2021年後半以降、米国の一流企業や連邦政府機関に対するサイバーセキュリティ攻撃が相次いだことを受け、下院歳出委員会はサイバーセキュリティ対策に追加で資金を提供するという重大な決定を下した。データ漏洩や盗難は、組織や個人、特に政府機関を悩ませてきた深刻な問題である。今回の動きは、米国にとって、民間および公的なセキュリティ技術の進歩を可能にする、変革の可能性を秘めた一歩である。

サイバーセキュリティに150億ドルを計上

下院歳出委員会は、2023会計年度のサイバーセキュリティ対策費として150億ドルを計上した。これらの投資は、連邦政府機関にセキュリティ基準の改善を促すバイデン大統領の大統領令を受けたものである。この大統領令は、政府機関と民間企業との情報共有を改善することに重点を置き、予防措置の強化に加え、FIDOアライアンス仕様を含むゼロ・トラスト・ポリシーの採用を各機関に促している。

文民組織であるCISA（Cybersecurity and Infrastructure Security Agency）は、バイデン政権の要求額を4億1700万ドル上回る29億ドルを受け取った。この投資は、国家サイバーセキュリティ保護システムの下で、CISAが他の連邦政府機関に提供している主要サービスを補完するために行われる。主なサービスには、継続的な診断と緩和、エンドポイント検知、FIDO Webauthnなどが含まれる。

下院歳出委員会は、国防総省に112億ドルを割り当て、CISAともっと協力する方法を研究するよう要請した。議員たちは国防総省に対し、ロシアや中国からの侵入に対応するCISAを支援するよう要請した。

他の部局も、セキュリティ能力の向上、研究やエンジニアリングの支援、さらには将来のサイバーセキュリティ専門家の採用や育成（全米科学財団の場合）を目的とした資金を獲得した。

追加資金を獲得した各機関は、それぞれサイバーセキュリティ部門を持ち、セキュリティ攻撃から守ることを任務としている。下院歳出予算で割り当てられた追加資金は、これらの機関に権限を与えることになる。各省庁のサイバーセキュリティ能力を強化することは、最終的に国家の安全保障を強化するビルディングブロックとなるだろう。

国防の強化

技術開発が進むにつれ、サイバー犯罪の技術も進化し、最新のサイバーセキュリティの必要性もより速いスピードで進化しています。このようなリスクや脅威はますます複雑化しているため、Nok Nok Inc.はグローバルなFIDOアライアンスとともに、エンドユーザーを保護するためのより安全なサイバーセキュリティ対策を推進し続けています。FIDOベースのバイオメトリクス認証方式によるパスワードレス認証は、組織のセキュリティ強化に向けた重要な一歩です。Nok Nok製品の詳細はこちらをご覧ください。

アップルはiPhoneのオペレーティング・システムの新バージョン、iOS 16をリリースした。最新バージョンは、デザイン、カスタマイズ、アクセシビリティ、そしてパスワードレス認証によるセキュリティにおいて、より優れた革新を提供する。

カスタマイズ可能なロック画面

iOS16では、ロック画面をよりカスタマイズできるようになった。ロック画面とホーム画面に異なる壁紙を設定できるようになった。また、ロック画面に表示するフォントやウィジェットもカスタマイズできる。

改良されたフォーカス機能

アップルはフォーカス機能を改良し、フォーカス機能がアクティブなときに通知を受け取りたいアプリをユーザーが手動で選択できるようにした。また、誰が通知を受けるかをカスタマイズすることもできる。

よりスマートなSiri

以前のバージョンではSiriを使うのが難しかった機能が改善され、音声アシスタントがより使いやすくなりました。Siriは、シンプルな音声機能で電話に出たり、通話を終了したりできるようになりました。Siriでのテキスト入力も改善され、句読点を自動的に追加できるようになったため、ユーザーが口述する必要がなくなりました。また、「emoji」と絵文字の説明を言うことで、絵文字を追加することもできます。

よりスムーズなディクテーション

iOS16では、会話とタイピングの切り替えがスムーズになった。キーボードは話している間も開いたままなので、いつでも使うことができる。置き換えたいテキストをタッチすると、音声に置き換えることができる。

