By:FIDOスタッフ

個人のプライバシーを保護し、サービスやデジタル経済へのアクセスを改善するために、法律家や規制当局が奮闘している。 新たな ID ランドスケープを可能にする主要な基盤は、強力な認証である。

1 月 25 日、 Better Identity Coalition、FIDO Alliance、およびID Theft Resource Center(ITRC)は、ワシントン D.C.で Identity, Authentication, and the Road Ahead Cybersecurity Policy Forum を共催し、ID および認証の課題と機会について議論した。

終日開催されたこのイベントには、データ漏洩の現状に関するデータ満載のセッション、政府首脳によるプレゼンテーション、パスキーの現状に関するパネルディスカッション、2023年以降のより良いIDへの道筋などが含まれた。 政府機関や産業界の専門家によって、一日を通してしばしば繰り返された重要なテーマは、IDランドスケープの複雑さと、より多くのコラボレーションと相互運用可能な標準の必要性であった。

「Venable LLPのテクノロジー・ビジネス戦略担当マネージング・ディレクターであり、Better Identity Coalitionのコーディネーターであるジェレミー・グラント氏は、イベントの冒頭で次のように述べた。

「私たちがアイデンティティについてそのように考え始めるまでは、この分野における課題に対処するのに苦労し続けることになるだろう」。

アイデンティティ・リスクは増大の一途

冒頭の基調講演では、FinCEN(金融犯罪取締ネットワーク)のジミー・カービー副所長代理が、同機関が近年抱えているID関連の問題について概説した。

カービー氏によると、近年、金融サービスはますますオンライン中心の環境に移行しつつあるという。 虐待の新たな機会を生み出す傾向だ。 その結果、FinCENは金融機関から送られてくるすべてのデータを活用して、不正利用の流れを食い止める方法を考えている。 同氏は、FinCENに提出されたID関連の疑わしい活動報告(SAR)が2021年から2022年にかけて15%以上増加したことを指摘した。

カービー氏によると、漏洩した認証情報、なりすまし、人工知能を利用した不正金融など、証明・登録段階から認証段階まで、顧客識別プロセスの各段階における脅威の報告は増え続けているという。

課題がある一方で、チャンスもある。

「我々は、顧客のオンボーディング、口座ログイン、取引監視、および調査において、デジタルIDが顧客識別の不具合に対処する機会を見ている」とカービー氏は語った。 「デジタル・アイデンティティのフレームワークには多くの特徴があり、それらを組み合わせることで、 あらゆる種類の金融サービスにおいて脅威に対処し、イノベーションを促進する可能性がある。

サイバー犯罪が急増しているのはFinCENだけではない。 ITRC(Identity Theft Resource Center)のCOOであるジェームス・リー氏は、同団体が毎年発表しているデータ侵害報告書のデータを発表した。 この報告書のハイライトは、1年間に1,802件のデータ漏洩があり、4億2,200万人以上の被害者に影響を与えたことである。

リー氏は、一般的な傾向として、マルウェアだけでなく、サプライチェーン攻撃が好ましい攻撃ベクトルとして増加しているとコメントした。 彼はまた、多くのデータ漏洩の開示に見られる情報の欠如についても力強く訴えた。 リー氏によると、データ漏洩の66%には、漏洩に至った攻撃の根本原因や被害者の詳細に関する情報が含まれていなかったという。

全米消費者連盟(NCL)の公共政策・電気通信・詐欺担当副社長であるジョン・ブレイヤルト氏は、「データ漏洩通知は最悪」と題したパネルセッションで、多くのデータ漏洩の根本的な原因となっているパスワードの使い方の現状を嘆いた。

「私はNCLで15年間、消費者教育の仕事をしていますが、消費者に複数のアカウントで同じパスワードを使わないようにと言わない日はないようです」とブレイヨーは言う。

安全なデジタルIDに関する米国政府の計画に向けて

ランチタイムの基調講演では、ビル・フォスター下院議員(イリノイ州選出)が、米国に安全なデジタルID政策を導入するための議会の取り組みについての見解を述べた。

フォスター氏は基調講演の中で、安全なデジタル・アイデンティティはすべてのアメリカ人に影響を与える問題であるため、米国議会において超党派で取り組む必要があると何度も強調した。 同氏は、米国政府が発行するユーザー・アイデンティティのデータベースを持つことに懸念があるかもしれないと指摘する一方で、ほとんどの人々にとって、プライバシーに対する現実的な脅威は、オンライン上で誰かになりすまされることから来ることの方が大きいと主張した。

