ブレット・マクダウェル(Brett McDowell)氏、FIDOアライアンス事務局長

多くの民間および公共部門の組織が、NISTの重要インフラサイバーセキュリティ改善フレームワークに注目しています は、2014 年 2 月に、確固たるサイバーセキュリティ戦略を構築するためのガイドとして初めて公開されました。 しかし、最新のサイバーセキュリティ戦略の重要な部分の1つである、多要素認証(MFA、別名強力な認証)に関する推奨事項が元のフレームワークに欠けています。 この除外は、 NISTによると 2013年から2014年にかけての認証に関連する課題(セキュリティと相互運用性を促進するための標準の欠如、利用可能なソリューションに固有のユーザビリティの課題など)が原因でした。

今日まで早送りすると、NISTはフレームワークの草案を更新しました。 FIDOアライアンスは、提案されたアップデートをレビューし、コメントする機会を歓迎しました。 私たちが提出したコメントの全文は、 FIDOアライアンスのウェブサイト

FIDOアライアンスはコメントの中で、NISTがフレームワークの次の更新で表現を明確にし、MFAを明示的に要求することを推奨しています。 私たちは、NIST に、フレームワークのコアに新しい「認証」サブカテゴリを追加し、「許可されたユーザーの認証は複数の要素によって保護される」という推奨事項を提言するよう求めています。 この文言で MFA を明示的に取り上げることは、脆弱な認証によって増大するリスクに政府 と業界が対処するために必要であり、フレームワークの適切な更新の一部となるべきである。

FIDOアライアンスが強く支持するフレームワークの更新案には、ID中心のポジティブな変更がいくつかありますが、MFAを明示的に推奨する必要があります。 フレームワークが最初に公開されて以来、肯定的なものとそうでないものの2つのことが起こり、今日のサイバーセキュリティを改善するためのフレームワークには強力な認証が不可欠な要件となっています。

まず、朗報です。 2014 年に強力な認証を実装することに関連する課題は、フレームワークから MFA を除外することになりましたが、NIST やその他の標準化団体や世界中の政策立案者との官民、マルチステークホルダーの協力を通じて、業界によって対処されてきました。 特に、FIDOアライアンスは、よりシンプルで強力な認証のためのオープンな業界標準の包括的なフレームワークを提供し、状況を根本的に変え、フレームワークの著者が最初に観察したギャップを埋めました。 これらのオープンな業界標準は、信頼されている ブランドやテクノロジープロバイダー は、実績のある公開鍵暗号技術を活用してセキュリティを強化し、プライバシーを保護し、デバイス上のユーザー検証を行うことでオンライン認証を改善し、使いやすさを向上させています。

現在、FIDOエコシステムには、世界中で数億台のFIDO準拠デバイスと数十億の準拠アカウントが含まれています。 しかし、2014年以降の強力な認証の進歩はこれだけではありませんが、大規模な業界主導のマルチステークホルダーイニシアチブが市場の課題にどのように対応し、NISTがフレームワークを更新する際に認識しなければならない根本的な方法で状況を変えたかを示す重要な例です。

さて、悪いニュースです。 単一要素パスワード認証によって引き起こされる問題は、ユーザーのプライバシーを確保し、シングルジェスチャーのユーザビリティの革新を可能にする強力な認証標準の必要性に対処するために業界が大きな進歩を遂げたにもかかわらず、悪化の一途をたどっています。 つい先週、Verizonのデータ侵害調査レポートは、 昨年のハッキング関連の侵害の81%は、盗まれたパスワードまたは推測可能なパスワード/解読可能なパスワードに起因していました 前年の63%から上昇した。 これ その結果、元DHS長官のMichael Chertoff氏が最近指摘したように、「パスワードは今日のサイバーセキュリティにおいて群を抜いて最も弱いリンクである」というサイバーセキュリティのソートリーダーの間でコンセンサスが生まれています

多要素認証が重要インフラのサイバーセキュリティを向上させるための重要な要件であることは間違いないし、NISTがフレームワークの次の更新で要件として含めるべきであることは間違いない。