洞察サイバーセキュリティの成功と失敗を共有することが改善につながる – FIDOアライアンスのエグゼクティブディレクター兼CMOであるアンドリュー・シキアーは、サイバーセキュリティを取り巻く秘密主義の文化が進歩を妨げている理由を説明する。

もしあなたの組織がサイバー攻撃を受けたら、誰かに話しますか?

歴史的に見れば、答えは明確にノーだろう。 自分が標的になったことを共有することは、会社(あるいは個人)の脆弱性をさらけ出すことになり、さらなる攻撃や嘲笑を受けやすくなると考える人は多い。 しかし、この「不明瞭さによるセキュリティ」という考え方は時代遅れであるだけでなく、特にパスワードやその他の知識ベースの認証情報への依存をなくすことによって、業界全体の防御を強化する能力を妨げている。

今年、世界的にパスワードによる入館が5%から7%減少したとはいえ、依然としてオンライン認証の主流はパスワードであり、これは大きな問題である。 パスワードは非常に安全でないだけでなく、消費者に大きな頭痛の種を与え、企業にも損害を与えている。過去1ヶ月間にパスワードを求められた消費者の59%がオンラインサービスへのアクセスをあきらめ、43%が購入を断念した。 データ漏洩の82%以上は、ログイン認証情報の脆弱性や盗難が原因である。

多要素認証(MFA)の利点は広く報告されているが、多くの企業は導入数を共有することに尻込みしている。

これは数字が良くなかったからかもしれない。 ツイッター社は昨年夏、二要素認証の普及率を明らかにし、有効にしているアカウントはわずか2.3%であることを明らかにした。 そのうち80%がSMSベースのバックアップに頼っており、最も安全性の低い方法であった。 このことを伝えたからといって、ツイッターの安全性が低下するわけではない。 その代わりに、改善のための強力なベンチマークを設定し、より多くの顧客にMFAを利用してもらうためにはかなりの課題が残っているという現実を業界に突きつけている。

その他、CloudflareとTwilioも称賛に値する。 クラウドコンピューティングの大手2社は最近、ほぼ正確なフィッシング攻撃の標的にされたと報告した。 従業員は、IT部門と思われる者からのテキスト・メッセージで標的にされ、パスワード変更を要求する偽のウェブサイトに誘導された。 TwilioもCloudflareの監視システムもこの攻撃を検知せず、予想通り、一部の社員が油断して認証情報を共有してしまった。

Twilioは(他の数十社とともに)攻撃の犠牲になったが、Cloudflareの従業員は、ユーザーと結びついたFIDO(Fast ID Online)セキュリティキーを使用しているため保護された。 Originバインディングはまた、認証情報が共有されるのを防いだ。 このインシデント以来、TwilioはCloudflareのリードに従った。 これは、成功も失敗も同じように共有することが、全体として2つにつながるという好例である。

FIDOアライアンスでは、この課題を解決するために、世界をリードするハイテク企業や消費者サービスプロバイダーと協力しています。 米国のサイバーセキュリティ団体CISAや英国のナショナル・サイバー・セキュリティ・センターなど、各国政府から「ゴールド・スタンダード」として引用されることが増えているテクノロジーを、私たちは共に作り上げてきた。

サイバー攻撃から最善の防御をするために、組織はTwilioとCloudflareの話からヒントを得て、フィッシングに強いセキュリティ・プロトコルを組み込むべきである。 これらのプロトコルは、USBキーやデバイスに内蔵されたバイオメトリクス認証で実装されることが多く、組織内のネットワークや情報、そしてそのサービスにアクセスする顧客のセキュリティの重要なレイヤーとして追加することができる。

もちろん、私たちがFIDOアライアンスで行っている、新しいテクノロジーの創造と実装は、世界をパスワードやその他の弱い形式のレガシー認証から脱却させるための重要な部分であるが、最も重要な部分ではない。 アーキテクチャのベストプラクティスに裏打ちされた、直感的で一般的なユーザージャーニーの作成に業界全体で取り組むことで、日常生活からパスワードをなくしたい場合に必要となる、この技術の文化的転換と大量導入が可能になる。

コラボレーションと透明性は、すべての関係者(遠隔攻撃を実行するのがはるかに難しいハッカーを含む)のハードルを上げる重要な要素である。