アイデンティティと認証の交差点は、2022年には非常に忙しくなるだろう。
1月24日から25日までの2日間、 Better Identity Coalition、 FIDO アライアンス、 ID Theft Resource Center (ITRC)は、Identity, Authentication, and the Road Ahead Cybersecurity Policy Forumを共催し、政府や業界の代表者が2022年以降のIDと認証の政策、課題、機会についての洞察を提供しました。
本人確認は常に重要であり、パンデミックの際には、本人確認能力の格差がさまざまな形で劇的に露呈した。 米国パンデミック対応説明責任委員会(PRAC)ID詐欺削減・救済ワーキンググループのスーザン・ギブソン委員長と、ベター・アイデンティティ連合(Better Identity Coalition)のコーディネーター、ジェレミー・グラント氏による基調講演では、パンデミックにおけるIDの課題について詳しく説明された。 ギブソン氏は、PRACは米国政府によって結成され、透明性を促進し、連邦政府のパンデミック対応(総額約5兆ドルの援助)を協調して監督することを目的としていると説明した。
ギブソンは、パンデミック援助詐欺が多発しているが、その原因の少なからずは本人確認と調整の弱さにあると指摘した。 たとえば、ひとつの社会保障番号が29の州で失業保険の請求に使われていることを指摘した。
社会保障番号やその他の手段によるID詐欺はよくあることだが、ギブソン氏は、ID泥棒を止めようとすることだけが問題に対する答えではない、と強調した。
「ID窃盗を阻止することで問題を解決しようとするのではなく、ID窃盗がすでに起こっていることを認識した上で、いかにして強固な認証を得るかということに焦点を当てる必要がある」とギブソン氏は言う。
データ漏洩は後を絶たない
データ漏洩の根本的な原因として、また結果として、アイデンティティはしばしばその根源にある。
午前中のセッションでは、ID盗難リソースセンター(ITRC)の最高執行責任者(COO)であるジェームズ・リー氏が、同センターが発表した2021年末のデータ漏えい報告書から重要なデータをいくつか紹介した。 なかでも、2021年はデータ漏えいの過去最悪の年であり、1,862件のインシデントが2億9,400万人の被害者に影響を与えたという事実が注目される。
リー氏によると、データ漏洩で盗まれるデータ属性のトップはユーザーの名前、次いで社会保障番号だという。 とはいえ、詐欺のフォーラムでは、盗まれた社会保障番号が1つ2ドルで売られているという。 対照的に、電子メールアカウント、特にGmailアカウントに関連するログイン名とパスワードは、それぞれ80ドルの価値がある。
イベントの初日は、アイデンティティと認証のさまざまな側面に関する2つのパネルで締めくくられた。 政府がアイデンティティを調整し改善するために行っていることに関するパネルディスカッションでは、TSAのスクリーニング技術統合プログラム(STIP)支部長のジェイソン・リム氏、米国一般調達局アイデンティティ担当エグゼクティブディレクターのフィル・ラム氏、経済政策アドバイザー兼立法顧問のティム・ワイラー氏、ビル・フォスター米国下院議員、コンシューマー担当エグゼクティブディレクターのケイト・ウェクスラー氏が登壇しましたFirst Coalitionは、それぞれがさまざまな機関が何をしているのかについての見解を詳しく説明しました。
アイデンティティとは、社会のすべての構成員にとって同じではないアクセスに関するものでもある。 これは、エバ・ヴェラスケスID盗難リソース・センター(ITRC)社長兼CEOが主催し、パネリストとしてシンクロニー集中共有サービス担当上級副社長のバーデル・ルイス氏、ファウンドリー・ユナイテッド・メソジスト教会のベン・ロバーツ牧師、ペニー・フォワード・アンド・コミュニティ・メンバーのクリス・ピーターソン氏とともに登壇した、この日の最後のパネルにおける主要テーマであった。
日目:強力な認証の未来
イベント2日目のオープニング基調講演では、ホワイトハウス行政管理予算局(OMB)のエリック・ミル上級顧問が基調講演を行い、政府における強力な認証の方向性について概説した。
ミル氏は、2021年秋にOMBが連邦政府ゼロ・トラスト戦略の草案を発表し、フィッシングに対する防御を重要な優先事項として定義したことを指摘した。 ミルズ氏によれば、フィッシングは敵が企業内に足がかりを作る最も一般的な方法の一つであり、政府はこの種の攻撃に対する防御を桁違いに強化することに注力したいという。
「私たちは、フィッシングに耐性のない多要素認証方式を使用しないことについて、連邦政府民間機関のための明確な基準線を作ろうとしています」とミルズ氏は言う。
ミルズ氏は、PIV(Personal Identity Verification)カードは政府で一般的に使用されており、フィッシングの抑止力として効果的であると指摘した。 また、FIDO WebAuthnプラットフォームの認証機能についても、より広範なアプローチが必要だと付け加えた。
「私たちは、PIV、FIDO、ウェブベースの認証機能が連邦政府全体で混在して使用され、フィッシングの文脈では他の脆弱な方法が使用されなくなることを本当に期待しています」とミルズ氏は言う。
ゼロ・トラスト戦略は会議の翌日に正式に発表され、FIDO認証のようなフィッシングに強いMFAの使用を求めている。
FIDO アライアンスの強力な認証とIDへの取り組み
