1年前、米国政府は新たな指令を出した。その目標は、2024年までに政府の主要なデジタル・インフラを「フィッシングに強いMFA」システムに移行させることだった。フィッシングとは、サイバー犯罪者が欺瞞的な技術、あるいはデジタル・スパイ／監視技術を使って、アカウントにアクセスするために必要なログイン認証情報を盗むことである。従来のパスワード・システムは、1つのパスワードで全アクセスを許可するため、常にこれに対して特に脆弱であった。

パスワードが盗まれるメカニズム

アクセスを盗む最も一般的なテクニックは以下の通り：

フィッシング

これは通常、権限のある個人または組織になりすまし、通常は偽のウェブサイトでのクレデンシャル・チェックインを要求する偽の電子メールを伴う。

プッシュ爆撃

何度も通知を送ることで、疲労が蓄積され、最終的に通知を誤って受け入れ、デバイスへのアクセスを不注意に許可してしまうことを期待している。

SS7プロトコルの脆弱性

携帯電話の通信インフラには、外部からの監視を可能にする一定の脆弱性がある。より巧妙なサイバー犯罪者は、これらの通信回線をスパイし、テキスト／SMSで送信されたメッセージを読むことができる。

SIMスワップ

フィッシングのより専門的な形態であるこの手口は、被害者になりすまし、サービス・プロバイダーに出向き、被害者を欺いて、盗もうとするIDを装った人物にアカウントへのアクセス権をより多く明け渡させる。ここでは、被害者がアクセス権を提供するのではなく、被害者のサービス・プロバイダが提供する。

MFAはどのように役立つか

フィッシングに耐性のある多要素認証（MFA）は、これらの確立されたプラクティスを実行することをほぼ不可能にする障壁を投げかけます。この認証の多要素の性質は、検証とアクセスに複数のコンポーネントが必要であることを意味します。つまり、パスワードがまだ使用されていたとしても、万が一パスワードが盗まれた場合、生体認証や物理的なパスキーなどの他のコンポーネントによって、パスワードだけではアクセスを許可することができなくなります。

Fast Identity Online Association（FIDO）は、Cybersecurity & Infrastructure Security Agency（CISA）と協力し、さまざまなハードウェアやソフトウェアで機能する標準的なフィッシングに強いMFA技術を開発しました。FIDO/WebAuthn認証とパスキーのような公開鍵認証基盤は、SS7のような監視技術でさえ、窃盗犯にとって完全な成功を収めることができないことを意味しています。なぜなら、特定のデバイスでパスキーを使用することが要求されるか、または拇印のような生体認証がリモート・アクセスを防ぐからです。

これにより、政府職員はデータ保護に必要なセキュリティを確保しながら、現場や場所を問わず、個人所有のデバイスでデータに安全にアクセスできる柔軟性を手に入れることができる。

サイバーセキュリティの向上にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

政府のデータは、米国で最も貴重なものの一部である。その中には、市民に関するデータのように、個人情報窃盗に利用できる社会保障番号などの重要な個人情報が含まれているものもある。軍事情報や経済情報のような他のデータは、窃盗や個人的な利用、あるいは利害関係者への売却に価値がある。

このため、政府のサイバーセキュリティは常に重要視されてきた。しかし、政府は政府機関がコード化した内部セキュリティ対策だけに頼っているわけではない。民間企業が重要な分野でサイバーセキュリティ対策を提供するケースが増えており、特に2つの企業が躍進している。

より良いサイバーセキュリティのためのパートナーシップ

コロラド州のPing Identityとバージニア州のUberEtherは、現在、セキュリティとID管理という2つの大きな側面で政府と緊密に協力しているアメリカの著名なソフトウェア企業である。政府は以前からサイバーセキュリティ、特にID管理の改善に関心を持っていたが、世界的な大流行が始まった2年前からその必要性が加速した。ますます多くの政府職員が、在宅勤務中にデータへのアクセスを必要としていた。このリモート・アクセスのニーズは、そのようなアクセスを想定していなかったレガシー・セキュリティ・システムによって妨げられていた。

Ping IdentityとUberEtherは、自治体、州、連邦政府機関がハイブリッド環境で動作するID管理システムに移行するのを支援した。労働者は、期待される現場でのアクセスを可能にする一方で、必要に応じて可能な限りベースのリソースを使用できる柔軟なシステムを必要としていた。

同時に、この利便性の向上は、すべてのクエリーが敵対的であると仮定し、IDを確認するために多要素認証を必要とする「ゼロトラスト」環境で動作する必要がありました。単一のパスワードですべてのアクセスを許可する時代は、より大きな仕事の柔軟性を提供しながら、より厳しいセキュリティ制約の下では機能しない。