ライブテキストへの追加機能

Live Textに、マルチメディアからの情報抽出をより便利にする機能が追加されました。新しいアップデートにより、Live Text機能で画像や動画内のテキストを認識し、コピーできるようになりました。新しいビジュアル・ルックアップ機能では、画像内の被写体を持ち上げ、任意のアプリで入力することができる。これら以外にも、アップデートには翻訳機能、15分間の取り消し、通貨変換が含まれている。

ライティングの改善

iPhoneのネイティブ・キーボードもハプティック・タイピングにアップグレードされ、よりスムーズで効率的な入力が可能になった。ハプティック・キーボード・フィードバックは、個別にオン・オフが可能だ。 iOS 16はまた、iMessagesでの無制限・編集機能を備えている。iPad OS 15で初めて導入されたクイックメモ機能は、iOS 16でも利用できるようになった。

パスキーによるパスワードレス認証ログイン

パスキーはデジタル暗号認証機能で、様々なアプリ、ウェブサイト、サービスのパスワードを保存し、ユーザーが多くのパスワードを覚える必要がないようにします。パスキーは特定のデバイスにローカルで、iOS 16ではバックグラウンドで行われます。パスワードレス認証は、ユーザーをサイバー犯罪から守ると同時に、ユーザーにとっての利便性を保つものであり、2020年にパスキーの利用が拡大したのも当然と言えます。

パスワードレス認証システムに興味がある方は、こちらをお読みください。

デジタル専用銀行は、デジタル・プラットフォームを通じてバンキング・サービスを提供することで、利便性を提供している。しかし、大半の消費者は、データ・セキュリティーに対する懸念から、デジタル専用銀行への移行に消極的な姿勢を崩していない。こうした懸念や金融機関に対する継続的なサイバー犯罪攻撃を考慮すると、デジタル専用銀行はパスワードレス認証を通じてサイバーセキュリティ能力を強化する義務がある。

データ・セキュリティの問題

米国消費者庁の報告によると、COVID-19の大流行が始まって以来、サイバー犯罪の件数は倍増している。ここ数年、デジタルバンキングや電子商取引が一般的になったため、エンドユーザーにとってのデータセキュリティ問題も増加している。サイバー犯罪者がエンドユーザーを標的にし始めたことは明らかである。消費者は、パスワードの漏洩、財産の盗難、個人情報の盗難、詐欺などを心配している。したがって、デジタル専用プロバイダーは、サイバー犯罪との戦いの最前線にいる。

Pymnts.comの調査によると、デジタル専用銀行が提供する摩擦の少ないユーザーエクスペリエンスは消費者にとって魅力的だが、サイバー犯罪への恐怖が抑止力の第1位であることが明らかになった。デジタル専用銀行に対する不信感は、特にベビーブーマーとX世代に強いが、ミレニアル世代にも存在する。しかし、リスクに対する意識が高まるにつれ、消費者は安全のために利便性を犠牲にすることを厭わなくなっていることは朗報である。

パスワードレス認証でセキュリティを強化

サイバーセキュリティは、金融セクターにとって常に最大の関心事である。金融規制当局は、消費者の安全を確保するため、デジタル・バンキングに厳格なセキュリティ基準を設けている。しかし、サイバー犯罪の手口や巧妙さは日々進化しているため、サイバーセキュリティ能力は継続的に強化されなければならない。

デジタル専用銀行がサイバー・セキュリティ能力を強化することは、もはや組織内部のデータを強化することだけでなく、より重要なことはエンド・ユーザーを保護することに重点を置くことである。知識ベースの認証は非常に安全でないことが証明されており、時間の経過とともに安全性は低下している。消費者は強力なパスワードの作成と記憶で苦労することが多く、ハッカーがパスワードを解読するのは容易であり、さらにフィッシングのような手法もあるため、ユーザーは知らず知らずのうちに自分のユーザー名とパスワードを明かす可能性があり、このセキュリティと認証方法は過去のものとなっている。

パスワードレス認証とは、公開鍵-秘密鍵-暗号化鍵をデバイスの生体認証と組み合わ せて使用し、知識ベースの認証に取って代わる最新のタイプの認証である。FIDOとして知られるグローバル・アライアンスは、公開鍵と秘密鍵のペアを活用する一連のパスワードレス認証標準をサポートしている。公開鍵はサービスと共有されるが、秘密鍵はユーザーの暗証番号または指紋や顔認証などの生体認証によって保護されるため、安全なままである。

