認証は、世界中の政府がサービスを提供する上でますます重要な役割を果たしています。
2021 年 9 月 23 日に開催された Authenticate Virtual Summit では、世界中のユーザー、専門家、ベンダーが、強力な認証が政府サービスやオンライン ID を保護するための新しい取り組みの実現にどのように役立つかについて詳しく説明しました。 英国の国民保健サービス(NHS)や米国政府の login.gov ・内国歳入庁(IRS)などのユーザーが、オンライン認証とデジタルIDの現在と将来に関する洞察を提供しました。
イベントのオープニングセッションでは、FIDOアライアンスのエグゼクティブディレクター兼CMOであるAndrew Shikiar氏が、世界中の政府サービスにおけるFIDOの戦略的必須事項について概説しました。
「COVID-19は、デジタルトランスフォーメーション活動を真に加速させる必要性を生み出しました」とShikiar氏は述べています。 「パンデミックが突然発生したとき、誰もが家にいて、すべての活動により、パスワードをはるかに超え、従来の多要素認証をはるかに超える最新の認証スキームが必要になりました。」
Shikiar氏は、FIDOアライアンスの標準はグローバルな規制やポリシーと非常によく一致しており、FIDOの使用を引用する認証に関する政府のガイダンスが増えている傾向にあると指摘しました。
「政府のエコシステムへの信頼を可能にすることが重要です」とShikiar氏は述べています。 「これは、FIDOがさまざまな規制当局や政府機関と行う取り組みを通じて実現され、最終的には、世界中の市民にデジタルIDサービスを安全に実装することで実現されます。」
FIDOの強力な認証を推し進めるテクノロジー
FIDO仕様を実現するための重要な道は、政府の取り組みをサポートするベンダーを経由することです。
Akamai のセキュリティ戦略担当 CTO である Patrick Sullivan 氏は、パスワードクレデンシャルスタッフィング攻撃は非常に一般的であるとコメントしています。 同氏は、Akamai のプラットフォームでは、1 日に 10 億件ものパスワード攻撃が発生していると指摘しています。 そこで、多要素認証、より具体的にはFIDOアライアンス標準に基づく強力な認証が大きな役割を果たします。 Sullivan氏は、多要素認証をスマートフォンのアプリのフォームファクタで提供する摩擦の少ない環境で多要素認証を提供する必要があることは明らかだと指摘しました。
「FIDO2の実現に向けて、ユーザーにハードウェアトークンを持ち歩くよう求めているわけではありません。摩擦を減らすことで、ユーザーが何か異常なことをするリスクが減ります」とSullivan氏は述べています。
YubicoのソリューションエンジニアリングマネージャーであるJeff Frederick氏は、セッションの中で、米国の多くの機関が、基本的なパスワードを超えたCommon Access Card(CAC)/Personal Identity Verification(PIV)クレデンシャルを使用していることを指摘しました。 Frederick氏は、同社のYubiKeyデバイスでサポートされているFIDO2標準は、公開秘密鍵暗号を使用する強力ななりすまし耐性認証プロトコルを提供すると述べました。
「FIDO2はPIV/CACと非常によく似ており、FIDO2はFIDOアライアンスによって管理されているオープンスタンダードであるため、どのベンダーもこれをサポートし、現在使用することができます」とFrederick氏は述べています。 「すべての主要なオペレーティングシステムとすべての主要なブラウザに組み込まれているため、これを機能させるためにインストールする必要のあるミドルウェアはなく、連邦認証インフラストラクチャを全面的に近代化する実装が簡単なソリューションです。」
IRSでのIDと認証の負担を軽減します
IRSのアイデンティティ保証・プライバシー・政府連絡・開示(PGLD)担当局長補佐のCourtney Rasey氏によると、IRSはデジタルチャネルと非デジタルチャネルの両方で、毎年数千万人の納税者を証明し、承認しています。
「IRSに電話をかけている何千万人もの納税者は、やりたいからといって電話をかけているわけではなく、平日の夜の楽しい活動ではありません」と彼女は言う。 「納税者は納税義務を果たすために問題を解決する必要があり、私たちはそれを理解しています。そのため、納税者に必要なサービスを可能な限り便利で効率的な方法で提供するために、常により良いサービスを提供するよう努めています。」
IRSが納税者にとってより便利にするために取り組んでいる方法の1つは、2021年6月に開始されたSecure Access Digital Identity(SADI)プラットフォームです。 Rasey氏は、SADIは納税者の身元を証明し、IRSにデジタルID資格情報を提供するクレデンシャルサービス{rovider(CSP)を活用していると説明しました。
「ユーザーは最終的に、その単一のデジタルID資格情報を使用して、すべてのIRSオンラインアプリケーションにアクセスできるようになります」とRasey氏は述べています。 「IRSは、2022会計年度を通じて、ますます多くの申請をSADIの背後に移動させており、より多くの申請を移行するにつれて、納税者は1つの資格だけで非常に多くのことを行えるようになります。」
強力な認証によるゼロトラストへの移行
5月、バイデン大統領は、米国政府機関にサイバーセキュリティの改善を指示する大統領令1402号に署名しました。 大統領令の主な規定の1つは、連邦政府をゼロトラストアーキテクチャに移行することです。
「ゼロトラストとは、組織のエンタープライズネットワーク内にあるというだけで、人やそのデバイスが信頼されないアーキテクチャのことです」と、行政管理予算局(OMB)のシニアアドバイザーであるEric Mill氏は説明します。
Mill氏は、ゼロトラストモデルでは、各ステップで人とデバイスが検証され、認証はコンテキスト認識型であると指摘しました。 OMBは、フィッシングに強い多要素認証の採用を強く推奨しており、CAC/PIVが不可能な環境ではFIDO WebAuthnが優れた代替オプションとなります。