FIDOは役立つ

Ping Identity、UberEther、FIDO（Fast Identity Online Association）などの企業間の協力により、パスワードなしの多要素認証は、複数のプラットフォームでシームレスに実装できるようになりました。労働者はもはや特定のハードウェア上の特定のソフトウェアに制限されることはなく、許可された担当者のみに制限されなければならない機密データを損なうことなく、さまざまな場所でより多くのデバイスを使用することができるようになります。

データはオンラインに存在するが、他の場所やデバイスから取り出す必要があるため、ID 管理はますます複雑になっている。パスワードレスの多要素認証技術は、政府がデータを保護しながら、このデータに便利にアクセスする方法を提供する上で極めて重要である。

サイバーセキュリティの向上にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

政府は、市、州、連邦の3つのレベルで運営されている。それぞれのレベルにおいて、市民個人を保護するため、あるいは国家安全保障上の理由から、非公開にしなければならない貴重な情報が豊富に存在する。

しかし、軍の研究部門である国防高等研究計画局（DARPA）が "ARPANET "を構築したことで、今日誰もが利用している現代のインターネットの礎が築かれ、すべてが変わった。オンラインで情報を送受信し、アクセスできるようになったことで、データ・ベースの技術はより効率的になったが、同時に脆弱性も高まった。それ以来、サイバーセキュリティは、当然のことながら大きな関心事となっている。

CISAの仕事

2018年、政府はCISA（Cybersecurity & Infrastructure Security Agency）と呼ばれる新組織を設立した。その名が示すように、この新機関は政府のデジタル・インフラや、政府のシステムに依存する可能性のあるその他の重要なインフラ・システムのサイバーセキュリティの完全性を維持することを目的としている。

同局は設立以来、米国におけるサイバーセキュリティの現状を評価し、2022年9月には、2つの柱からなる戦略計画を発表した。

リスク軽減

まず最も重要なのは、アメリカ政府の様々なデジタルシステムの脆弱性を減らし、民間人や国家に支援された行為者の両方に対するサイバー戦争に対してより強固にすることである。2022年、ロシアのハッカーがウクライナ侵攻の際に発電などのインフラを不安定化させようとしたのを世界が目撃したように、デジタル・インフラの重要性はすでに実証されている。大規模な侵入は、長年にわたってさまざまな企業や医療施設に被害を与え、何千人もの個人データを危険にさらしてきた。これらはすべて、CISAが政府自身のサイバーセキュリティのために考慮している教訓である。

レジリエンス

もうひとつの重要な要素は、システムが侵害され、混乱が生じた場合の対応能力である。デジタル侵入を撃退するための防御を構築するだけでは不十分で、万が一侵害が発生した場合に対応し、回復するための計画が必要である。防御が破られた場合の予防措置がない組織は、復旧計画がなかったり、システム全体が故障しないことに依存していたりすると、復旧が極めて困難になり、時には不可能になることさえある。

このためCISAは、重要なインフラを認識し、それらのシステムの脆弱性を調べ、重要な機能の復旧を早めるための検疫と復旧プロセスに取り組んできた。 

これらのサイバーセキュリティ対策はすべて、パスワードレス認証システムなどの新しいプロトコルを包含しています。ご興味のある方は、Nok Nokの多要素認証技術とパスワードレス・セキュリティ対策について、こちらで詳細をご覧ください。

インテュイットは、会計士などの財務管理をデジタル化し、財務の迅速化、効率化、安全性の向上を支援するデジタルの取り組みを率先して行うことで、財務管理の分野でその名を馳せてきた。金融業界では、Turbo Tax、Credit Karma、QuickBooksといったソフトウェアですでによく知られており、個人にも企業にもサービスを提供している。Yahoo Financeによると、Intuitはデジタル財務管理をさらに便利にする革新的な製品群を提供しており、そのすべてがサイバーセキュリティの必要性を高めているという。

商業会計

最近の調査によると、会計の多くはいまだにソフトウェアと紙とペンの組み合わせで行われている。コマース会計は、より多くのコマース・チャネルをデジタル・ストリームにシームレスに統合し、手作業を減らすインテュイットの新機能である。

例えば、Amazon、eBay、Shopifyのような小売業者からの売上は、QuickBooksに直接追跡し、取引やその他のやり取りを追加することができます。

中堅企業向けサイバーセキュリティ統合の拡大

インテュイットは、中堅企業向けソフトウェアに新機能を導入し、大企業がより効率的な財務会計を行えるよう支援するとともに、売上向上にも貢献する。例えば、QuickBooksは「Spreadsheet Sync」を導入し、Microsoft Excelのような業界標準と連携して双方向の同期を統合し、会計処理と活動報告の合理化を支援する。