パスワードレス認証はエンドユーザーにとって非常に便利ですが、消費者や従業員にとっても最も安全でセキュアな方法です。組織のサイバーセキュリティ強化にご興味のある方は、業界をリードするNok NokのFIDOプラットフォームの詳細をご覧ください。

「クラウド・コンピューティング」と「クラウドベースのアプリケーション」は、企業レベルのデジタル活動に多くの大きなメリットを提供し続けている。クラウド "で計算やソフトウェアのニーズをオンラインに移行することで、企業にはコスト面でも運用面でも多くのメリットがもたらされる。クラウド・コンピューティングを利用する企業は、ハードウェアを購入することなく、オンラインで計算ニーズを実現することができる。多くの場合、クラウドベースの計算能力は、自社で機器を購入した場合の金額を上回る。

同時に、ストレージやアプリケーションを自由に利用できるため、役員や社員がデータを取り出したり、ホームオフィスの1台のマシンで作業したりする必要がなくなる。スタッフが適切な機器とアクセス許可を持っていれば、データとソフトウェアはいつでもオンラインで利用できる。

しかし、こうした具体的な作業やコスト面でのメリットには、セキュリティなどの新たな懸念がつきまとう。

IT専門家はサイバーセキュリティを懸念している

オンライン・データやアプリケーションへのアクセスが容易であるということは、従業員がオンライン対応のデバイスであればどこからでもデータやソフトウェアにアクセスできる可能性がある一方で、犯罪者もアクセスできる可能性があるということでもあります。クラウドベースのストレージとコンピューティングには、サイバーセキュリティに関する特別な配慮が必要だが、Ponemon Instituteが1500人のIT担当者を対象に実施した調査では、ITおよびセキュリティ・リーダーの60%が、クラウドベースの運用に必要なサイバーセキュリティの追加要件を正しく処理する組織の能力に自信を欠いていた。回答者の59%は、アカウント乗っ取りやクレデンシャル/ID盗難をサイバーセキュリティリスクのトップとして挙げている。

特に複数のデバイスが同じアカウントにアクセスできるようになった現在、単一のパスワード・システムのような従来のセキュリティ手法では、現代のセキュリティ・ニーズを満たすにはもはや不十分であることに、多くのIT担当者が気づいています。ゼロトラスト・ネットワーク・アクセスのような新しいプロトコルは、多要素認証のような新しいセーフガードを採用し、より安全なアクセス・レベルを追加し、場合によっては、アカウントやデータにアクセスするために何かを記憶する必要のない生体認証、パスキー・システム、その他のメカニズムを使用して、パスワードの必要性を完全に排除します。

より安全な未来

より多くの業務がクラウドベースのアーキテクチャに移行する中、組織はこの移行に伴い、サイバーセキュリティを適切に強化する必要がある。新しい多要素セキュリティの概念は、単一パスワードシステムの脆弱性を取り除き、その脆弱性を相殺しようとする英数字の長い文字列の不便さを解消することができる。Fast Identity Online AllianceまたはFIDOのようなグループは、この移行を標準化し、企業にとってより簡単で相互運用可能なものにする手助けをしている。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

かつて、デジタル・セキュリティの伝統的な形態は、認証のための単一のパスワードで構成されていた。単一パスワードは実装や確認が簡単で便利な反面、このシステムは脆弱であり、他の点では不便でさえあった。こうした脆弱性は、企業がクラウドベースのコンピューティングやアプリケーションに移行するにつれて明らかになりつつあるが、幸いなことに、パスワードレス認証のような解決策がある。

パスワードの問題

まず、パスワードそのものの問題があります。なぜなら、パスワードを盗んだり推測したりすることで、データへの完全なアクセスやアカウントの完全なコントロールが可能になってしまうからです。回避策のひとつは、英数字のランダムな長い文字列で、ユーザーが覚えにくい「強力な」パスワードを使うことです。そのため、「パスワード疲れ」のために、便宜上このガイダンスを無視する人もいます。もう1つの解決策は、システムのさまざまな側面を処理するために多くのパスワードを持つことだが、パスワードの数と複雑さのために、これはしばしばパスキー・マネージャーを必要とし、インターフェイスの特別なレイヤーを追加します。

