Javelin Researchの「The State of Strong Authentication Report 2019」によると、 暗号に裏打ちされた強力な認証の使用は2017年から3倍に増加しています

カリフォルニア州マウンテンビュー、2019年1月22日 — データ侵害 や巧妙化するフィッシング攻撃がオンラインアカウントの侵害や金銭的損失を引き起こし続ける中、組織はついに、より強力でフィッシングに強い認証形態に投資し始めていることが、 Javelin Strategy & Researchの新しいThe State of Strong Authentication 2019」レポートで明らかになりました。

FIDO アライアンスが後援するこのレポートは、米国企業における顧客認証とエンタープライズ(従業員)認証の状況を分析し、アカウントの保護と貴重なデータや重要なシステムへのアクセスの保護において強力な認証が果たしている役割について結論を導き出しています。

30ページの報告書は、https://fidoalliance.org/2019-strong-authentication-report/ から無料でダウンロードできる

このレポートでは、ジャベリンの主な調査結果と推奨事項が示されています。

  • 2017年以降、強力な認証の実装が劇的に増加しています。 複数の認証要素のうちの1つが公開鍵暗号方式を使用する、暗号に裏打ちされた強力な認証を使用している組織の数は、2017年以降、消費者認証では3倍に増加し、企業認証では同期間に50%近く増加しています。 この形式の認証は、パスワードやワンタイムパスワード(OTP)の既知の脆弱性である認証情報を標的としたフィッシング、中間者攻撃、その他の攻撃の影響を受けません。
  • 規制により、強力な認証の採用が加速しています。 70%近くの企業が、顧客に強力な認証を提供するよう強い規制圧力に直面していることに同意しています。 これは、PSD2の導入と、EUやカリフォルニア州などの米国の州におけるデータ保護規制に起因しています。
  • 強力な認証ホールドアウトは、ビジネスや顧客に対するリスクを過小評価しています。 従業員の認証にパスワードのみを使用している企業の3分の2は、サイバー犯罪者がさまざまな消費者情報や企業情報を標的にし続けているにもかかわらず、保護している情報の種類に対してパスワードが「十分」であると考えているため、パスワードを使用しています。
  • すべての強力な認証が同じように作られているわけではありません。 Javelin氏によると、標準に基づき、暗号化セキュリティ(FIDO認証など)を採用した強力な認証ソリューションを採用することで、組織は規制、顧客の期待、ますます巧妙化する不正スキームに対応するためのコストを削減できます。
  • OTPを廃止する時が来ました。 サイバー犯罪者がソーシャルエンジニアリング、電話ポーティング、マルウェアを使用してOTP認証システムを侵害しているため、Javelinはそれらから離れ、暗号に裏打ちされた強力な認証を採用することを推奨しています。

このレポートには、 Google、Tradelink、Visaのケーススタディが含まれており、いずれもFIDO認証を活用して、顧客と従業員のアカウントをより強力に保護しています。

「データ侵害、フィッシングの脅威、規制の圧力が高まる一方で、強力な認証の実装に関連する財務コストとユーザーエクスペリエンスコストが減少したことを考えると、強力な認証の採用の増加は理にかなっています」と、Javelin Strategy & Researchのシニアバイスプレジデント兼リサーチディレクターであるAl Pascualは述べています。 「あまり心強いのは、ホールドアウトがパスワードだけで十分なセキュリティだと考えていることがわかったことです。これらの企業は、リスクが低いと思われるデータであっても、詐欺師に大きな価値を提供し、規制当局の監視にさらされる可能性があることを認識する必要があります。そのため、今すぐ強力な認証に移行する計画を立てる必要があり、そうでなければサイバー犯罪者にとって格好の標的になってしまいます」

「パスワードやワンタイムパスコードでさえ、今日の脅威に対する十分な保護を提供しないことを組織が認識していることは素晴らしいことです」と、 FIDO アライアンスのエグゼクティブディレクターであるブレット・マクダウェルは述べています。「この研究が、 FIDO アライアンス とW3Cの業界標準に準拠した、暗号に裏打ちされた新しい認証機能の認識を高めるのに役立つことを願っています。これは、現在、主要なWebおよびモバイルアプリプラットフォームで広く利用可能です。これらの機能により、アプリケーションはアカウントの資格情報をユーザーの物理デバイスにバインドできるため、リモートの攻撃者によってフィッシングされるのを防ぐことができます。プラットフォームは、これらのセキュリティ機能をユーザーにとってより便利なエクスペリエンスにパッケージ化し、ユーザーが指、顔、またはセキュリティキーを使用して、お気に入りのすべてのWebサイトやアプリケーションにログインできるようにしています。」

2019年2月7日午前10:00に開催される無料ウェビナー「The State of Strong Authentication Report 2019」の詳細をご覧になりたい方は、ぜひご参加ください。 太平洋時間/1:00 p.m. ETです。

FIDO アライアンスについて

「高速なオンラインID認証」を意味するFIDO(Fast IDentity Online)アライアンスwww.fidodev.wpengine.comは、セキュリティと利便性の両立をめざすため、2012年7月に設立されたグローバルな非営利団体です。 FIDO アライアンスは、パスワードへの依存を減らすオープンでスケーラブル、相互運用可能な一連のメカニズムを定義する、よりシンプルで強力な認証の標準により、認証の性質を変えています。 FIDO認証は、オンラインサービスの認証において、より強力で、プライベートで、使いやすい。

FIDO アライアンス PR連絡先
ミーガン・シャマス
モントナーテックPR
203-226-9290
press@fidoalliance.org