その他の革新的な機能としては、「チャートビュー付きカスタムレポートビルダー」があり、営業活動の主要業績評価指標を追跡するのに役立ち、企業は営業活動の状況やどの要素が重要かをより正確に把握することができる。

クイックブックス・オンラインの拡張

クイックブックス自体も、人事管理のためのソフトウェア・スイートや、会計のための一元化されたオンライン・リソース、さらには、長期的な成功に欠かせない重要なスキルやビジネス慣行を育成するために、さまざまな発展段階にある企業や起業家を支援するトレーニング・ポータルなど、サービスの幅を広げている。

しかし、より便利なオンライン・リソースが重視されるようになったことで、企業にはより優れたサイバーセキュリティが求められるようになった。導入は簡単だが、従来のパスワード・システムはますます危険にさらされている。パスワード・システムを使った一要素認証は、パスワード盗難のリスクをもたらす。多くのユーザーは、自分にとって使いやすいように推測しやすいパスワードを選ぶが、それが犯罪者にとっても推測や「総当たり」をしやすくしていることに気づかない。多要素認証やパスキーのようなパスワードレス・システムなど、サイバーセキュリティを強化することで、これを回避することができる。

パスキーやサイバーセキュリティの強化にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

従来のパスワード、特に単要素認証システムのみのパスワードは、デバイスやアカウント、重要なデジタルデータを保護する最も脆弱な方法のひとつであり続けている。グーグルやマイクロソフト、さらにはアップルといった大手テクノロジー企業の多くが、旧来のパスワード・システムよりも便利で安全なパスワードレス認証システムを採用するようになった理由のひとつだ。

特にアップル社は現在、ユーザーに多要素のパスワードレス認証システムを使うことを奨励しており、Tom's Hardwareのような多くのテクノロジー関係者は現在、アップル社のユーザーにiPad、iPhone、Macデバイスにこれらの「パスキーシステム」を実装する方法を紹介している。

暗号化されたデバイス固有のセキュリティ

パスキーシステムは、データとデバイスに何重ものセキュリティを加える。パスキーシステムは、暗号化された2つの「鍵」を使用する。一方は「公開鍵」で、暗号化されてオンラインに保存され、もう一方の「秘密鍵」は暗号化されてiPad、iPhone、Macなどの特定のデバイスにのみ保存される。

パスキーシステムで保護されたアカウント、デバイス、データにユーザーがアクセスしようとすると、公開鍵は暗号化された通信チャネルを介して秘密鍵と通信する。TouchIDやFaceIDのようなアップル製デバイスの既存の生体認証手段と組み合わせることで、この生体認証とデバイス固有のパスキーの組み合わせは、オンライン手段による厳密なアクセスの盗用が不可能であることを意味する。

パスキーの設定

アップル・デバイスのパスキー作成は比較的簡単です。最初のステップは以下の通りです：

オンライン化

設定セクションに入り、「パスワード」、「パスワードオプション」の順に選択し、「パスワードの自動入力」をオンに切り替えます。次に「iCloudパスワードとキーチェーン」をタップします。

パスキーを有効にする

アップルのロゴをクリックし、"システム設定 "に進みます。あなたの名前を選択し、"iCloudを選択"。"パスワードとキーチェーン "を切り替える。

キーを作成する

これでAppleデバイスがパスキーを受け付ける準備が整いました。お好きなサポートウェブサイトまたはアプリを使用し、使用するサービスの特定の指示に従ってください。

セキュリティの変更

また、既存のパスワードシステムを持つアカウントが、より安全なパスワードレス認証システムであるパスキーに移行することも可能です。これはサービスによって異なりますが、利用しているサービスやウェブサイトのアカウントエリアにアクセスし、「パスキーの設定」オプションが利用可能かどうかを確認することで、いつでも確認できます。もしあれば、それをタップしてAppleデバイスのパスワードレス認証に切り替えてください。

パスキーやサイバーセキュリティの強化にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

多要素認証は、人々がデバイス、アカウント、データにアクセスするための、より安全な新しい方法です。従来の単要素認証のパスワード・システムは、速く、安く、簡単に実装できる反面、最も脆弱なセキュリティ・システムでもある。

デジタル・セキュリティの進歩の結果、より新しく、より優れたシステムがオンラインに登場しつつあります。Gadgets36-によると、グーグルはテクノロジー業界の主要企業のひとつであり、パスワード不要のパスキーシステムを導入することで、ユーザーがより高いセキュリティを享受できるようにすることを決定したということです。