基調講演では、 FIDO アライアンスのエグゼクティブディレクターであるAndrew Shikiar氏が、強力な認証の状態を改善するために彼の組織が進めている進捗状況とイニシアチブについて概説しました。
Shikiar氏は、FIDOが対処しようとしている必要性は、単に多要素認証(MFA)のチェックボックス項目になることではなく、むしろ今日のネットワーク社会に不可欠な接続されたサービスを保護するための真の基盤となることだと強調した。
シキアールは、2022年はMFA攻撃が主流になる年になるだろうと予測している。 FIDOが提供するフィッシングに強いアプローチを持つことは非常に重要である。 フィッシングに強いMFAと強力な認証の必要性は、複数の政府によってベスト・プラクティスとして挙げられている。
「パスワードはユビキタスであり、ウェブのDNAの一部なので、私たちの生活の一部です」とシキアー氏は言う。 「簡単に言えば、私たちは彼らに取って代わる必要がある。
MFAへの障壁と身元証明の改善の必要性
政府と産業界がどのように認証を再考しているかについてのパネルでは、パネリストたちが、何が採用を妨げているのか、そして次に何が必要なのかについて洞察を示した。
MicrosoftのID標準担当ディレクターであるPam DIngle氏は、強力な認証とMFAの必要性についての認識がある一方で、それが常に実装されていない理由はいくつかあるとコメントしています。 MFAを導入しない組織のタイプの1つは、MFAに何らかの組織の障壁がある場合だ。
「そのため、顧客は私たちのところにやってきて、正しくやる必要があることはわかっているが、レガシー・テクノロジーを持っている、あるいは採用できない他の理由がある、と言うのです」とディングルは言う。 “他のみんなにとっては、それは人々のリストに載っていると思う。”
Guidehouse社のChristine Owenサイバーセキュリティ部門アドバンスド・ソリューション・ディレクターは、MFA導入の課題はサービスアカウントにあるとコメントしている。 オーウェン氏は、こうしたタイプのアカウントにMFAを追加することは、必ずしも容易ではないと指摘した。CISAのグラント・ダッシャー(Grant Dasher)氏は、同団体の見解として、IDは明らかにゼロ・トラスト・アーキテクチャーの基盤であると指摘した。 実際、CISA は最近のガイダンスの中で FIDO を認証のゴールド・スタンダードとしている。
所定の ID が実際に真正であることを保証するのに役立つのが ID プルーフィングの領域であ り、ID 文書および属性の初期検証にも役立つ。 午後のパネルディスカッションでは、FIDO アライアンスの認定プログラムディレクターであるRae Rivera氏が、IDプルーフィングのための認定プログラムを作成するための継続的な取り組みについて概説しました。
米下院金融サービス委員会のブライトン・ハスレット顧問は、身元証明の分野における新たな規制は、実際の情報に基づく必要があることが重要だと指摘した。
「この分野での最大の脅威は、誤解と恐怖から生まれる法律や規制だと思います」とハスレットは言う。 「新しい技術の規制を急ぐのは、それが現実のものであろうとなかろうと、たいていの場合、悪い結果を軽減しようとするものだ。
強力な認証、アイデンティティと銀行システム
アイデンティティを保護するための強力な認証の必要性は、金融部門とその政府 規制当局にとって極めて重要である。
「FDICのチーフ・イノベーション・オフィサーであるスルタン・メグジ氏は、「米国の金融セクターにリスクをもたらしている多くのものを見てみると、それらはすべてアイデンティティに支えられている。
メグジの意見は、FinCENデジタル・アイデンティティ、インクルージョン、デジタル決済インフラ担当のケイ・ターナー上級参事官も同じだった。 FinCENの金融部門における役割は、銀行秘密法の主要な管理者であり、米国の金融情報部門であり、不正金融、マネーロンダリング、テロ資金対策のような関連犯罪の防止を支援することである、と彼女は指摘した。
「アイデンティティはすべての金融サービスの核心であり、信頼の核心です」とターナー氏。 「だから、リスクを評価する能力は、誰と関わっているかを把握する能力と同じ程度にしかないと認識している」。
米国財務省のエリザベス・ローゼンバーグ次官補(テロ資金供与・金融犯罪担当)の基調講演でも、ターナーの意見が多く聞かれた。
ローゼンバーグ氏は、金融システムを悩ませている重大な問題の多くは、誰が誰と取引しているのかを容易かつ確実に把握できないことに起因していると述べた。
「政策的な問題として、デジタルIDは、国家安全保障と金融安全保障を守る方法を即座に劇的に改善する可能性を秘めている」とローゼンバーグ氏。
ローゼンバーグ氏は、単にIDのための強力な認証の重要性を認識するだけでなく、米国財務省は2022年をデジタルIDのためのアクションの年としてアプローチしていると述べた。
「来年のアイデンティティ・フォーラムが開催されたときに、同じ問題に取り組んでいたのでは困ります」とローゼンバーグ。 “少なくとも、私は今と同じような問題が今と同じ程度に頻発するのを見たくないし、財務省はその実現に尽力している”
閉会基調講演では、 ホワイトハウス国家安全保障会議(NSC)のキャロル・ハウス・サイバーセキュリティ&セキュア・デジタル・イノベーション担当ディレクターも、IDが国家安全保障にとって極めて重要であると指摘した。
「私たちが目にしてきた多くのサイバー事件は、多要素認証ソリューションの導入を含む、より強力なIDおよびアクセス管理ソリューションによって阻止できたかもしれない侵害のベクトルを含んでいます」とハウス氏は述べた。
