昨年12月、米国国家サイバーセキュリティ強化委員会は、次期大統領政権の「野心的だが重要な目標」として、「2021年までに、ID、特にパスワードの使用が攻撃の主なベクトルとなる大規模な侵害をゼロにする」ことを掲げました。(注1)
この取り組みに従い、欧州委員会は、すべての政府機関がすべての政府システムで強力な認証を使用することを義務付けるよう勧告しました。 さらに、この要件を満たすために使用されるツールは、政府のPKIベースの個人ID検証(PIV)資格情報に限定されるべきではないと指摘しました。 その代わりに、欧州委員会は、認証の要件を「他の(つまり、非PIVの)認証形態を含むように、パフォーマンスベース(つまり、強力)にすべきである」と勧告しました。
FIDOアライアンスは、欧州委員会の勧告を支持する新しいホワイトペーパーを発表できることを嬉しく思います。 タイトル 「 Leveraging FIDO Standards to Extend the PKI Security Model in the United States Government Agency(米国政府機関におけるPKIセキュリティモデルの拡張のためのFIDO標準の活用 )」 このホワイトペーパーでは、FIDOソリューションを使用して政府環境内のサイバーセキュリティを強化し、従来のPKIを補完する方法について説明しています。 このペーパーは、FIDOの 公共政策およびプライバシーワーキンググループ (P3WG)によって作成されました。
この論文で詳述されているように、FIDOを含むアプローチの利点は、より使いやすく、レガシーアプリケーションとの統合が容易な追加の認証ソリューションを提供することです。 ただし、これらのソリューションでは、非対称公開キー暗号化に関連するコア セキュリティが引き続き維持されます
- たとえば、派生PIVクレデンシャル(DPC)プログラムでは、PIVカードの所有を証明することで個別のPKI証明書を発行できますが、NIST 800-157で指定されているDPCワークフロー PIVカードに関連付けられた同じIDレコードにリンクされたFIDO公開鍵/秘密鍵ペアを発行するために使用できます。 主な違いは、鍵ペアが「完全な」公開鍵基盤の一部ではなく、「軽量」な鍵ペアであることです。
- さらに、PIVを取得する必要のない政府エコシステムの人々のために、FIDOは発行と維持が安価で使いやすい代替手段を提供します。 これにより、個人は公開キー暗号化に基づく少なくともある種の強力な認証を受けることができます。
新しい論文は、PIVが米国政府における認証のゴールドスタンダードであり続け、連邦政府の企業の中核的な構成要素であり続けることを明確にしています。 しかし、政府機関が欧州委員会の勧告の達成に向けて努力する中、FIDOでPIVソリューションを強化するアプローチは、連邦政府全体のサイバー衛生を改善し、米国がデジタル資産をより効果的に保護するのに役立ちます。
2021年までにパスワードベースの侵害をなくすことは野心的な目標ですが、不可能なことではありません。 300以上のFIDO®認定製品により、米国および世界中の他の政府は、よりシンプルで強力な認証を提供するために、FIDOソリューションの成長するエコシステムに目を向けることができます。
[1] https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf で入手可能な、国家サイバーセキュリティ強化委員会のデジタル経済の保護と成長に関する報告書を参照してください。
