By:FIDOスタッフ

Authenticate 2022カンファレンスは10月17日、企業、サービス・プロバイダー、政府機関など、強力な認証の現状と将来について語るために集まった豪華なスピーカーの顔ぶれで幕を開けた。

オープニングセッションは、 FIDO アライアンス のエグゼクティブディレクター兼CMOであるAndrew Shikiarが主導し、この1年間の進捗状況を詳しく説明しました。 シキアールが挙げたハイライトのひとつは、パスキーの発売である。

FIDO 認定プロフェッショナルプログラムも2022年に開始され、専門家がスキルを検証する方法を提供しています。 また、FIDO 強力認証の広範な普及を促進するためのイニシアチブを用いて、ユーザビ リティと普及を支援する取り組みも行われている。

「私たちの使命は、パスワードや従来の多要素認証への依存を減らすことです」とシキアー氏は言う。 “私たちは初日から、一元的に保存された共有の秘密から、より所有に基づく、共通のエンドユーザーデバイスに依存するモデルへとシフトするという大胆な目標を持っていました。

ペイパルのアイデンティティ・プラットフォーム製品責任者であるマルシオ・メロは、オンライン決済がパスワードレスの約束を実現する方法としてパスキーを活用する計画について語った。 メロはパスキーを使ったワークフローを実演し、ユーザーがいかに簡単に認証できるかを示した。

「これは、パスワードのない世界への、業界としての10年にわたるコミットメントの変曲点だと言えるでしょう」とメロはパスキーについて語った。

NTTドコモは、2015年の取締役就任以来、 FIDO アライアンス の内外でリーダー的存在として活躍してきました。 ドコモはFIDOの仕様策定に貢献し、FIDO認証を大規模に展開した最初の携帯電話事業者である。 基調講演では、NTTドコモのチーフ・セキュリティ・アーキテクトである森山晃一氏を迎え、ドコモが数百万人の「dアカウント」ユーザー向けにパスキーをサポートする意向であることを発表した。 森山監督は、2023年初頭にはサポートを開始すると述べた。

米国政府はFIDOをMFAのゴールドスタンダードと見ている

米国政府のサイバーセキュリティ・インフラ・セキュリティ局(CISA)は、強力な認証に積極的な関心を寄せている。

「パスワードがサイバーセキュリティの弱点であり、多要素認証によって提供される追加の保護層がサイバー攻撃を防ぐことは、何十年も前から知られています」とCISAディレクターのジェン・イースタリーは言う。 「しかし、それを使っている人はごく一部に過ぎない。

イースタリーは、CISAが多要素認証(MFA)、より具体的にはFIDO標準ベースの強力な認証の採用に拍車をかけるため、複数のイニシアチブを積極的に推進していることを強調した。

“我々はこの機会を利用して、MFAのゴールドスタンダードであり、広く利用可能な唯一のフィッシングに強い認証方法であるFIDOにスポットライトを当てている”

CISAのサイバーセキュリティ部門シニア・テクニカル・アドバイザーであるボブ・ロード氏は、Authenticate 2022の聴衆に対して、テクノロジー業界が、脅威のランドスケープなどを理解する能力が最も低い組織に安全維持の負担がかかるという考えを常態化させているのは奇妙なことだと語った。

「強力な認証とFIDOの採用について、ロード氏は次のように述べた。「私たちは、非常に多くの組織が失敗しているのを目の当たりにしています。 「そしてそれは、正しい方向に導いてくれる何かを持っていないからだ」。

ロードとイースターの両氏は、テクノロジー・ベンダーが、ユーザーがより簡単に強力な認証を受けられるようにし、デフォルトでセキュリティを提供するよう提唱した。

「セキュリティ機能は顧客の権利であり、贅沢品ではない」とロードは言う。

FIDO認証には社会的インパクトがある

GoogleのIDおよび不正使用対策テクノロジー担当シニアディレクターであるJonathan Bellack氏は、GoogleがMFAとパスワードレスセキュリティを採用するユーザーに対して直面した課題のいくつかを概説しました。

「私たちのユーザー調査によると、少なくとも消費者の視点から見ると、私たちが業界で使っているセキュリティ、プライバシー、不正使用といった言葉は、すべて安全性という大きな無定形の塊の中に収まっているため、ユーザーは区別して考えていないようです」とベラックは語った。

彼は、消費者はほとんど時間がなく、ただオンラインでどんな仕事でもこなせるかどうかを知りたがっていると指摘した。 そのために、ベラック氏は、 Google が摩擦を招かない方法でセキュリティを組み込むために進めている複数の取り組みについて詳しく説明した。