その結果、パスワードを盗む方法が予測できるようになった。発生するデータ漏洩の80%は、偽の電子メールや電話、その他のソーシャル・エンジニアリングによってユーザーを騙して自発的にパスワードを入力させる「フィッシング」か、ユーザーをスパイしてアクセス行動を監視し、ユーザーがパスワードを入力した際に盗み出す「中間者攻撃」のどちらかの結果であることがほとんどだ。

パスワードレス認証のためのパスキー登場

パスキーのコンセプトは、デジタル・セキュリティでは比較的新しいアイデアですが、パスワードレス認証には大きな期待をもたらします。これは、アップル、グーグル、マイクロソフトなどの企業がFIDOアライアンスと協力して実装している機能で、パスワードレス認証を簡単に行うために、強力な暗号鍵を生成してくれることになります。パスキーを受け付けるアプリを見つけたユーザーは、ユーザー名やアカウントごとにパスキーを作成することができます。そのパスキーは、テキスト入力の自動入力や自動訂正機能と同じように、ワンタッチで自動的に入力されます。

このシステムでは、ユーザーアカウントやパスキーシステムが存在しない他のデバイスにログインすることさえできます。パスキー機能を有効にするだけで、ユーザーの携帯電話がスキャンするQRコードが作成され、携帯電話上のパスキーがすべてを検証・認証できるようになります。フィッシングや中間者攻撃を排除する一方で、パスワードレス認証をシンプルで簡単に利用できるようにする、より耐久性のあるシステムにセキュリティが取り組んでいるもうひとつの方法です。FIDOプロトコルを使用し、パスワード不要のシステムに移行することに興味がある方は、こちらをお読みください。

Nok Nokは、独自の一次調査を通じて、現在のシステムレベルの認証プロセスの状態や、認証の失敗がビジネスに与える影響との関連性についてのビジネスデータが限られていることを認識していました。このギャップを解決する初の取り組みとして、Ponemon InstituteはNok Nokと共同で、現在デジタルトランスフォーメーション・プロジェクトを進めている企業を対象とした業界調査を開始しました。

この Ponemon 社の調査の主な発見は、認証の失敗によって組織が直面するさまざまなリスクと影響 を理解する上で、IT セキュリティ・マネジャーとビジネス・マネジャーの間にギャップが存在するという ことである。 

認証にかかる費用を学ぶ

これは、Ponemon Institute for Nok Nokが昨年夏に実施した「The Costs of Authentication Failure and Negligence（認証の失敗と過失がもたらすコスト）」と呼ばれる調査から得られた大きな収穫のひとつである。1,000人以上の企業参加者にインタビューしたこの調査によると、認証の失敗によって発生するのは単なる顧客の迷惑だけではない。組織は、このような障害に年間平均300万ドルを費やしており、1回の損失額は最大で3900万ドルから4200万ドルに及ぶ。 

こうした損失には、セキュリティチームがさまざまな問題を解決する間のダウンタイムやビジネスの中断に関連するコスト、顧客の損失、ブランドイメージの低下による長引く影響などが含まれる。企業規模になると、システムレベルの障害の深刻さは非常に大きくなる。パスワードを覚えられない顧客が一人いるのと、覚えられない顧客が大勢いるのとでは、まったく別の話だ。同様に、1人がアカウントを押収されたり、身代金を要求されてデータを奪われたりするのはまずいことだが、組織全体が壊滅的な打撃を受けることになる。このような情報漏えいの最も一般的な原因は、認証の失敗である。例えば、パスワードのガイダンスを覚えられないために顧客が他所に仕事を移したり、単に遵守する気がなく、より便利だが安全性の低いプロトコルを提供する組織に移ったりすることである。

