認証は依然としてCISOの主要な課題である
サイバーセキュリティを心配することはフルタイムの仕事であり、最高情報セキュリティ責任者(CIO)という正式な役職に就いている人にとっては、契約上、給与をもらっている職業上の義務です。しかし、日進月歩のテクノロジーの世界では、さすがに最新のセキュリティ対策や新手の脅威に対応し続けるのは大変なことだ。また、パスワードレス認証のように、常に直面しなければならない課題も絶え間なく存在する。
認証のパラドックス
CISOにとって最大の課題の一つは、認証要件に常に振り回されることである。認証は極めて重要だ。企業は、権限を与えられた個人だけがデータにアクセスできることを望んでいるが、そのバランスは難しい。認証の実装が難しすぎると、正規のユーザーでさえデータにアクセスするのが難しくなる。しかし、認証を簡単にしすぎると、悪用されたり迂回されたりして、権限のないユーザーが機密データや有害なデータにアクセスする可能性さえある。
増大する課題
かつては、パスワードシステムを導入するのが標準的な解決策だった。これは簡単に作成でき、複数のプラットフォームに柔軟にインストールできるという利点があった。しかし、パスワード・ベースのシステムは、消去法、簡単に推測されるパスワード、あるいは不注意な従業員が安全な個人用パスワードをわざわざ変更せず、デフォルト・パスワードのままにしておくといった「総当たり」テクニックに弱い。
もうひとつの大きな課題は、柔軟なアクセス形態へのニーズが高まっていることだ。オフィスビル内でPCをセキュアな状態にし、その日はそれで終わり、というのではもはや不十分だ。スタッフは、出張中や、ノートパソコン、スマートフォン、タブレットなど、さまざまなデバイスを使用してデータにアクセスする必要があるかもしれない。在宅勤務やフルタイムのリモート従業員で、オフィスには一度も足を踏み入れたことがないにもかかわらず、自分の好きなデバイスで重要なデータにアクセスする必要がある場合もあります。
パスワードレス認証が役立つ
課題を緩和する方法のひとつは、より安全でありながら、ユーザーにとって作業しやすいセーフガードを使用することである。生体認証やUSB暗号化キーなどのパスワードレス認証は、さまざまな形式の認証に依存する古いシステムのリスクを排除する手段のひとつだ。ユーザーはもはや、強力なパスワードを維持するためにランダムな英数字の長い文字列を記憶しておく必要はなく、場合によっては、正しい音声、顔、拇印などを持つことによって認証を常に携帯することができる。
ゼロ・トラスト」アプローチの使用や、パスワードレス認証対策での実装といった戦術は、安全な作業環境の維持に取り組むCISOに大きな影響を与える可能性がある。FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。