挑戦:

Authenticate 2021のイベントで、ケンブリッジ住宅局のCIOであるジェイ・レスリー氏は、彼の組織がスピアフィッシングの被害に遭い、ユーザーアカウント認証により安全なアプローチを提供する方法を探していたと語った。

セキュリティ態勢を改善するため、CHAは当初、同機関の情報リソースへのアクセスをより安全にする多要素認証(MFA)の方法を探していた。

CHAはMFAを採用するにあたり、いくつかの重要な要求事項があった。 CHAは社用携帯電話を広く発行していないため、MFA方式は電話認証アプリを必要としないことが要件の1つだった。 加えて、CHAスタッフは個人所有のデバイスを仕事に使うことに抵抗があった。

もう一つの主な要件は、MFAが、ハードウェア認証キーのような、ユーザーとIT部門が追跡するための追加オブジェクトを必要としないことであった。

FIDOへの道:より良いユーザー体験を可能にする

CHAはFIDO認証に落ち着くまで、さまざまなアプローチを検討した。

CHAユーザーは、CHAオフィスへの物理的アクセスにHIDを使用しており、最初のアイデアは、MFAにスマートカードを使用することでした。 しかし、CHAが使用している特定のHIDカードは古く、コンピューター・リソースへのアクセスには再利用できなかった。

多要素認証のオプションについて調べているとき、CHAはFIDOアライアンスのウェブサイトに出会った。 CHAは、FIDO認証が組織の既存のプロセスやインフラストラクチャの多くを使って、既存の環境でサポートできることに気づいた。

さらに調査を進めた結果、CHAは、単純で便利な多要素認証はあまりにも狭い目標であり、FIDOの採用はもっと大きなものを得る機会を提供するものであることに気づいた。

FIDOはCHAに、スタッフのユーザーエクスペリエンスに革命を起こすチャンスを提供した。 FIDOを使えば、セキュアなWindows認証が実現できるだけでなく、WebAuthnとSAMLシングルサインオンを活用することで、庁内で使用されるすべての主要システムやアプリケーションに対して、セキュアでシームレスなパスワードレス認証が可能になる。

概要

ケンブリッジ住宅局(CHA)は、マサチューセッツ州ケンブリッジの低所得者に賃貸支援と手頃な価格の長期賃貸住宅を提供している。 CHAは、居住者の公営住宅への入居を支援するために組織全体でITを活用しているが、ITスタッフは限られている。

便利、効率的、より安全

「定期的に変更する必要のない6桁の暗証番号は、長いパスワードよりも覚えておくのも入力するのもはるかに便利です。とても使いやすく、効率的です。IT部門も、より安全だと保証してくれています」。– ケンブリッジ住宅局、CFO、ジョン・フィリップ氏

FIDO標準が重要な理由

CHAにとって、標準ベースのアプローチを選択することは、多要素認証にとって重要な要素だった。

少人数のITスタッフと限られたリソースで、時の試練に耐える技術アプローチを選択することは重要な要素である。

強力な認証に対する標準ベースのアプローチにより、CHA は、広範かつ拡大しつつある支 持を持つソリューションを利用するための業界の努力から恩恵を受けることができる。 FIDOを使った標準ベースのアプローチは、今後何年にもわたってサポートされる可能性があり、CHAが単独で、今は十分でも1、2年後には取り残されるかもしれない寄せ集めのようなものをこしらえるよりも良い選択肢である。

CHAがWindows HelloでFIDOを使用する方法

CHAは、すでにマイクロソフト・ウィンドウズをシステム上で稼動させており、FIDOの世界への容易な入り口を提供していた。

同組織は、FIDOに準拠したWindows Hello for Businessをキーベース方式で導入した。 CHA社のITチームは、可能な限り多くのユーザーをサポートするため、最初の展開ではデバイスの暗証番号の使用を奨励した。

Windows Hello for Businessの最初の展開は、小規模なパイロット・グループに対するものだった。 パイロットをより多くのユーザーグループに拡大したとき、CHAは、組織がソリューションをサポートするために必要なインフラを十分に理解していなかったために問題に遭遇した。 要件を十分に理解するために立ち止まった後、CHAは、その小さな技術チームには、本格的な実装を効果的に実行するための経験と時間が不足していることに気づいた。 そのため、CHAは支援できるリソースを特定した。

MFAから組織全体のパスワードレスへ

CHAはMFAのためにFIDOを選んだわけではない。

CHAにおけるFIDOの導入は、組織全体でより広範なパスワードレス・モデルを採用するための、より大きな取り組みである。 FIDO準拠のWindows Hello for Businessを実装するCHA社のパスワードレスプロジェクトには、SAML SSOコンポーネントも含まれており、可能な限りのシステムとアプリケーションをパスワードレスにする。

CHAには現在250人以上の口座保有者がおり、そのほとんどがパスワードの代わりにFIDOデバイスベースのPINを定期的に認証に使用している。

CHAにおけるFIDOの未来

FIDO 認証は、CHA の認証戦略にとって引き続き重要である。 将来的には、生体認証が受け入れられ、指紋リーダーやNFC対応エンドポイントのユビキタス性が高まるにつれて、組織はデバイスベースのPIN認証から指紋認証やHIDカード・アンド・PIN認証に移行する可能性が高い。

FIDO認証の導入を検討している組織に対して、CHA社のCIOであるジェイ・レスリー氏は、経験豊富なアドバイスをいくつか述べている。 レスリーは、ITチームは次のように提案する。 外部の助けを求めることを恐れ、パイロットの延長を失敗と考えてはならない。 正しく導入するには第三者の専門知識と時間が必要だが、その価値は十分にあると彼は考えている。

ケンブリッジ住宅局(CHA)のケーススタディのPDF文書はこちら