アンドリュー・シキアー、FIDOアライアンス、エグゼクティブディレクター兼CEO
パスキーの採用は、同期機能が 導入 されてから 2 年も経たないうちに急速に増加しており、世界で最もアクセスされた Web サイトやサービスの大部分でパスキーが提供されており、その割合は増加しています。この採用は、パスキーが真のパスワードの代替を提供し、パスワードや SMS OTP などの他の第 2 要素方法の既知のセキュリティとユーザー エクスペリエンスの弱点に対処するのに役立つことが主な原因です。
新しいテクノロジーの市場採用は、当然のことながら、関連するポリシーや規制ガイダンスよりも速く進んでいますが、ユーザー認証については、そのようなガイダンスが開発されたときのパスワード中心の世界観が依然として一般的に反映されています。そのため、NISTが政府機関の中で主導権を握り、同期されたパスキーが認証保証レベル2(AAL2)を満たしていることを確認する 新しい補足ガイダンス を提供するために迅速に動いたことを嬉しく思います。
この新しいNISTガイダンスは、パスキーが他のFIDOオーセンティケーターと同様に、AAL2とAAL3の両方の要件をサポートできることを明確にしています。同期されたパスキーは AAL2 に、デバイス バインドされたパスキーは AAL3 にすることができます。
重要なのは、NISTの補足は、ガイドラインと一致する方法で展開された同期パスキーがフィッシング耐性があることも挙げていることです。これは、ハッキング関連の侵害の87%が脆弱なパスワードまたは盗難によって引き起こされ、2022年以降クレデンシャルフィッシングが967%増加している世界では明らかな利点があります。
パスキーの採用は「安心の安心」によって促進される
これまでのパスキーの採用率は驚異的ですが、一部の組織、特に規制業界の組織は、パスキーのような新しいテクノロジーを大規模にサポートする前に、主要な政府機関がパスキーなどの新しいテクノロジーを受け入れ、推奨することを望んでいるのは当然です。
特にNISTのデジタルIDガイドラインは、他国でも頻繁に引用される世界的なゴールドスタンダードであるNISTについて、世界中のパートナーや有権者からこの声を聞いています。本日のNISTからの補足ガイダンスは、パスキーの採用に対する重大な障壁を取り除くものであり、パスキーの採用はさらに加速する予定です。
しかし、やるべきことはまだあります。世界中の他の機関と緊密に連携して、パスキーとフィッシング耐性認証の重要性について教育し、最終的にはすべての組織がどこにいても、より安全で便利な認証をユーザーや顧客に自信を持って提供できるように、従来のポリシー、ガイドライン、規制を更新するよう奨励しています。
ビジネスのベストプラクティスに NIST ガイダンスを組み込む
ID および認証アーキテクトは、より広範なデジタル ID 戦略の一環として、NIST の補足ガイダンスを検討する必要があります。たとえば、過去にパスワード + OTP が使用されていたすべてのユースケースでは、新しい NIST ガイダンスに従って展開された同期パスキーは、AAL2 要件を満たすのに十分であるだけでなく、より効果的です。導入シナリオの大部分において、同期されたパスキーは、フィッシングの影響を受けやすい今日の認証パターンに比べて、セキュリティとUXを大幅に向上させます。
組織に特定のビジネス、規制、またはその他のセキュリティ要件がある場合、同期されたパスキーをプライマリ認証方法として受け入れるか、第 2 要素として受け入れるか、リスク エンジンとペアリングするか、デバイス バインド キーを要求するかを選択できます。今日のガイダンスにより、アーキテクトは認証レイヤーについて考える必要がなくなり、代わりにビジネス要件と関連する脅威モデルに焦点を当てることができます。また、フィッシングやソーシャルエンジニアリングという今日の主要な脅威モデルは、パスキーを利用することで直接対処できます。
