FIDOアライアンスチーム
2 月 5 日に開催された Identity, Authentication and the Road Ahead: Virtual Policy Forum イベントの 2 日目と最終日には、政府関係者、技術専門家、政策提唱者が一堂に会し、議題が詰め込まれました。
FIDOアライアンスがBetter Identity Coalition、ID Theft Resource Center(ITRC)と共同で主催した2日間のイベントには、1,000人以上の登録者が参加しました。 イベントの 初日 には、政府と業界がIDと強力な認証システムをより普及させ、個人と企業の両方を保護し、サービスを提供するための明確かつ現在の必要性を概説するセッションが行われました。 対照的に、2日目は強力な認証の必要性に重点が置かれ、FIDO認証が2020年の米国大統領選挙の安全確保にどのように役立ったかを説明する専門家パネルによって強調されました。
この日のイベントは、ジョン・カトコ下院議員(共和党、ニューヨーク州)の基調講演で始まり、安全なデジタルIDの重要性を強調しました。
「わが国の安全保障、国家安全保障、経済安全保障、生活様式は、高度に巧妙な敵によって前例のない方法で脅かされており、単に警戒するだけではもはや十分ではありません」とカトコ( 写真) は述べた。 「今日の脅威環境には、揺るぎないレジリエンス(回復力)の姿勢が求められています。これは、デジタルアイデンティティの神聖さと回復力を確保するために特に当てはまります。」
FIDOが2020年の選挙を確実にするためにどのように役立ったか
2016年の選挙期間中、ハッカーが民主党スタッフの電子メールアカウントに侵入し、特にクリントン選挙対策委員長のジョン・ポデスタ氏のGmailアカウントが攻撃されたことで、デジタルIDと強力な認証の回復力が疑問視されました。
2020年の選挙期間中、同様のイベントが再発することはありませんでしたが、これはFIDOの基準と、民主党と共和党の両方の関係者が強力な認証にアクセスできるようにするための協調的な取り組みのおかげです。 イベント中のパネルディスカッションで、 Defending Digital Campaigns の社長兼CEOであるMichael Kaiser氏( 写真) は、政治キャンペーンが自らを守るための適切なサイバーセキュリティリソースを持っていないという課題を解決するために設立されたと説明しました。 企業はキャンペーンに直接寄付することができないため、Defending Digital Campaignsは、政治キャンペーンがFIDOベースの強力な認証リソースを含むサイバーセキュリティサービスを無料または低コストで受けられるようにする仲介者として設立されました。
Kaiser氏は、政治運動は短命であり、セキュリティ成熟度モデルについて長期的な視点で考えていないという点で、典型的な組織とは異なると説明しました。 それにもかかわらず、政治運動は信じられないほど貴重で重要な情報に基づいているため、保護する必要があります。
「2020年のサイクルで、政治部門で10,000以上のセキュリティキーを配布したと思います」とKaiser氏は述べています。 「183のキャンペーンに100万ドル以上の商品を提供したので、これは多くの人と多くのアカウントです。」
民主党全国委員会(DNC)のチーフ・セキュリティ・オフィサーであるボブ・ロード 氏(写真) は、2016年の選挙の出来事の後、セキュリティは明らかに監視下に置かれていると指摘した。
「セキュリティは真の課題であり、誰もがその重要性を本当に理解していますが、ドルの数字は本当に邪魔になる可能性があります」とロード氏は述べています。 「セキュリティキーなどの信頼できるソースがあることを確認したことは、前進する上で非常に役立ちました。」
ロード氏と彼のチームは、DNC内およびキャンペーン全体で、FIDOベースのセキュリティキーの使用を厳密に実装して、強力な認証機能を提供し、潜在的なフィッシング攻撃のリスクを制限しました。
「現在、DNCで電子メールや文書にアクセスする必要がある人の100%がセキュリティキーを使用しています。例外はなく、これをオプトアウトするためのエグゼクティブ権限もありません」とロード氏は述べています。
DNCは、基本的なGmailアカウントで可能になるものを超える追加のレベルの保護と保証を提供するGoogleの高度な保護プログラム(APP)の恩恵も受けました。
「私たちはFIDOセキュリティキーとAPPの組み合わせを強く支持し、本当に強く信じています」とLord氏は述べています。
DNCがFIDOを信奉する理由
Lord氏は、彼がFIDO標準を強く支持している理由はいくつかあると述べています。 1つは、FIDO標準がGoogle Chromeブラウザに組み込まれているという事実です。 Lord 氏は、DNC が Chromebook の使用をキャンペーンに推し進めており、統合された FIDO 機能により、強力な認証の導入が容易になったと説明しました。
市場には複数のタイプの二要素認証がありますが、Lordの場合、実際には2つのカテゴリしかありません。
「コンシューマー分野で利用できる多要素要素には、FIDOセキュリティキーとそれ以外、2種類あると思います」とLord氏は力強く述べています。 「私が他のすべてに言及するとき、私は他の多要素システムをレガシーと呼んでいます。これは封じ込められ、最小限に抑えられ、最終的には排除されるべきものであるというメンタルモデルを人々に理解してもらいたいからです。」
Lord氏は、他の多要素アプローチは、多要素認証をまったく使用しないよりはましですが、弱点を示しているため、業界として、FIDOの強力な認証採用の道を歩むために、人々をかなり積極的に後押しすることが重要であると考えています。