「私たちは多要素認証を非常に強力に推進しており、信頼性の高い認証をゼロトラストアーキテクチャの重要な基盤と見なしています」とMill氏は述べています。
Policy Deep Dive セッションで、Venable のテクノロジービジネス戦略担当マネージングディレクターである Jeremy Grant 氏は、 政府にとって認証が重要である理由はいくつかあると指摘しました。
グラント氏は、FIDOの仕様は、政府が自らの資産へのアクセスを保護するのに役立ち、より価値の高い市民向けサービスを一般市民に提供できるようにするのに役立つと述べています。
「2021年に私たちが目にしているのは、世界中でまったく異なる環境だと思います。FIDO認証は、許可された別のオプションとしてだけでなく、多くの場合、世界中の政府によって好まれる選択肢として浮上しています」とGrant氏は述べています。
国民保健サービス(NHS)によるFIDOの使用方法
FIDOが拠点を構えている世界の地域は、英国です。
国民保健サービス(NHS)は、英国の公的資金による医療およびヘルスケアシステムであり、人間の健康を改善するためにFIDO標準を採用しています。 NHS ログイン サービスを使用すると、市民は医療サービスの一元化された ID を取得し、NHS アプリは、個人の医療サービスへのアクセスにアクセスして管理するための簡素化されたアプリケーションを提供します。
NHS LoginとNHSアプリのテクニカルアーキテクトであるPriyanka Mittal氏は、パンデミック中に需要が高まったため、過去18か月間でNHSログインのユーザーベースが10倍に増加したと述べています。
NHS AppのテックリードであるSean Devlin氏は、当初、サービスはSMSベースの2要素認証アプローチを使用していましたが、よりシームレスなアプローチを見つけたいと考えていたと説明しました。 NHSはFIDO UAFを使用することを決定し、eBayのオープンソースFIDO実装を出発点として独自の実装を構築しました。
Devlin氏によると、FIDOを使用する前は、ユーザーは多要素認証フローを通過するために5つの異なる画面をナビゲートする必要がありました。 FIDOでは、1つの画面で済みます。
NHSもFIDOに移行することで多額の費用を節約しています。 1日あたり500,000件以上のFIDOログインにより、NHSはSMSメッセージングのコストを1日あたり約8,000ポンド節約しているとDevlin氏は見積もっています。
FIDOの強力な認証を Login.gov に導入
FIDOの仕様は、米国政府サービス向けのシングルサインオンプラットフォームである login.gov でも極めて重要な役割を果たしています。
一般調達局(GSA)の login.gov エンジニアリングリードであるJonathan Hooper氏は、認証ポータルは米国政府全体の200以上のサイトにまたがり、27の異なる機関に広がっていると説明しました。 Hooper氏は、2018年から、 login.gov WebAuthn仕様を含む多要素認証の使用を拡大し始めたと説明しました。
「私たちは『ビッグブラザー』にはなりたくありません。ユーザーのプライバシーを保護できるようにしたいのですが、そのためにプロトコルに組み込まれているものは、私たちにとって非常に魅力的でした」とフーパー氏は述べています。 「WebAuthnも非常に安価で、WebAuthn認証イベントを行う方が、SMSを行うよりもはるかに安価です。」
FIDOによるデジタルアイデンティティの改善
デジタルIDに対するFIDOベースのアプローチは、カナダデジタルID認証評議会(DIACC)の会長であるJoni Brennan氏によると、まもなくカナダにも導入される可能性があるとのことです。 現在進行中の取り組みは、情報保証フレームワークであるPan Canadian Trust Framework(PCTF)です。
「ここには、情報保証フレームワークとFIDOアライアンス主導の仕様を組み合わせて活用し、デジタルIDの採用に必要なエンドツーエンドのエクスペリエンスを作成および検証する絶好の機会があると考えています」と彼女は述べています。
安全なデジタルIDの必要性は、ホワイトハウスの大統領特別補佐官兼国家安全保障会議のシニアディレクターであるAmit Mital氏によっても強調されました。
「今日、私たちが自分自身を認証し、自分自身を識別するとき、私たちは何十もの一般的なシステムのうちの1つを使用するかもしれません」とMital氏は言います。”
そのため、エコシステム自体は非常に分散化されており、非常に調和が取れていません。 また、根本的に安全ではありません。
Mital氏は、デジタルシステム全体で消費者を識別するための簡単、安全、手頃な価格、信頼性の高い方法を提供できる強力なリモートIDソリューションが明らかに必要とされていると述べています。
「デジタルIDを必要とするシナリオは多様で多数あり、これらすべてのシナリオを解決できる単一のエンティティがないことは明らかです」とMital氏は述べています。 「私たちは、大企業とスタートアップ企業の両方を含む民間セクター、そして連邦政府と州政府、地方、部族、領土の土地から最高のアイデアとイノベーションを結集するエコシステムを必要としています。」
FIDOアライアンスのエグゼクティブディレクターであるAndrew Shikiar氏は、この日のイベントの締めくくりとして、さまざまな種類の政府サービスと、安全なデジタルIDへの依存について、多くの会話が行われていると述べました。
「究極的には、ID と認証は、政府機関と市民の両方の要件を満たす方法で、新しいサービスを大規模に展開するための中核となります」と Shikiar 氏は述べています。
ウェブキャストはオンデマンドで視聴できます。 録画をご覧になるには、 イベントページをご覧ください。
過去のパスワードから最新の強力な認証への移行に関する詳細な議論については、2021 年 10 月 18 日から 20 日にシアトルで開催される Authenticate 2021 またはバーチャルでご参加ください。 アジェンダの全内容と登録の詳細は、 authenticatecon.com でご覧いただけます。