要約:Authenticate Virtual Summit:金融サービスとコマースにおける認証

By：FIDOスタッフ

パスワードはいたるところにあり、企業と電子商取引組織の両方が、ほとんどの企業と同等かそれ以上に苦痛を感じています。

3月29日に開催された「Authenticate Virtual Summit: Authentication in Financial Services and Commerce」では、業界の専門家や実務家が、企業と顧客のサインインにFIDOが適合する概要を説明しました。 半日のイベントでは、パスキーのトピックが主なテーマとなり、講演者は、パスキーがどのように機能し、どこに適合するか、そしてなぜパスキーがレガシーパスワードや安全性の低い多要素認証から脱却するために不可欠なのかを概説しました。

FIDOアライアンスのエグゼクティブディレクター兼CMOであるAndrew Shikiar氏は、パスキーがエンタープライズユーザーやコマースユーザーにもたらす多くのポジティブなメリットについて、いくつかの洞察を披露しました。 これらの利点には、ユーザーがより高いレベルの満足度でより速くオンラインに接続できるようにすることが含まれます。 パスキーは、eコマースベンダーの収益向上にも役立つ可能性があります。

「eコマースベンダーなら、ショッピングカートの放棄率を10%でも減らすことを想像してみてください」とShikiar氏は言います。 「当社のデータによると、過去6か月間に購入を断念せざるを得なかった消費者の50%が、パスワードを忘れたために購入を断念しており、これは大きな機会費用です。」

FIDO認証は10年以上前から誰でも利用できるようになっていますが、Shikiar氏は導入の課題がいくつかあると指摘しています。 パスキーは、部分的には、これらの導入の課題のいくつかに対する解決策です。 パスキーでは、一般的な用語がより認識されやすくなり、このテクノロジーは、摩擦を減らすことを目的とした使い慣れたフローをユーザーに提供します。

Shikiar氏によると、企業ではパスキーはBYOD [Bring Your Own Device] 認証などに非常に自然に適合し、従業員は携帯電話のアプリでサインインできます。

「これは例外というよりも当たり前になりつつあり、パスキーはそのような環境にごく自然に適合しています」とShikiar氏は述べています。

認証の現状 2023

間違いなく、パスワードには多くの問題があります。 パスワードに反対する議論にいくつかの指標を追加するために、HYPRのCMOであるJay Roxe氏は、同社のレポート「 State of Passwordless Security 2023」からいくつかの洞察を提供しました。

Roxe氏は、HYPRがレポートのために話を聞いた5つの組織のうち3つが、過去1年間に認証関連の侵害があったことを指摘しました。 また、これらの組織にはそれぞれ、12か月ベースで約300万ドルの侵害に関連するコストがかかっていると付け加えました。 金融サービスは最も攻撃の激しい業界であり、金融サービス組織の81%が認証に関連する何らかの攻撃または侵害を記録しています。

また、HYPRレポートでは、組織が強力な認証パスワードレスアプローチの導入に移行する理由についても調査しています。 Roxe氏は、優れたユーザーインターフェースとフローを持つことが重要であり、そうでなければテクノロジーは採用されないと強調した。 実際、このレポートでは、組織がパスワードレスの採用を検討している最大の理由は、ユーザーエクスペリエンスの向上であることがわかりました。

「そのユーザーエクスペリエンスを完璧に実現するまでは、根本的に現在よりも良い生活はできないでしょう」とRoxe氏は言います。

パスキー101

このイベントで最もインタラクティブなセッションは、パスキーの仕組みの基本に関するもので、モデレーターのFIDOアライアンスのマーケティング担当シニアディレクターであるMegan Shamas氏は、セッションの最後に熱心な聴衆からの質問に対応するのに非常に忙しくしていました。

このセッションは、Microsoftのアイデンティティ標準アーキテクトであるTim Cappalli氏が、FIDO標準の歴史的な道のりを概説することから始まりました。 2014年のU2F仕様のデビュー、2017年のFIDO2、2019年のWebAuthn、そして昨年のパスキーの登場など、大きなマイルストーンとなっています。

「それは旅でした」とカッパリは言いました。 「ここ2、3年で、私たちは人々をパスワードから脱却させるための最後のステップに向かっていると考えています」

Cappalli氏は、パスキーがどのように機能し、このアプローチの主な利点は何かを概説しました。 彼は、パスキーは基本的にFIDOの資格であり、いくつかの新しい特性を持つと説明しました。 Cappalliが強調するプロパティには、次のものがあります。

• [自動入力] をタップします。 自動入力を使用すると、ユーザーが現在パスワードマネージャーで経験しているのと同じように、パスキーを既存のWebサイトの認証フローに自動的に挿入できます。
• クロスデバイス認証。 パスキーを使用すると、クレデンシャルが1つのデバイスに厳密にテザリングされるのではなく、クレデンシャルが環境間で持続し、たとえば電話が別のデバイスやエコシステムをブートストラップできるようになります。

