2024年、アイデンティティと認証はどうなる?
これは、毎年恒例となっている、洞察に満ちたスピーカー・セッションやパネルディスカッションで取り上げられた主要なトピックである。 アイデンティティ、認証器、そして前途政策フォーラム 1月25日にワシントンD.C.で開催された。 ベター・アイデンティティ連合FIDOアライアンス、そして ID窃盗リソースセンター (ITRC)。
個人情報の盗難に関する最新データ、漏洩した個人情報をめぐる金融犯罪、個人情報と認証に関する現在進行中の課題など、さまざまなトピックが取り上げられた。 フィッシングに強い認証基準とパスキーの機会は、イベント全体を通じても反響を呼んだ。 ベター・アイデンティティ連合(Better Identity Coalition)のジェレミー・グラント(Jeremy Grant)氏は冒頭の発言で、アイデンティティをセキュリティ問題の原因であると同時に潜在的な解決策であるとした。
ホワイトハウスが強力な認証器のアジェンダを推進
冒頭の基調講演では、ホワイトハウス国家安全保障会議シニア・ディレクターのケイトリン・クラークが、バイデン=ハリス政権がデジタル・アイデンティティを改善し、増加するサイバー犯罪と闘うために取っている措置のいくつかを詳細に説明した。
「マネーが犯罪のエコシステムに拍車をかけていますが、私たちが日々目にしているサイバー事件では、IDがターゲットか犯人になっていることがよくあります」とクラークは言う。
アイデンティティと認証の状態を改善するために、政府は連邦政府のすべてのシステムに多要素認証(MFA)を導入しようとしている。 クラーク氏はまた、政権がフィッシングに強いMFAの実装を強く信じていることを強調した。
「ユーザー名とパスワードだけでなく、その人が本人であることを確認することで、脅威行為者がシステムにアクセスしにくくする必要があります」と彼女は言う。 「認証器は、私たちすべてが依存している重要インフラのサイバーセキュリティを向上させるために、私たちが行っている作業の中心でもある。
バイオメトリクスの役割
専門家パネルによれば、バイオメトリクスは認証とアイデンティティの場面で果たすべき役割がある。
パネルには、バイオメトリクスの専門家でありITRC諮問委員会メンバーでもあるArun Vemury氏、Identity Theft Resource CenterのCOOであるJames Lee氏、Clarkson UniversityのCITeR(Center for Identification Technology Research)ディレクターであるStephanie Schuckers博士、National Consumers Leagueの公共政策、電気通信、詐欺担当副社長であるJohn Breyault氏が参加した。
パネリストは、バイオメトリクスを他のセキュリティ慣行と組み合わせて適切に導入すれ ば、盗まれた ID データの価値を下げ、全体的なセキュリティを強化できることに概ね同意した。
「バイオメトリクスは詐欺の件数に影響を与える可能性がある」とブレイヨーは言う。 「銀の弾丸ではないし、すべての人を止められるわけでもないし、すべての状況において役に立つとは限らない。
5年後のアイデンティティ
5 年前、Better Identity Coalition は「Better Identity in America」を発表した:これは、米国がリモート ID プルーフィングや、ID および認証器に影響を与えるその他の重要な問題における課題にどのように対処すべきかという将来についての政府および産業界双方からの重要な問いに応えたものである。
Better Identity Coalitionのコーディネーター、ジェレミー・グラントは、過去5年間の進展と、2024年に向けた 新たな指針について詳述した。
報告書は、強力な認証器の推進など特定の分野では一定の進展が見られるものの、全体としては、政府は最新の遠隔身元証明システムの開発に優先順位をつけず、国家デジタル・アイデンティティ戦略を確立していないとして、悪い評価を下している。
改訂された青写真は、アメリカのデジタルIDインフラにおけるギャップを埋め、合成ID詐欺やディープフェイクなどの問題によって引き起こされるセキュリティとプライバシーの増大する課題に先手を打つために、政策立案者に向けた21の新たな提言と行動項目の概要を示している。