もう盗まれないパスワード

AndroidやMac端末のChromeユーザー向けに、グーグルは従来のパスワード・システムの代わりに「パスキー」と呼ばれるパスワード不要のシステムを用意しています。パスワードを盗んだり推測したりするだけで、デバイスやアカウントに完全にアクセスできてしまうため、単一認証のパスワードシステムは非常に脆弱です。さらに、ほとんどのパスワードは「弱い」と見なされています。なぜなら、人々は、多くの人が覚えるのが難しすぎて従わない、推奨されている英数字のランダムな文字列の、より大きなセキュリティと不便さに耐えるよりも、推測しやすい、または覚えやすいパスワードを選ぶからです。

多要素認証方式とは、1つ以上の認証形式が使われることを意味する。したがって、パスワードがそのシステムの一部であったとしても、パスワードを盗むだけでは完全なアクセスを許可することはできない。

パスキーのしくみ

パスキーシステムは、2つのデジタル「鍵」をペアにして運用され、互いに通信することでアクセスを許可します。まず「公開鍵」が暗号化され、オンラインに保存される。もうひとつは「秘密鍵」と呼ばれるもので、携帯電話、タブレット、ノートパソコン、デスクトップパソコンなど、特定のデバイス用に生成されます。

パスキーで保護されたアカウント、データ、デバイスにユーザーがアクセスしようとする場合、デバイス内の秘密鍵は公開鍵と暗号化されたチャネルを介して通信しなければなりません。暗号化された通信が行われ、秘密鍵と公開鍵が確認されて初めてアクセスが許可されますが、その時点ではパスキーは必要ではありません。

グーグル、「言葉」を広める

グーグルは現在、Chromeユーザーがパスワードからパスキーへの移行をより簡単に行えるようにしています。Android端末を持つChromeユーザーは、端末全体でパスキーを利用できます。しかし、Chrome for macOSやWindowsデバイスで生成されたパスキーはオンラインでは共有されず、特定のデバイスにのみローカルに保存されます。しかし、パスキーは、特に生体認証などの他の認証要素と組み合わせた場合、パスワードを不要とするセキュリティとしてより強力な形態であることに変わりはありません。

パスキーやサイバーセキュリティの強化にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。

APニュースによると、デジタル・アイデンティティ信託会社の最近の調査によると、米国の消費者の92％が、サイバーセキュリティの脅威が現在のサイバーセキュリティ対策を上回ると考えているという。2000人のアメリカ人と1000人のイギリス人を対象に実施された調査では、平均的なアメリカ人は現在、デジタル環境は本質的にリスクが高く、そのリスクは上昇し続けていると考えていることが示された。調査対象者の驚くことに91％が、自分のデータを完全に外部システムの保護に任せるのではなく、多要素認証のような個人的なデジタル・セキュリティ対策をさらに講じることに関心を示している。

パスワードが原因

この調査ではまた、回答者の68％が、従来のパスワード・セキュリティ・システムは、現在最も利用されているが、同時に最も信頼されていないセキュリティ対策であると感じていることが示された。このような消費者の不安は、残念ながら十分な根拠がある。いくつかの理由から、従来の単一要素パスワードは、サイバーセキュリティ対策として、今日のデジタル世界で最も脆弱なシステムの一つである。

パスワードシステムが一要素のみである場合、パスワードを知っていれば、そのパスワードで保護されているものすべてにアクセスできるということになる。多要素システムは、アクセスを許可するためにパスワード以上の何かを要求することによって、少なくともセキュリティを強化する。しかし、パスワードの最大の問題は、多くの人が「弱いパスワード」を使い続けていることだ。ほとんどの人は、簡単で覚えやすいパスワードを使いたがり、複数のアカウントに同じパスワードを使うことも珍しくない。

この2つの特徴が組み合わさると、多くの消費者が脆弱になる。簡単なパスワードや弱いパスワードは、簡単に推測されたり、消去法で「総当たり」されたりする可能性があるということだ。そのパスワードが他のアカウントにも使われている場合、オンライン・ストリーミング・サービスのアカウントのパスワードを盗むことで、オンライン・ショッピングのアカウント、クレジットカード、銀行口座にまでアクセスできるようになる可能性がある。

残念ながら、たとえパスワードが「強力」で、英数字のランダムな文字列を使用していたとしても、それが伝統的な一要素認証システムと結びついていれば、脆弱であることに変わりはない。消費者は、自分自身を守るために強力な個人用パスワードを持っているかもしれないが、それでもセキュリティ侵害によって盗まれる可能性がある。ヤフー、ソニー、ツイッター、イーベイ、リンクトイン、その他多くの企業が、何千、あるいは何百万ものアカウントが漏洩し、自らの過失によらず消費者を危険にさらすデータ漏洩を経験している。 

しかし、多要素認証はサイバーセキュリティにおいて大きな進歩を遂げています。顧客にパスワードに代わる認証方法を提供し、デジタル・セキュリティを強化したい場合は、Nok Nokの次世代型多要素認証技術とパスワードレス・セキュリティ対策について、こちらをご覧ください。