や規制当局は最新の新技術を把握する必要がある。彼らは、企業がデータ保護に真剣に取り組んでいることを確認したいと考えている。そのため、コンプライアンスに関する書類の山に埋もれ、コンプライアンス違反で多額の罰金に直面しても驚く必要はない。デジタル・サンドボックスで遊ぶための代償なのだ。

2024年のセキュリティ業界は、さらなる統合、ROIの精査、AIへの懐疑的な見方、規制の頭痛の種が渦巻くことになるだろう。企業や個人がこれまで以上にデジタル・プラットフォームに依存するようになる中、サイバーセキュリティ業界には、実際に測定可能な結果を提供しなければならないというプレッシャーが高まっている。前途には困難が待ち受けているかもしれないが、すべてはデジタル世界の安全を守るためである。ですから、警戒を怠らず、証拠を求め、このデジタル防衛の勇敢な新時代においてサイバーセキュリティの知恵を絞ってください。

31 10月

4分読む

Top 6 Considerations to Build vs. Buy FIDO-based Passkeys

2023年10月31日ニュース 0 コメント

Here we are at the end of Cybersecurity Awareness Month, and you’ve heard vendors declare how their solutions can help make you and your enterprise safe. There is a lot to consider and maybe you are thinking you can solve the problem on your own – and go the “build vs. buy” route. Let’s look at the considerations when it comes to adopting the cutting-edge FIDO-based passkeys as the decision carries considerable weight and potential consequences.

When organizations contemplate the implementation of passkeys as an alternative to traditional passwords, they often start by focusing on the Minimum Viable Product (MVP). However, the real challenge lies beyond the MVP—the unknowns that come with version 1.1 and beyond. The technology landscape is constantly evolving, demanding adaptability and scalability. This is when the decision between starting from scratch and leveraging experienced vendors becomes critical.

Here are 6 considerations for your decision-making process:

1. Completeness: Beyond the Minimum Viable Product

Building a passkey solution from scratch may seem like an attractive proposition, especially for the sake of cost-effectiveness and fitting into existing infrastructure. However, it’s crucial to consider the road beyond the Minimum Viable Product (MVP). Rapid technological advancements necessitate staying up-to-date and future-ready. Vendors with experience in passwordless authentication solutions not only offer much more than a MVP but also pave the way for future expansions and improvements, helping organizations avoid technological dead-ends.

2. Support for Diverse Environments: Native Apps, Web Apps, Devices, and Regulatory Requirements

The ability of passkeys to seamlessly integrate across diverse environments is a fundamental requirement. Most established vendors excel in providing such integration, saving organizations time and resources. In contrast, building this integration in-house can be time-consuming and expensive, especially when compliance requirements need to be addressed. Dedicated passwordless authentication vendors bring years of experience, ensuring compatibility across a wide range of devices and regulatory environments.

3. Seamless Integration and Backend Infrastructure Support

The tech landscape is no longer homogeneous. Maintaining compatibility across various hardware and software versions can be a significant challenge when building in-house. Dedicated vendors can simplify this process by integrating seamlessly with an organization’s existing backend infrastructure, including cloud Hardware Security Modules (HSMs) and Secret Stores. This integration capability minimizes extensive code changes.

4. Maintenance Challenges: Keeping Pace with Specifications

Staying abreast of evolving FIDO and WebAuthn specifications is crucial for passkey solutions. Organizations often underestimate the effort and resources required for ongoing maintenance when building in-house. Partnering with experienced authentication vendors ensures that passkey features remain up-to-date, reducing maintenance burdens and allowing organizations to stay focused on their core objectives.

5. Reducing Development Risks and Project Failures

Homegrown development carries inherent unknown unknowns, particularly when implementing a paradigm like passkeys for the first time. Organizations may overlook critical factors or encounter unexpected challenges, resulting in higher costs, delays, or compromises on user experience. Partnering with an established passwordless authentication provider mitigates these risks by leveraging their extensive experience and lessons learned from successful passkey deployments.

6. Capitalizing on Investment and Experience

While building a passkey solution independently may seem appealing from a cost perspective, it often fails to account for hidden expenses and missed opportunities. Unknown unknowns can be costly both in terms of time and money. Leveraging a vendor like Nok Nok, with expertise and a wealth of investment in FIDO-based implementations, ensures a smoother fit into existing infrastructure and access to valuable intellectual property.

Conclusion

While building a solution from scratch may appear cost-effective or a better fit for existing infrastructure, it often underestimates the maintenance challenges, development risks, and missed opportunities. By leveraging a traditional passwordless vendor’s comprehensive passkey features, organizations can ensure a complete, scalable, secure, and future-proof implementation, benefiting from the expertise and investment of a trusted industry leader.

お問い合わせ

最新のブログ投稿

ナビゲーション

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

世界パスワードデー：パスワードを永久に捨てる時？

Verizon 2025 DBIR：依然としてクレデンシャル攻撃が主流 - Nok Nokの視点

フィリップ・ダンケルバーガー、RSAカンファレンス2025でPortal26から「Champion in Security」として表彰される

パスワードレスの未来への新たな一歩

Nok NokのFIDO認証によるAmazon Cognitoの強化

冗談はやめよう：私の2025年アンチ予測

2024 Security Industry Predictions: Consolidation, ROI, and the AI Hype Train

1.さらなる統合？画期的だ！

2.ROI：証明するか、動かすか

3.AIと機械学習：誇大広告と現実の三面コイン？

4.規制とプライバシーの要求：影響に備える

1. Completeness: Beyond the Minimum Viable Product

2. Support for Diverse Environments: Native Apps, Web Apps, Devices, and Regulatory Requirements

3. Seamless Integration and Backend Infrastructure Support

4. Maintenance Challenges: Keeping Pace with Specifications

5. Reducing Development Risks and Project Failures

6. Capitalizing on Investment and Experience

お問い合わせ

連絡先と購読

最新のブログ投稿

ナビゲーション

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

フォームをダウンロードする

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。

この資料を閲覧・ダウンロードするには、このフォームにご記入ください。