安全なデジタル・アイデンティティの欠如も、COVID給付をめぐって米国政府が経験した大量の不正行為の一因であった可能性がある。 逆に、安全なデジタルIDスキームが導入されていなかったことで、給付を受けることが必要以上に難しくなった人もいるかもしれない。 全体として、フォスターは議会が何かをまとめることができると期待していると述べた。

「政府があなたの人生に良いことをしていることを、優しく思い出させてくれるのです」とフォスターは言う。 「毎年何千万人ものアメリカ人にとって、ID詐欺は現実的な痛手だからだ。

偏見と多様性はデジタル・アイデンティティの要件である

イベント期間中の複数のセッションで、デジタル・アイデンティティに関連する公平性、偏見、多様性というトピックが議論された。

ソキュアのジョーダン・バリス副社長兼公共部門戦略部長は、「偏見とは、多くの場合、人口の大多数に対して解決策となるアイデンティティ・アプローチが取られ、その結果、少数派や周縁で活動する人々がエコシステムから取り残されているという現実に帰結する」とコメントした。

米労働省失業保険近代化局のアンドリュー・ステットナー政策担当副局長は、同局と政権全体がアイデンティティの公平性に真剣に取り組んでいると主張した。

「私たちは、より意識的にエクイティに目を向けており、それは今後のアイデンティティの非常に重要な要素です」とステットナーは言う。

なぜFIDOがより良いIDのために重要なのか

安全な ID の重要な要素は、強力な認証を持つことである。

基調講演では、FIDOアライアンスのエグゼクティブ・ディレクター兼CMOであるアンドリュー・シキアー氏が、FIDOが複数の取り組みを通じて、今日のアイデンティティの状況を改善する一助となる役割を果たしている方法について概説した。 同氏はまた、FIDOは今後ますます重要な意味を持つようになるだろうと予測した。

「市井の平均的な人々は、本人確認が何を意味するのかを理解し始め、デジタル・アイデンティティが何を意味するのかを実際に理解し始めるだろう」とシキアー氏は言う。 「自分のアイデンティティの意味や重要性を理解する人が増えれば増えるほど、実際にそれを守るための手段を講じるようになるからだ。

Shikiar氏によって概説されたアイデンティティの向上を支援するFIDOの取り組みの中には、次のようなものがある:

  • バイオメトリックの性能基準。 これはバイオメトリクス認証プログラムであり、FIDO は ID 検証に不可欠なさまざまなバイオメトリクス・コンポーネントの性能評価を支援する。
  • 遠隔本人確認。 これには、モバイル文書認証のための文書認証器(DocAuth)認定が含まれ、現在も、生存率や自撮り写真とのマッチングのための顔認証に取り組んでいる。

Shikiar氏はまた、FIDOベースの強力な認証にさらなる使いやすさをもたらすパスキーについても詳しく語った。

「FIDOアライアンスの使命は、パスワードへの依存を減らすことです」とシキアー氏。 「端的に言えば、パスキーは、消費者の大半のユースケースにおいて、パスワードが不要になるということだ。

将来の認証用パスキー

パスキーに関するパネルセッションでは、パネリストたちがパスキーがもたらすメリットと機会について議論した。

マイクロソフトのアイデンティティ・スタンダード・アーキテクトであるティム・カッパリ氏は、FIDOクレデンシャルを取得し、現在のパスワード・マネージャと同様の方法で使用する機能など、パスキーが可能にするものについて詳しく説明した。 パスキーはクラウド・プロバイダーとも同期でき、プラットフォーム・ベンダー間で相互運用が可能なため、全体的な使い勝手が向上する。

パネリストは、パスキーの約束は、ユーザーがより簡単に強力な認証の恩恵を受けられるようにすることだと強調した。 グーグルのアイデンティティ・セキュリティ担当プロダクト・マネージャーであるクリスティアン・ブランド氏は、グーグルはセキュリティ・キー・ベースのアプローチをサポートするなど、何年も前からFIDOをサポートしてきたと説明した。 彼の見解によれば、パスキーは、Googleのユーザーにとって、フェイシャブルでないクレデンシャルによる強力な認証を実際に実現するために必要なユーザビリティを表している。

ユーザビリティは、アマゾンのアイデンティティ・サービス担当プリンシパル・プロダクト・マネージャ、ポール・グラッシ氏が強調したテーマでもある。

「それを言うのは心苦しいのですが、消費者はセキュリティキーを採用せず、Google Authenticatorを採用せず、2ファクタを採用していません」とグラッシは言う。 「パスキーがその代わりとなり、導入数が急増し、摩擦を減らしながらセキュリティが向上するのを見るのが楽しみです。

イベント全編の録画はこちらから