By:FIDOスタッフ
Authenticate 2022カンファレンスは10月17日、企業、サービス・プロバイダー、政府機関など、強力な認証の現状と将来について語るために集まった豪華なスピーカーの顔ぶれで幕を開けた。
オープニング・セッションは、FIDOアライアンスのエグゼクティブ・ディレクター兼CMOであるアンドリュー・シキアーが担当し、この1年の進展について詳しく説明した。 シキアールが挙げたハイライトのひとつは、パスキーの発売である。
FIDO認定プロフェッショナル・プログラムも2022年に開始され、専門家がスキルを検証する方法を提供している。 また、FIDO 強力認証の広範な普及を促進するためのイニシアチブを用いて、ユーザビ リティと普及を支援する取り組みも行われている。
「私たちの使命は、パスワードや従来の多要素認証への依存を減らすことです」とシキアー氏は言う。 “私たちは初日から、一元的に保存された共有の秘密から、より所有に基づく、共通のエンドユーザーデバイスに依存するモデルへとシフトするという大胆な目標を持っていました。
ペイパルのアイデンティティ・プラットフォーム製品責任者であるマルシオ・メロは、オンライン決済がパスワードレスの約束を実現する方法としてパスキーを活用する計画について語った。 メロはパスキーを使ったワークフローを実演し、ユーザーがいかに簡単に認証できるかを示した。
「これは、パスワードのない世界への、業界としての10年にわたるコミットメントの変曲点だと言えるでしょう」とメロはパスキーについて語った。
NTTドコモは2015年の取締役就任以来、FIDOアライアンスの内外をリードしてきた。 ドコモはFIDOの仕様策定に貢献し、FIDO認証を大規模に展開した最初の携帯電話事業者である。 基調講演では、NTTドコモのチーフ・セキュリティ・アーキテクトである森山晃一氏を迎え、ドコモが数百万人の「dアカウント」ユーザー向けにパスキーをサポートする意向であることを発表した。 森山監督は、2023年初頭にはサポートを開始すると述べた。
米国政府はFIDOをMFAのゴールドスタンダードと見ている
米国政府のサイバーセキュリティ・インフラ・セキュリティ局(CISA)は、強力な認証に積極的な関心を寄せている。
「パスワードがサイバーセキュリティの弱点であり、多要素認証によって提供される追加の保護層がサイバー攻撃を防ぐことは、何十年も前から知られています」とCISAディレクターのジェン・イースタリーは言う。 「しかし、それを使っている人はごく一部に過ぎない。
イースタリーは、CISAが多要素認証(MFA)、より具体的にはFIDO標準ベースの強力な認証の採用に拍車をかけるため、複数のイニシアチブを積極的に推進していることを強調した。
“我々はこの機会を利用して、MFAのゴールドスタンダードであり、広く利用可能な唯一のフィッシングに強い認証方法であるFIDOにスポットライトを当てている”
CISAのサイバーセキュリティ部門シニア・テクニカル・アドバイザーであるボブ・ロード氏は、Authenticate 2022の聴衆に対して、テクノロジー業界が、脅威のランドスケープなどを理解する能力が最も低い組織に安全維持の負担がかかるという考えを常態化させているのは奇妙なことだと語った。
「強力な認証とFIDOの採用について、ロード氏は次のように述べた。「私たちは、非常に多くの組織が失敗しているのを目の当たりにしています。 「そしてそれは、正しい方向に導いてくれる何かを持っていないからだ」。
ロードとイースターの両氏は、テクノロジー・ベンダーが、ユーザーがより簡単に強力な認証を受けられるようにし、デフォルトでセキュリティを提供するよう提唱した。
「セキュリティ機能は顧客の権利であり、贅沢品ではない」とロードは言う。
FIDO認証には社会的インパクトがある
グーグルのアイデンティティおよび不正使用対策技術担当シニア・ディレクターであるジョナサン・ベラック氏は、グーグルがMFAとパスワードレス・セキュリティを採用するユーザーに対して見てきた課題について概説した。
「私たちのユーザー調査によると、少なくとも消費者の視点から見ると、私たちが業界で使っているセキュリティ、プライバシー、不正使用といった言葉は、すべて安全性という大きな無定形の塊の中に収まっているため、ユーザーは区別して考えていないようです」とベラックは語った。
彼は、消費者はほとんど時間がなく、ただオンラインでどんな仕事でもこなせるかどうかを知りたがっていると指摘した。 そのためにベラックは、グーグルが進めている、摩擦を生まない方法でセキュリティを組み込むための複数の取り組みについて詳しく説明した。
YubicoのCTOであるクリストファー・ハレル氏は、セッションの中で、FIDO認証の利用が自由とプライバシーを守るために世界中の組織でどのように利用されているかを説明した。 Yubicoは、報道の自由財団やOperation Safe Escapeなどの団体と協力している。 同社は、ウクライナのさまざまな政府機関を支援するために2万本以上の鍵を寄贈している。
