By:FIDOスタッフ

Authenticate 2022カンファレンスの最終日は、ユーザーストーリー、ソートリーダーシップ、パネルディスカッションで埋め尽くされ、FIDO強力認証の今日および今後数年間の課題と機会について議論された。

この日の最初のユーザー・ストーリーは、世界的な科学技術企業であるEMD Group / Merck KGaAによるもので、同社は現在、自社の認証システムの改善にFIDOを活用している。 同社のアイデンティティ・アクセス管理のドメイン・アーキテクチャを担当するデニス・クニープ氏は、FIDOが大きな役割を果たすと見ている同社の安全確保を支援することがチームの使命だと説明した。

EMD Group / Merck KGaAがFIDOの導入で直面した課題は、最新のウェブ標準に対応していないレガシーアプリケーションやサービスが数多くあったことだ。

「デタッチ認証メカニズムを開発したんだ」とクニエップは説明した。 “このメカニズムにより、ユーザーはレガシーなバックエンドを持つアプリにアクセスする必要がある場合でも、フィッシングに強い方法でFIDOで認証することができる。

公平性とインクルージョンは重要

オーセンティケイト2022会議を通じて繰り返し語られるテーマは、公平性とインクルージョンの必要性である。

このテーマに関する1つのパネルでは、特に認証およびIDシステムにおける包括性の問題を取り上げた。 ヴェナブルLLPのサイバーセキュリティ・サービス担当シニア・ディレクターであるジェイミー・ダンカー氏は、問題を解決する際、ある問題を解決しようとする人々の構成が解決策に影響を及ぼすとコメントした。

ダンカー氏は、米国政府の一般調達局(GSA)が最近完了させた公平性と包摂に関する調査から、リモートID証明ソリューションが実際にどのように運用されるかについて、実証的なデータが得られたと指摘した。

ダンカーはまた、現在リビジョン4に更新中のNISTデジタル・アイデンティティ・ガイドラインについても言及した。 彼女は、NISTが衡平性への配慮をその一部とすることを非常に明確にしていると指摘した。

セキュリティはウェブインターフェイスだけではない

FIDOの強力な認証は、さまざまなタイプのシステムへの認証を提供するのに役立つが、すべてのタイプのアクセスに対してユビキタスなオプションではない。

「誰もがウェブとモバイルの話をしているのに、誰もコンタクトセンターの話をしていない。

ポワリエの説明によると、パスワードが使えないとき、あるいはユーザーがアクセスできないときは、コンタクトセンターに電話して助けを求めるという。 彼は、コンタクト・センターでは、セキュリティ・ポリシー、手順、テクノロジーを導入し、あまり摩擦を起こさずにアクセスを確保する必要があると強調した。

また、Allthenticate社のCEOであるChad Spensky氏と彼の共同設立者兼COOであるRita Mounir氏は、強力な認証をあらゆる種類のデバイスに拡張するというアイデアについて議論した。

「FIDOプロトコルは現在、ウェブサイトとコンピューターにしか対応していません」とスペンスキーは言う。

スペンスキーは、自動車からオフィスのドアまで、あらゆる種類のデバイスやアクセスに強力な認証を導入する手助けをしたいと考えている。

認証環境をナビゲートする

テーマ別のプレゼンテーションでは、マイクロソフトのアイデンティティ・スタンダード担当ディレクター、パメラ・ディングルが海賊のように語り、船から落ちる乗客について警告した。

ボートの例えは、乗客が目的地に安全に到着するのを助けるというものだが、それは必ずしも容易なことではない。 ディングル氏は、マイクロソフト社は毎秒1000件以上のパスワード攻撃をブロックしていると述べ、パスワードが弱点となる複数の理由を説明した。 彼女は、ユーザーはライフジャケットを着用すべきであり、これは現実の世界ではユーザーの多要素認証(MFA)に相当すると強調した。

MFAにはリスクもあるが、FIDOによるフィッシングに強い強固な認証に移行できるようになるまでは、多くの場合、MFAは正しい第一歩だとディングル氏は言う。

「漏洩した1万件のアカウントのうち、MFAクレデンシャル攻撃によるものは1件だけです」と彼女は言う。 「パスワード攻撃に対して脆弱であることと、MFAバイパス攻撃に対して脆弱であることのリスクの違いを理解することが本当に重要です」。