Lord氏は、セキュリティキーによるFIDOベースの強力な認証の採用を提唱していますが、ユーザーの教育とオンボーディングに必要なトレーニングだけでなく、チームが解決しなければならなかったユーザビリティの課題もいくつかあると指摘しました。 DNCの取り組みから学んだことは、 現在、https://democrats.org/security/ のロードのチームによって公に共有されています。
「これは党派にとらわれないものなので、これらのベストプラクティスに赤や青はありませんが、セキュリティキー、特にAPPにかなり力を入れていることがわかるでしょう」と彼は言います。
Googleのセキュリティ&アイデンティティ担当シニアディレクターであるMark Risher氏( 写真) は、パネルディスカッションで、一般的には、2つ目の要素を追加しても、ユーザーがフィッシング攻撃の被害に遭う可能性を客観的に減らすことができると強調しました。 とはいえ、攻撃者にとって、パスワードをフィッシングしたり、パスワードとワンタイムパスワード(OTP)のPINコードをフィッシングしたりするには、基本的に攻撃者にとって基本的に1行のコードが必要になるだけだと指摘しています。
「国家の資金を必要としません」と、Rischer氏はフィッシング攻撃のためにOTPをバイパスする機能について述べています。 「ですから、私たちは世界にこの違いを理解してもらい、より厳格なハードウェアベースの強力な認証技術と標準を要求し始める必要があります。」
デジタルトランスフォーメーションを実現するためのFIDOの前進
イベントの午後の基調講演は、FIDOアライアンスのエグゼクティブディレクターであるAndrew Shikiar氏( 写真) が行いました。 Shikiar氏は、パスワードレス認証はデジタルトランスフォーメーションの重要な基盤であると指摘しました。
「デジタルトランスフォーメーションのセキュリティと認証の側面は、パンデミックによってすべてが加速されたため、前面に出ました」とShikiar氏は述べています。
Shikiar氏は、フィッシングが成功し続けた2020年にソーシャルエンジニアリングが一種のルネッサンスを迎えたと指摘しました。
「簡単に言うと、この悪循環を断ち切る唯一の方法は、サーバー側の認証情報とパスワードへの依存をなくすことです」とShikiar氏は述べています。 「サーバー上のあらゆるものが盗まれる可能性があり、いずれ盗まれるので、フィッシング、収集、再生が容易になります。」
より強力な認証を作成する必要性が、FIDOが誕生した理由です。 Shikiar氏は、FIDOアライアンスの使命は、公開鍵暗号と非対称公開鍵暗号を使用して、よりシンプルで強力な認証のためのオープンスタンダードを作成することであり、これは平均的な消費者が発音する必要はなく、ましてやそれが何を意味するのかを知る必要もないものであると説明しました。
Shikiar氏はまた、AppleがFIDOアライアンスに加わったことなど、2020年のFIDOアライアンスのハイライトについても概説しました。 また、Appleの参加は、標準ベースのユーザーフレンドリーで強力な認証に協力する組織として、FIDOアライアンスを中心に誰もが団結しているという業界への強力なシグナルとなったと付け加えました。 FIDOの2020年のもう一つの重要なハイライトは、認証システムのさまざまなトランスポートメカニズムを備えたオペレーティングシステムとブラウザの組み合わせにわたるサポートレベルでした。
「40億台以上のデバイスがFIDO認証をサポートできます」とShikiar氏は述べています。 「要するに、FIDOはウェブ自体のDNAの一部になりつつあると考えています。これはかなり大胆なことです」
「要約すると、FIDOはユーザー認証の現在と未来そのものです」
Solarwind #Solorigate Attack as an Identity Authentication Issue (Solarwind Attack as a Identity Authentication Issue) (Solarwind の ID 認証の問題)
ポリシーフォーラムの2日目を通して共感を呼んだ重要なトピックは、最近発生したSolarwindsの攻撃(一般にSolorigateとも呼ばれる)の影響でした。
バイデン政権がアイデンティティに関してどのような政策を検討すべきかについてのパネルディスカッションで、ITIの政策担当シニアバイスプレジデント兼シニアカウンセルであるJohn Miller氏は、Solarwindsの攻撃はソフトウェアサプライチェーン攻撃として正確に説明されていますが、実際にはID攻撃としてもかなり特徴付けられているとコメントしました。
「SolarwindsをID攻撃として特徴づけることは、私たちが消費者としてオンラインで行っていることだけでなく、企業環境にとっても基本的なアイデンティティがいかに重要であるかを政策立案者に思い出させる機会を提供します」とMiller氏は述べています。
イベントの最後の基調講演では、Microsoftのアイデンティティセキュリティ担当パートナーディレクターであるAlex Weinert氏( 写真) が、Solorigateインシデントの背後にある血みどろの認証とIDの詳細と、ゼロトラストの原則が多くのリスクの軽減に役立つ理由について概説しました。
Weinert氏は、Solorigate攻撃は信頼に対する根本的な攻撃であると指摘しました。 また、認証が攻撃で果たした明確な役割と、強力な認証に移行する必要性を強調しました。
「明示的に検証可能な認証情報を奨励するために、私たちは何をしているのでしょうか。私たちは皆、パスワードがくだらないものであり、信じられないほど脆弱であることを知っています」とWeinert氏は述べています。 「業界として、パスワードの廃止を推し進めるのに十分なことをしているでしょうか?」
本日(2月5日)のセッションは録画されており、近日公開予定です。