ブレット・マクダウェル(Brett McDowell)氏、FIDOアライアンス事務局長
先週、エトナの最高セキュリティ責任者であるジム・ルース氏はウォール・ストリート・ジャーナル紙に語った 顧客、パートナー、従業員向けのオンラインサービスのセキュリティとユーザビリティを向上させるための組織の先駆的な取り組みについて。 その取り組みの中核となるのが、 FIDO認証 。
エトナは現在、次世代認証(NGA)プラットフォームをモバイルおよびウェブアプリケーションに展開する複数年にわたるプロセスを進めています。 NGAにより、エトナは強力な認証への2つのアプローチを通じて、医療アクセスを改善するための新しい業界のベストプラクティスを構築しています。 まず、顧客のオンラインアカウント認証情報に生体認証によるパスワードレスのFIDO認証を採用し、強力でフィッシング不可能な公開鍵暗号によるパスワードやワンタイムパスコードなど、非常に脆弱な「共有シークレット」への依存を減らしています。
Routh 氏は最近、エトナのFIDO採用について語った 「エトナは、生体情報にFIDO標準を採用し、一貫性を持たせ、認証プロセス全体を簡素化しました。FIDOは、消費者の選択やデバイスに組み込まれているセキュリティ機能の影響から私たちを隔離します。この規格では、認証プロセスをアプリケーション開発者から分離しているため、携帯電話会社、デバイスメーカー、オンラインサービスの構成に関係なく、毎回認証できます。さらに重要なことは、メンバーの生体認証情報がデバイスから離れることはなく、メンバーのIDが保護され、侵害されないことです。」
私たちは、消費者の選択に対するエトナの取り組みと、シングルジェスチャーのFIDOベースの生体認証により、サービス全体でより統一された体験を生み出していることを称賛します。 また、FIDOを採用することで、エトナは顧客、パートナー、従業員をフィッシング、中間者攻撃、および従来のユーザー認証情報の窃取によく使用されるその他の攻撃から保護することができます。
FIDOのような標準ベースの強力な認証を導入することで、組織がセキュリティやユーザーエクスペリエンスに関して直面している認証の問題の多くを解決することができますが、医療従事者は依然としてデバイスの紛失や盗難に関連するリスクに対処しなければなりません。 そのため、エトナはNGAプラットフォームの2番目のコアコンポーネントである継続的な行動ベースの認証を展開し、セッションの有効期間を通じて認証されたユーザーが同一人物であることを保証します。 そのために、エトナは複数のユーザー属性(スマートフォンの持ち方など)を調べ、リスクスコアを割り当てて、セッション中にユーザーに付与するアクセス権の量を決定します。 セッション中に高リスクが検出された場合、エトナは、そのデバイスからの継続的なアクセスを許可する前に、ユーザーに追加情報を要求する場合があります。
エトナのFIDO認証と継続的な行動認証の展開は、機密性の高い医療データに対する増大する脅威に対抗する上で大いに役立つはずです。 これ以上ないほど良いタイミングで、 2016年に侵害されたすべての侵害の36%、すべての記録の44% が医療関連であり、アカウント乗っ取りの試みは過去最高となっています。
エトナは、機密性の高い医療データのリモート認証とアクセス管理の基準を設定しました。 彼らは、患者と医療従事者のデータへのアクセスを改善すると同時に、そのデータの保護を改善する方法でこれを実現しました。典型的な「Win-Win」の状況 私たちは、サービスプロバイダーが達成できるようにFIDO標準を設計しました。 これは、革新的なソリューションを必要としている業界にとって大きなマイルストーンですが、ヘルスケアにおけるFIDO認証の始まりにすぎません。 他の医療機関もエトナに倣い、エトナが導入したプラットフォームを複製または活用して、より便利で強力な認証を提供し、ターゲットを絞った業界全体で患者記録へのアクセスを増やし、データ侵害の指標を減らすことを期待しています。