FIDOの大規模な導入を推進

PayPal、Intuit、eBayでの取り組みを主導してきたMarcio Melloほど、FIDOを大規模に展開した経験を持つ専門家はほとんどいません。

Mello氏は、FIDOの強力な認証をサポートするために組織が取るべきステップを詳細に説明しました。 彼の見解では、利点は明らかです。

「できるだけ早く eBay で WebAuthn のデプロイを開始し、すぐにそのメリットを実感しました」と Mello 氏は述べています。

Mello氏にとって、パスキーは消費者の摩擦を軽減し、うまくいけば大規模な採用を可能にするアプローチであるため、次の大きな前進です。 基本的には、パスキーが約束する使いやすさが文字通り鍵となります。

「消費者はパスワードを見て使うことを期待しています」と彼は言います。 「はい、誰もがうんざりしていますが、それは喫煙と同じで、ほとんどの喫煙者は禁煙したいと思っていますが、やめられません。確かに、それが悪いことだとわかっていますが、習慣を変えるには、モチベーションと非常に低いハードルが必要です。」

FIDOとゼロトラスト

セキュリティの世界では、ゼロトラストは、リスクを制限するためにユーザーとエンティティを常に検証する必要があるアプローチを提唱する、ますます一般的な概念です。

Beyond Identityの最高戦略責任者であるKurt Johnson氏は、FIDO認証とゼロトラストの間には明確な共通点があると述べています。 結局のところ、ゼロトラストの中核となる基盤は、常にユーザーを認証する必要性であり、組織が強力な認証を使用していない場合、それは弱いリンクです。

Johnson氏は、ゼロトラストでは、ユーザーIDに対する高いレベルの信頼を評価し、確立する必要があると述べています。 これはパスワードでは効果的に行うことができないため、フィッシング不可能なFIDO認定認証が必要です。

Amazonが顧客を第一に考えるのを支援

Amazonは世界最大級のeコマースサイトを運営しており、FIDOアライアンスの強力な支持者でもあります。

Amazonのテクノロジー、ワールドワイドコンシューマー担当プリンシパルプロダクトマネージャーであるYash Patodia氏は、彼のチームは常にユーザビリティの向上を目指していると述べています。 改善のための取り組みの 1 つは、可能な限りパスワードを削除する動きです。 Patodia氏によると、Amazonは自社の内部セキュリティにFIDOセキュリティキーを使用しており、これはうまく機能しているという。

セキュリティキーはAmazonの社内ニーズには対応しているが、消費者にとっては採用が難しい可能性があると指摘した。 これは、彼がパスキーに特に興奮している多くの理由の 1 つです。

「パスワード、OTP(ワンタイムパスワード)、セキュリティキーの世界からの大きな飛躍だと思います」とPatodia氏は述べています。 「passkeyのメリットは、お客様にとって非常に使いやすくなることです」

消費者にとってより簡単にすることは、Amazonの使命の中核であるため、Amazon全体にとって重要です。

「アマゾンでは、カスタマー・オブセッション(顧客への執着)という言葉を多用しています」とパトディアは言う。 「そして、これは実際に顧客志向の製品であり、顧客がやりたいことを非常に簡単に行えるようにしているという点で、これは私たちにとって完璧に適合しています。」

PNC BANKはFIDOでユーザーを保護

PNC BankのCISOであるSusan Koski氏は、パスワードの課題を熟知しており、FIDOの強力な支持者であり、支持者でもあります。

彼女は、犯罪者がアカウントを乗っ取ろうとしてユーザーのパスワードを狙っていると指摘しました。 彼女が制限しようとしているリスクの中には、パスワードなどのフィッシング可能な資格情報のリスクがあります。

「私たちは、こうしたフィッシング詐欺の認証情報を減らしたいと考えていますが、お客様がサービスを使いたいと思うような方法でそれを行っています」とKoski氏は述べています。 「セキュリティと顧客体験のバランスを取ること。これは、サイバースペースにおける情報セキュリティにおいて、しばらくの間、私たちにとってのスローガンだったと思います。」

Koski氏によると、PNC銀行は時間の経過とともにパスワードレスへの移行を支援する方法としてFIDOを採用しています。 また、幅広い参加者の支援と参加から利益を得る標準化されたアプローチをとることの重要性も重要です。

「パスワードは50年以上前から存在しており、パスワードを乗り越える時が来ました」とKoski氏は述べています。

パスキーに関するエンタープライズガイダンスが間もなく開始されます

FIDOアライアンスのMegan Shamas氏は、パスキーに関するより多くの企業向けガイダンスを提供するために進行中の一連の取り組みについて概説しました。

「私たちは、企業に存在するユースケースの大部分になることを望んでいるものに対処する5つの論文のグループを発表する予定です」とShamas氏は述べています。

5つの論文には以下が含まれます。

• 企業におけるパスキーの概要
• パスワードのみの認証をパスキーに置き換える方法
• パスワード+SMS OTP認証をパスキーで置き換える方法
• 適度な保証を使用するためのFIDO認証
• 高保証エンタープライズFIDO認証

「エンタープライズ要件に関する会話に参加したい方は、ぜひ当社にご連絡ください」と Shamas 氏は述べています。 「今こそ、エンタープライズの視点からパスキーをどのように見ているかについて、皆さんの意見を伺う時です。」

登録者は、 イベントの録画をオンラインで表示 できるようになりました。 イベントを見逃し、録画をご覧になりたい場合は、 イベントのウェブサイト にアクセスしてアクセス登録してください。