とはいえ、フィッシングに強いクレデンシャルが優れているのは、MFAを脆弱にするのとまったく同じ予測可能な行動を受けないからだと彼女は指摘する。 ディングルはまた、パスキーの可能性について非常に楽観的だと述べた。

「パスキーがシートクッションになり、乗客の浮き輪になるのです」。

規模に応じたアイデンティティの信頼獲得

現存する最大のeコマースおよびクラウドプラットフォームの1つであるアマゾンは、強力な認証に対する真のニーズを持っており、そのニーズに対してますますFIDOに依存している。

Amazon Cognitoの製品責任者であるサラ・チェチェッティ氏は、IDはAmazon Web Servicesのプラットフォーム・チームが担当していると説明した。 彼女は、アイデンティティはAWSのすべてのサービスに対して一貫したセキュリティとユーザビリティのバーを持つ必要があると指摘した。 そのために、AWSはFIDOを利用したモジュール式だが集中型のアプローチを構築した。

AWSのユーザー認証製品担当シニア・マネージャーであるアーリン・クロウ氏は、同社はFIDO2に多大な投資を行ってきたと語った。

「私たちが投資を続けているのは、基本的にFIDOがより大きな柔軟性をサポートすると信じているからです」とクロウは語った。 「ユーザーのエクスペリエンスとセキュリティの間のトレードオフが少なくなりました。

ユーザビリティが強固な認証採用の鍵

ユーザビリティに関するパネルセッションでは、FIDOの採用が拡大するためには、優れたユーザビリティが基本的に必要であるという重要なテーマが浮かび上がった。

JPモルガン・チェースのデジタル認証担当プロダクト・マネージャー、ジュディ・クレア副社長は、強力な認証メッセージとワークフローを適切なトーンで伝えることが重要だとコメントした。

「技術的な専門用語ばかりを使うことで、誰も仲間はずれにすることのないよう、適切な表現と、一般ユーザーにとって明確でシンプルで理解しやすいものにすることが非常に重要です」とクレアは言う。

明確な言葉の必要性は、Duo SecurityのシニアプロダクトデザイナーであるSierre Wolfkostin氏も同じ意見だ。 ウォルフコスティンは、理解できないものを採用するのは難しいと言った。

「シンプルな人間の言葉を理解することは本当に重要だ。

ユーザビリティはまた、大小の企業が実際にFIDOの強力な認証を導入するのを支援できるベンダーやテクノロジーの活気あるエコシステムが存在することを確認することでもある。

イベントのクロージング・パネルでは、Googleのプロダクト・マネージャーであるChristiaan Brand氏が、十分な人員がいる組織であれば、強力な認証やパスキーオプションを自前で導入できるかもしれないが、それ以外の多くの組織では支援が必要であるとコメントした。 複雑な技術を導入するためにコンサルタントやサービス・プロバイダーを活用するのは、他の企業技術とよく似た状況だ。

CISAのシニア・テクニカル・アドバイザーであるボブ・ロード氏は、FIDOから始めるのがベストだと主張した。 彼は、組織はできないことではなく、できることに集中すべきだと強調した。

「先発にはためらいがあると思う」とロード。 「旅に出れば、多くの誤解が解けると思う。

来年はサンディエゴで

クロージング・セッションでは、FIDOアライアンスのエグゼクティブ・ディレクターであるアンドリュー・シキアー氏が、イベントの主要テーマを強調した。

これらのテーマは、配備は現実的であり、組織は今日から始めることができ、また始めるべきであるということだ。 ユーザビリティもまた、採用を確実なものにする鍵として、繰り返し強く取り上げられているテーマであった。 また、コミュニティによるセキュリティというコンセプトは、ユーザー同士が教訓を学び合う会議でも共感を呼んだ。

最終的な分析によれば、オーセンティケイト2022は、3つのトラックと3日間のコンテンツにまたがる90のセッションで大成功を収めた。

来年のオーセンティケイト2023はサンディエゴに会場を移す。