このマスタークラスはNok Nokが主催し、以下のような業界の様々なエキスパートが講演する：

ラリー・ポネモン（ポネモン研究所創設者兼会長

フィル・ダンケルバーガー（Nok Nok Labs社長兼CEO

Nok Nok Labs マーケティング＆戦略イニシアチブ担当副社長 ジム・デリ・サンティ氏

調査対象者の半数近くが、認証の失敗が企業にとって重大なセキュリティ上の課題であることに同意しており、今日のMFAソリューションはユーザー・エクスペリエンスに悪影響を与えるため、こうした失敗を防ぐことは困難であるとしている。そして悲しいことに、回答者の60％以上が毎月10回以上の認証障害を検知しており、これらの障害によって回答者が経験したダウンタイムは平均して月に約6時間である。 

調査回答者によれば、認証に失敗する理由はいくつかある。 

第一に、盗まれた認証情報を使用する犯罪者を特定し、実際の従業員と区別することは困難である。回答者のうち、犯罪者を見つけるのが「簡単」または「難しくない」と答えたのはわずか13％だった。回答者の約3分の1は、自社がクレデンシャル盗難攻撃を十分に可視化できていると答えている。この調査では、無作為の推測ではなくユーザーの実際のパスワードの窃盗、そのアカウントを使っての不正購入やその他の取引、機密データの窃盗が検討された。 

次に、認証プロセスを高いレベルで管理できていると感じているのは、わずか 19％であった。次に、これらの障害の半分以上が検出されないままであると考えているのは 33％で、3 分の 2 は、これらの障害の頻度（重大度については 55％）が過去 1 年で増加したと主張している。 

マスタークラスに申し込むと、認証失敗のコストについてさらに貴重な洞察を得ることができます。FIDOプロトコルについて学び、パスワード不要のシステムに移行することに興味がある方は、こちらをお読みください。

PCベースの代替システムとして不動の人気を誇るアップルは、最新のオペレーティング・システム・アップデート「macOS Ventura」の新機能の数々を発表した。最新のアップグレードは、ユーザーにとってMacコンピュータの利便性と機能性を拡大し、パスワードレス認証でデータやデバイスを保護する方法を数多く導入している。

マルチタスク・マネジメント

異なるアプリケーションやソフトウェアのウィンドウを行ったり来たりする必要があるユーザーにとって、「ステージ・マネージャー」は集中力を維持し、軌道に乗るのを助ける微調整のひとつだ。現在使用中の主要なソフトウェアは中央のウィンドウとして表示されるが、現在「プレイ中」の他のソフトウェアは、アクセスしやすいようにサイドのセカンダリウィンドウとして表示される。

メールも一新され、整理と検索機能が大幅にアップグレードされた。メールの連絡先、メールそのもの、あるいは特定の添付書類や写真も簡単に検索できるようになった。指定した期間内に特定のメールに返信したり、再訪問するようリマインダーを設定することもできる。

デバイスの相互接続性

新しいOSはまた、ワイヤレスでもiPhoneの存在を認識できるように特別に設計されている。"Camera Continuity "は、macOS VenturaがiPhoneをウェブカメラとして使用できるようにする新機能で、これらのデバイスにワイヤレスで接続して使用することができる。ユーザーはiPhoneをコンピュータにマウントすることも、好みに応じて手持ち撮影を続けることもでき、光を落としたり顔の特徴を強調したりできるスマートな機能を備えている。

パスワードレス認証によるサイバーセキュリティ

おそらく最も重要なのは、macOS Venturaに新しいセキュリティ機能が追加され、デバイスの使用がこれまで以上に安全になったことでしょう。Safariブラウザーのユーザーは、「パスキー 」と呼ばれるパスワード不要の認証機能を利用できるようになりました。パスキーとは、特定のデバイスにローカルに残るデジタルキーのことです。このパスキーは、ユーザーの利用状況や好みに応じて異なるパスワードレス認証機能によってのみ解除できます。

アップルはすでに、生体認証に基づくパスワード不要のさまざまな認証方法をユーザーに提供している。そのため、Touch IDであれFace IDであれ、ユーザーはランダムな英数字の長く難しい文字列を覚える心配はない。iCloud Keychainは、この同じセキュリティをエンドツーエンドの暗号化によって、Mac、iPhone、iPad、Apple TVなどのデバイス間で同期させることができる。このセキュリティは、iPhoneを使用しているApple以外のウェブサイトやアプリケーション、Apple以外のデバイスにも適用されます。 

