概要
顧客
エトナは、約3,790万人にサービスを提供する大手医療機関です。
挑戦
エトナのオンラインサービスの顧客、パートナー、従業員の認証を改善します。 医療機関は、HIPAAやHITECHなどの医療規制へのコンプライアンスを確保し、データ漏洩による高額な罰金や訴訟を回避するために、保護医療情報(PHI)を保護する必要があります。
ソリューション
エトナは、生体認証を使用して顧客を確認し、次世代の認証プロセス(エトナモバイルアプリのオンラインセッション中にユーザーを認証する行動ベースのセキュリティ)を使用して、ユーザー認証にFIDO標準を採用しています。
業績
- アプリの使用から2週間以内に、エトナはユーザーの行動のベースラインを設定することができました。
- エトナは、行動データを使用してユーザーを保護し、データを継続的に入力し、最終的に破棄するFIDO NGAリスクエンジンにデータを供給しています。 リスク エンジンは、6 層のセキュリティ制御で保護されています。
FIDOソリューション
エトナは、ユーザー認証をエクスペリエンス全体に統合し、エンゲージメントを簡素化すると同時に、顧客、パートナー、従業員にデータが安全であるという強力なメッセージを送る必要がありました。 エトナは、ユーザー認証、生体認証、次世代認証にFIDO標準を使用していることを誇りに思っています。
FIDOがもたらすもの
FIDOアライアンスの仕様と認定により、多くのアプリやウェブサイトで使用できるハードウェア、モバイル、生体認証ベースの認証システムの相互運用可能なエコシステムが可能になります。 このエコシステムにより、企業やサービスプロバイダーは、パスワードへの依存を減らし、盗まれたパスワードを使用したフィッシング、中間者攻撃、リプレイ攻撃から保護する強力な認証ソリューションを展開できます。
「FIDOアライアンスは、オープンスタンダードに基づいてユーザー認証を開発しているため、エトナのような企業は、ITに縛られることなく、最新のテクノロジーを採用することができます。FIDOアライアンスのエグゼクティブディレクターであるBrett McDowell氏は、「標準ベースのアーキテクチャは市場とともに進化し、運用コストが低く、サポート終了後のシステムの運用と保守のリスクを軽減できます」と述べています。
詳細
挑戦
医療機関は、リスクと脅威の新時代に向けてユーザー認証を進化させようとしています。 医療データは、保険金請求、医療貯蓄口座、フレキシブル貯蓄口座など、さまざまな種類の詐欺に使用できる豊富な個人情報、財務データ、医療データを提供するため、サイバー犯罪者から高く評価されています。
医療機関は、HIPAAやHITECHなどの医療規制へのコンプライアンスを確保し、データ漏洩による高額な罰金や訴訟を回避するために、保護医療情報(PHI)を保護する必要があります。
また、医療セキュリティのリーダーは、サイバー犯罪者が個人の人口統計学的情報を使用してパスワードのリセット機能をバイパスするアカウント乗っ取りも避けたいと考えています。 Anthem、Equifax、Yahooなど、いくつかの大規模なデータ侵害の後、サイバー犯罪者は、大規模なユーザーになりすますために使用できる豊富なプロファイルを集めることができます。 「現実には、この業界ではアカウント乗っ取りの試みがますます増えています」と、ヘルスケア企業の最高セキュリティ責任者(CSO)を務めるエトナのジム・ルース氏は述べています。 「バイナリ認証 [using passwords] は今日、時代遅れになっています。」
医療業界におけるフィッシングに強いセキュリティの構築
ソリューション:Routhは、エトナのオンラインサービスを利用する顧客、パートナー、従業員を認証するためのより良い方法を見つけたいと考えていました。 同社は、次世代認証(NGA)をモバイルプラットフォームとWebプラットフォームに展開し、オンラインサービスのセキュリティとユーザビリティを向上させるために2段階のアプローチを取っています。
まず、エトナはユーザー認証にFIDO標準を採用しており、パスワードではなく生体認証を使用して顧客を確認しています。 生体認証機能は急速に進化しており、エトナは、ソフトウェアやデバイス間で標準インターフェースを使用しながら、消費者に選択肢を提供したいと考えていました。 さらに、標準ベースのアーキテクチャは、非標準ベースのアーキテクチャよりも運用コストが低くなります。
FIDO認証:ユーザー認証の将来性を確保し、簡素化
「エトナは生体情報にFIDO標準を採用し、一貫性を持たせ、認証プロセス全体を簡素化しました」とRouth氏は言います。 「FIDOは、消費者の選択やデバイスに組み込まれたセキュリティ機能の影響から私たちを隔離します。この規格では、認証プロセスをアプリケーション開発者から分離しているため、携帯電話会社、デバイスメーカー、オンラインサービスの構成に関係なく、毎回認証できます。さらに重要なことは、メンバーの生体情報がデバイスから離れることはなく、メンバーのIDが保護され、侵害されないことです。」
また、オープンスタンダードに基づくユーザー認証の開発は、エトナのような企業がベンダーのプロプライエタリな製品に縛られることなく、最高の最新テクノロジーを採用できるように、「将来を見据えた」ソリューションにもつながります。
標準ベースのアーキテクチャは、市場とともに進化および拡張でき、プロプライエタリなアーキテクチャよりも運用コストが低く、システムの運用と保守のリスクも軽減されます。
エトナは、オンラインセッション中に最大60のビヘイビアを使用してユーザーを認証します
プログラムの第2段階では、エトナは次世代の認証プロセスである、エトナモバイルアプリでのオンラインセッションを通じてユーザーを認証する行動ベースのセキュリティを展開しました。 エトナは、場所、アクセス時間、拇印、キーストロークのスタイルなど、30〜60の異なる行動を継続的に確認し、ユーザーが一定に保たれるようにします。 したがって、たとえば、個人が友人に電話を渡した場合、アプリは新しいユーザーを認識し、別の形式の認証を要求します。
FIDOでセキュリティの新たな基準を打ち立てる
FIDO規格は、NGAリスクエンジンへの行動データの継続的な入力をサポートしています。 エトナは、ユーザーの行動のベースラインを設定するのに、アプリの使用に1〜2週間かかりました。 エトナは、ユーザーの保護のためにのみ行動データを使用し、リスクエンジンに供給し、最終的に破棄します。 リスク エンジンは、6 層のセキュリティ制御で保護されています。
エトナは、ユーザー認証が全体的なエクスペリエンスの一部となり、エンゲージメントを簡素化すると同時に、エトナがデータの保護を真剣に受け止めているという強いメッセージを顧客、パートナー、従業員に送ることができることを理解しています。 多くのアナリストが、優れた情報リスク管理能力とプラクティス(多要素認証を含む)は、ハッキングやデータ侵害が絶え間なく発生する時代に企業を差別化するのに役立つと述べています。
「私たちには、セキュリティを向上させる機会があると同時に、パスワードを覚える必要をなくすことで、エトナが消費者とつながる方法を大幅に改善します」とRouth氏は述べています。