「今日の私たちのメッセージは、2018年当時と同じで、これをパッケージとして捉えれば、この政策青写真が政府によって制定され、資金が提供されれば、デジタル・アイデンティティにおける非常に重大な課題に対処することになり、私たちの連合の名前が示唆するように、物事をより良くすることになるということです」とグラントは語った。
パスキーの年
IDや認証器の現状には嘆くべき点も多いが、楽観的な見方もある。
FIDOアライアンスのエグゼクティブ・ディレクターであるアンドリュー・シキアー氏は、パスキーの展開と採用について、この1年の進展を詳述した。
「パスキーはシンプルで堅牢な認証器であり、パスワードに代わるものです。
シキアー氏は、現在、消費者がパスキーを使用できるようにする企業は数百社にのぼり、認証全体の状況を劇的に改善するのに役立っていると指摘した。 パスキーはより安全であるだけでなく、従来のパスワードやMFAアプローチよりも組織にとって使いやすいことも強調した。
「パスキーがそうしているのです。
Shikiar氏は、FIDOアライアンスはユーザー認証がIDバリューチェーンの1ピースに過ぎないことを理解していると指摘した。 そのため、FIDOアライアンスはパスキー以外にも、バイオメトリクスの認定プログラムや文書の真正性認定プログラムなど、複数の取り組みを行っている。
侵入されたくない? フィッシングに強い認証器を使う
管理予算局(OMB)の連邦最高情報セキュリティ責任者であるクリス・デルーシャ氏は、強力な認証器の重要性を強調し、サイバー安全審査委員会(Cyber Safety Review Board)が最近発表した ラプサスのサイバーセキュリティ暴力団に関する報告書について詳述した。
DeRusha氏は、Lapsusのハッカーは、ソーシャル・エンジニアリングや、従業員にプロンプトを大量に送りつけて行動させるなど、さまざまなテクニックを使ってMFAプロンプトを打ち負かすことができたと指摘した。
報告書からの重要な勧告は、SMSを含むフィッシング可能なMFAから脱却し、代わりにパスキーによるFIDOベースの認証を採用することである。
FinCENからの見解
米国財務省の金融犯罪取締ネットワーク(Financial Crimes Enforcement Network)は、一般的にはFinCENの頭文字で知られ、米国の金融システムの重要な要素である。
FinCENのアンドレア・ガッキ局長はこのイベントで、受益権報告やFinCENアイデンティティ・プロジェクトに関する同局の最近の進展について語った。 FinCEN アイデンティティ・プロジェクトとは、犯罪者が金融犯罪を永続させるためにどのようにアイ デンティティ関連のプロセスを悪用するかを分析することに関する FinCEN の進行中の作業を指す。 その一環として、FinCENは今月初め、2021年銀行秘密保護法(Bank Secrecy Act)のデータを調査し、悪質業者が口座開設、アクセス、取引の際にIDプロセスをどのように利用しているかを定量化した金融動向分析を発表した。
「強固な顧客IDプロセスは、安全で信頼できる米国金融システムの基盤であり、すべての金融機関の有効性の基礎となるものです」とガッキ氏は述べた。
FinCENの主席サイバー・アナリストであるショーン・エヴァンス氏は、最近の報告書で2021年に提出された380万件以上の疑わしい活動報告を調査したところ、約2,120億ドルの活動に相当する約160万件の報告で、何らかの形でIDの搾取が行われていることが判明したと指摘した。エバンズ氏は、サイバー犯罪者はIDの検証、確認、認証プロセスの弱点を回避または悪用して、詐欺のような不正行為を行う方法を見つけていると説明した。
FinCENのチーフ・デジタル・アイデンティティ・アドバイザーであるケイ・ターナー氏は、本人確認の強化がセキュリティにとって重要であることを強調した。
「私たちはアイデンティティを正しく理解しなければならない。
CISA、パスキーへの取り組みを称賛
イベントの最後を飾ったのは、米国土安全保障省(DHS)サイバーセキュリティ・インフラ安全保障局(CISA)サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタイン氏による基調講演だった。
ゴールドスタインは、課題がある一方で進展もあったことに注目することが重要だと強調した。 パスキーは現在、消費者が日常的に使用しており、パスワードレスの導入に移行する企業も増えている。
「私たちは、より多くの企業が、企業権限、管理者権限、従業員認証ソリューションをパスワードレスへと移行しているのを目の当たりにしています。