これらのステップにより、アップルユーザーは、不便な手順や対策を講じることなく、なりすましの試みを強力に撃退する、より安全なデジタル体験に一歩近づくことができます。FIDOプロトコルの使用とパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

バイオメトリクスとは、暗記した単語やフレーズを入力する代わりに、顔や声、あるいは親指のような指紋など、ユニークな個人的特徴を利用して身元を確認する、パスワード不要の認証の一形態である。バイオメトリクスは徐々に金融取引に組み込まれつつあるが、新たな研究によると、この傾向は爆発的に拡大するという。

バイオメトリクス・バンキング

ジュニパー・リサーチによると、生体認証による金融取引は2027年までに1兆ドルを超えるという。遠隔決済、特にモバイル機器を通じた決済となると、PIN番号とパスワードが依然として主流である。生体認証がスマートフォンやタブレットなどのモバイル機器に徐々に統合されつつある現在、その取引額は約3320億ドルに上ると推定されている。

つまり、ジュニパーリサーチ社の試算が正しければ、生体認証を利用した遠隔決済は今後5年間で約365％増加すると予想される。

必要性による成長

バイオメトリクスの成長が起こっている理由はいくつかある。最大の原動力は利便性である。バイオメトリクスは迅速かつ簡単である。強力な」パスワードのために、ランダムな英数字の長い文字列を記憶する必要はない。アップルのような大手テクノロジー企業は、アップル・ペイのような金融ソフトウェアにバイオメトリクスを組み込み、アップル・ユーザーにとって簡単にアクセスでき、使いやすい決済手段にしている。

もうひとつの要因は、政府の介入である。例えば、欧州連合（EU）には「第二次決済サービス指令」（PSD2）があり、サイバーセキュリティに改めて重点を置いている。強固な顧客認証（SCA）はこの指令の一部であり、パスワードだけに頼らない多要素認証を意味する。バイオメトリクスは、これらの基準を満たすための重要な要素である。

バイオメトリクスの幅広い導入に貢献しているもう一つの要因は、FIDO（Fast Identity Online alliance）である。2013年に結成されたこの業界専門家の同盟は、パスワードへの依存を減らし、標準化されたプロトコルを推進することにコミットしている。

FIDOは最近、大手テック企業のマイクロソフト、アップル、グーグルから公式発表があり、FIDO標準を技術的に普及させる意図で、FIDO標準を幅広くサポートすることを発表した。この取り組みは、早ければ来年にも展開され、さらに普及が進むだろう。

バイオメトリクスは、パスワードを使わずに認証するための、高速で安全でより便利な方法です。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

個人金融はかつてないほど利用しやすくなっている。平均的な消費者は、銀行の支店が開いているときに利用することに限られていたのが、特定の場所で24時間365日自動預け払い機を利用したり、自宅のパソコンや外出先から携帯電話やタブレットなどのモバイル・デバイスを使って銀行口座にアクセスしたりすることができるようになった。しかし、顧客の資金の安全を確保するためには、より厳格なセキュリティ対策が必要となっている。そこで、最新のバイオメトリクス認証のような、より優れた、より便利な対策が導入されない限り、事態は複雑になりかねない。

お金を守る

かつて銀行口座にアクセスするには、銀行の支店を訪れ、通帳や本人確認書類を提示しながら書類に記入する必要があった。しかし、デジタルの世界では、個人の財務にアクセスするための主役はパスワードである。PYMNTS.comによると、財務データにアクセスする人の64％が、少なくとも月に一度は従来のユーザー名とパスワードの組み合わせを使っている。

残念なことに、パスワードは個人の選択によっては極めて脆弱なセキュリティーとなりうる。無知や怠慢から、推測されやすいパスワードを選んでしまい、金融データを不正アクセスにさらされやすい状態にしてしまう人もいる。その解決策は、「強力なパスワード」とユーザー名を使うことである。このパスワードは通常、ランダムな英数字の組み合わせの長い文字列で構成され、推測を不可能にする。残念なことに、この方法ではパスワードを覚えるのが非常に難しくなり、信じられないほど不便になる。