YubicoのCTOであるクリストファー・ハレル氏は、セッションの中で、FIDO認証の利用が自由とプライバシーを守るために世界中の組織でどのように利用されているかを説明した。 Yubicoは、報道の自由財団やOperation Safe Escapeなどの団体と協力している。 同社は、ウクライナのさまざまな政府機関を支援するために2万本以上の鍵を寄贈している。

「戦争がすぐに終結することを願っていますが、その間に、サイバー攻撃からインフラを守る手助けができればと思っています」とハレルは語った。

FIDOユーザーが採用の課題と機会を詳述

Authenticate 2022のプログラムの重要な部分は、ユーザーストーリーであり、会議の初日にはたくさんのストーリーが語られた。

セールスフォース社の製品管理担当SVPであるイアン・グレイザー氏は、同社のMFA導入努力の山あり谷ありについて語った。 セールスフォースは2019年秋に、自社のサービス全体でMFAの100%採用を達成したいと決定し、それ以来、同社が歩んできた道のりだ。

セールスフォースがMFAを100%採用するまでの道のりには、技術的な検討だけでなく、ユーザーをエンゲージするための大規模な取り組みも含まれており、それが確かな成果につながった。 グレイザー氏は、セールスフォースの会計年度末時点で、月間アクティブユーザーの約80%がMFAまたはSSOを利用していると指摘した。 80%は顕著な成果だが、セールスフォースが設定した100%の目標ではない。 グレイザーは、100%採用という数字を追い求めることで、彼のチームは革新を続け、採用を促進する方法を見つけることを余儀なくされていると強調した。

セールスフォースでは、これまでにMFAの導入により、コスト削減やセキュリティの向上など、複数のメリットがあることに気づいている。

「MFAを採用したおかげで、口座の乗っ取りが激減しました」とグレイザーは言う。

Microsoft は、ユーザーにパスワードレスエクスペリエンスを提供することを目指しているため、幅広い採用も強力に推進しています。 Identity のシニア プログラム マネージャーである Scott Bingham 氏と Microsoft のシニア プロダクト マネージャーである Emily Houlihan 氏は、セッションで、パスワードレスの旅でこれまでに学んだ教訓について説明しました。

Bingham氏によると、 Microsoft は、一時的なワンタイムパスワード、セキュリティキー、認証アプリ、およびWindows Helloのサポートをさまざまなパスワード代替製品として展開するのに何年も費やしてきたという。 Microsoft は、パスワードを完全に排除する方向にますます動いています。

「人々はパスワードレスを望んでいる。 「セキュリティも重要だが、ユーザー・エクスペリエンスは非常に重要であり、需要を促進するのに役立つ。

米軍メンバーや退役軍人に金融サービスを提供するUSAAも、FIDOとMFAを採用し、ユーザーの安全確保に努めている。 USAAのテクニカル・セキュリティ・アーキテクトであるデレック・ヘンソンは、彼のセッションで学んだ一連の重要な教訓を提供した。

彼が学んだ最初の教訓は、最初から強力な認証をデフォルトにするのが良いということだ。

「私たちは、MFAという安全性の高いプログラムに誰かを参加させる方が、後で考えを変えるよう説得するよりもずっと簡単だとわかったのです」とヘンソンは言う。

USAAが学んだもう一つの重要な教訓は、パスワードレス・アプローチに関しては、完全に受動的で、認証が行われていることをユーザーに見せないことは、勝利のシナリオではないということだ。 ヘンソン氏によれば、USAAの会員は何十年も会員で、指紋だけでログインできるなんて信じられないと電話をかけてきたという。 そのため、USAAは認証ワークフローに、アクセス権が保護されていることをユーザーに伝えるインタースティシャル画面を追加しなければならなかった。

「安全であるだけでなく、実際に安全であるように見えなければならない。

金融サービス大手のシティもFIDOの強力な認証アプローチを採用している。 シティのセキュア認証アーキテクチャー&テクノロジー・エンジニアリング担当ディレクター、マシュー・ナン氏は、セッションの中で、なぜパスワードからの脱却が必要なのかについて言葉を濁さなかった。

ナン氏は、パスワードをより安全なものにする意味のある方法は実際には存在しないと述べた。

「パスワードを使う理由、そしてそれをずっと続けてきた理由は、キーボードがシステムとの対話に使うインターフェースであることを人質に取られているからです」とナン氏は言う。

また、パスワードレスでは、ユーザーはもはや人質に取られることはなく、ユーザーがパスワードを復唱する必要がない代わりに、認証のためにデバイスの機能を利用することができる、と付け加えた。

Authenticate 2022の2日目も、バイオメトリクス、消費者の認証習慣、FIDOイニシアチブ、さらに多くのユーザーセッションなど、洞察に満ちたコンテンツとディスカッションが満載の一日になりそうです。 バーチャル参加登録はまだ可能で、登録者全員がオンデマンドで過去のセッションにアクセスできる。 登録はwww.authenticatecon.com。