「戦争がすぐに終結することを願っていますが、その間に、サイバー攻撃からインフラを守る手助けができればと思っています」とハレルは語った。
FIDOユーザーが採用の課題と機会を詳述
Authenticate 2022のプログラムの重要な部分は、ユーザーストーリーであり、会議の初日にはたくさんのストーリーが語られた。
セールスフォース社の製品管理担当SVPであるイアン・グレイザー氏は、同社のMFA導入努力の山あり谷ありについて語った。 セールスフォースは2019年秋に、自社のサービス全体でMFAの100%採用を達成したいと決定し、それ以来、同社が歩んできた道のりだ。
セールスフォースがMFAを100%採用するまでの道のりには、技術的な検討だけでなく、ユーザーをエンゲージするための大規模な取り組みも含まれており、それが確かな成果につながった。 グレイザー氏は、セールスフォースの会計年度末時点で、月間アクティブユーザーの約80%がMFAまたはSSOを利用していると指摘した。 80%は顕著な成果だが、セールスフォースが設定した100%の目標ではない。 グレイザーは、100%採用という数字を追い求めることで、彼のチームは革新を続け、採用を促進する方法を見つけることを余儀なくされていると強調した。
セールスフォースでは、これまでにMFAの導入により、コスト削減やセキュリティの向上など、複数のメリットがあることに気づいている。
「MFAを採用したおかげで、口座の乗っ取りが激減しました」とグレイザーは言う。
マイクロソフトもまた、ユーザーにとってパスワードレスな体験を可能にすることを目指し、幅広い普及を強力に推進している。 マイクロソフトのアイデンティティ部門シニア・プログラム・マネージャー、スコット・ビンガム氏とシニア・プロダクト・マネージャー、エミリー・フーリハン氏のセッションでは、パスワードレスの旅でこれまでに学んだことが説明された。
ビンガム氏によれば、マイクロソフトは何年もかけて、一時的なワンタイムパスワード、セキュリティーキー、認証アプリ、Windows Helloのサポートを、パスワードの代替となるさまざまな製品として展開してきたという。 マイクロソフトは、パスワードを完全になくす方向に向かっている。
「人々はパスワードレスを望んでいる。 「セキュリティも重要だが、ユーザー・エクスペリエンスは非常に重要であり、需要を促進するのに役立つ。
米軍メンバーや退役軍人に金融サービスを提供するUSAAも、FIDOとMFAを採用し、ユーザーの安全確保に努めている。 USAAのテクニカル・セキュリティ・アーキテクトであるデレック・ヘンソンは、彼のセッションで学んだ一連の重要な教訓を提供した。
彼が学んだ最初の教訓は、最初から強力な認証をデフォルトにするのが良いということだ。
「私たちは、MFAという安全性の高いプログラムに誰かを参加させる方が、後で考えを変えるよう説得するよりもずっと簡単だとわかったのです」とヘンソンは言う。
USAAが学んだもう一つの重要な教訓は、パスワードレス・アプローチに関しては、完全に受動的で、認証が行われていることをユーザーに見せないことは、勝利のシナリオではないということだ。 ヘンソン氏によれば、USAAの会員は何十年も会員で、指紋だけでログインできるなんて信じられないと電話をかけてきたという。 そのため、USAAは認証ワークフローに、アクセス権が保護されていることをユーザーに伝えるインタースティシャル画面を追加しなければならなかった。
「安全であるだけでなく、実際に安全であるように見えなければならない。
金融サービス大手のシティもFIDOの強力な認証アプローチを採用している。 シティのセキュア認証アーキテクチャー&テクノロジー・エンジニアリング担当ディレクター、マシュー・ナン氏は、セッションの中で、なぜパスワードからの脱却が必要なのかについて言葉を濁さなかった。
ナン氏は、パスワードをより安全なものにする意味のある方法は実際には存在しないと述べた。
「パスワードを使う理由、そしてそれをずっと続けてきた理由は、キーボードがシステムとの対話に使うインターフェースであることを人質に取られているからです」とナン氏は言う。
また、パスワードレスでは、ユーザーはもはや人質に取られることはなく、ユーザーがパスワードを復唱する必要がない代わりに、認証のためにデバイスの機能を利用することができる、と付け加えた。
Authenticate 2022の2日目も、バイオメトリクス、消費者の認証習慣、FIDOイニシアチブ、さらに多くのユーザーセッションなど、洞察に満ちたコンテンツとディスカッションが満載の一日になりそうです。 バーチャル参加登録はまだ可能で、登録者全員がオンデマンドで過去のセッションにアクセスできる。 登録はwww.authenticatecon.com。