物事をより簡単に

そこで、FIDOのバイオメトリクス認証方式が大きな影響を与える可能性がある。PYMNTS.comによると、調査対象となった消費者の60％以上が、従来のユーザー名／パスワードの仕組み以外のシステムを試してみたいと考えている。 これは、複数のモバイルデバイスでオンライン金融サービスにアクセスする消費者では73％以上に跳ね上がる。

バイオメトリクス認証は、ユーザー名とパスワードを暗記するのではなく、推測に よって悪用されることのない個人の固有の特徴を利用する。その特徴とは、顔、指紋、音声識別、またはその他の要素である。しかし、重要な特徴は、顔が "推測 "できないことである。泥棒が人の顔を知っているからといって、その知識は人の顔を必要とするシステムへのアクセスには役立たない。USB暗号化キーや複数のバイオメトリクス確認など、他の仕組みと組み合わせることで、ユーザー名とパスワードを入力するよりも速く、暗記を必要としないためより便利な多要素認証システムを形成することができる。

より多くの人々が、複数のプラットフォームやデバイスを横断してデータにアクセスするモデルに移行するにつれ、より優れた、より高速で強力なセキュリティ・システムが必要とされている。

FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。

ある種のソフトウェアはどこにでもある。マイクロソフト・ウィンドウズは世界中の何百万台ものコンピューターに搭載されているし、グーグル・クロームは多くの人に好まれるデフォルトの検索エンジンだ。Javaプログラミング言語もそのようなデジタルツールのひとつで、モバイルソフトウェアからウェブベースのアプリケーション、さらには多くの企業が依存しているミドルウェアまで、あらゆるものに広く使われている。残念ながら、このユビキタスなソフトウェアが、場合によっては逆効果になることがあり、サイバーセキュリティもそのひとつだ。Java開発者のお気に入りであるLog4Jロギング・ユーティリティに重大な脆弱性が発見された。

Log4Jとは？

Log4Jユーティリティは、Javaソフトウェアの世界で最も人気のある開発者ツールの1つです。これはJavaベースのオープンソースのロギング・ユーティリティである。これは、開発者がソフトウェアの欠陥を監視し、最終的に対処できるように、エラーのような「イベント」を追跡し、報告するようにプログラムすることができる。Log4Jユーティリティは、その手軽さと有用性から、膨大な種類のソフトウェア、特にこの組み込みソフトウェアが存在する何億ものモバイルデバイスに組み込まれている。

残念ながら、Log4Jユーティリティに脆弱性が発見され、Log4Jは非常にユビキタスであるため、深刻なサイバーセキュリティの脅威となっている。

サイバーセキュリティにおける重大な制御不能

Log4Shellの脆弱性は、一般的な脆弱性スコアとして、脅威の観点から最も深刻な指定である10が与えられている。このサイバーセキュリティの脆弱性を悪用した具体的な例としては、DDOS攻撃、リモートからのアプリケーションの奪取・制御・実行、企業ネットワークへのアクセスを犯罪者の最高入札者に競売にかけること、さらには暗号通貨のマイニングのためにネットワーク内のデジタルリソースを分割することなどが挙げられる。

なぜ起こるのか

Log4Shellの脆弱性は、コストと安全性の間の闘いの最新の例である。ソフトウェアにおける最もコスト効率の良いアプローチは、社内で独自のオーダーメイド・ソリューションを作るよりも、既存のリソース、時には古いものでさえも利用することだ。しかし、これによってコストが下がる一方で、古いアプリケーションやプロセスは、最新のアプリケーションやツールに比べて脆弱になりがちである。どの企業も、セキュリティにどれだけのコストをかけるべきか、頭を悩ませている。

現在、企業はこの脆弱性を特定し、対処し、パッチを当てるために奔走しているが、これは最新のセキュリティ対策を維持する継続的な必要性を示しています。新しいソフトウェア、新しいアップグレード、そしてパスワードを不要とするIDや認証のような新しいユーザー・コントロール・システムは、最新のパスキーがフィッシングに強く、ユーザー中心のセキュリティを提供するため、重大な脆弱性が発見され、悪用される可能性を減らすことができます。

FIDOプロトコルを使用し、パスワードレスのIDおよび認証システムに移行することに興味がある方は、こちらをお読みください。