fbpx

妥協のないIDおよびアクセス管理(IAM)

I.ワープスピードでつまずく:今日の企業の肖像

ITとビジネスの幹部には、本質的に矛盾しているように見える2つの戦略的指令が課せられます。彼らは最高のレベルのセキュリティとリスク管理を提供すると同時に、ビジネスとその人々が高速で摩擦のない速度で業務を遂行できるようにする必要があります。

アプリケーションごとのID管理は負担です

あらゆる規模の企業は、クラウド、オンプレミス、およびモバイルアプリケーションの急速に成長しているモザイクへの安全なアクセスを効果的に提供するという課題に直面しています。部門のシャドウIT組織が購入したエンタープライズITグループによって認可されているかどうかに関係なく、個別にプロビジョニングされたアプリケーションは、複数の運用上の悪影響を伴う大きな管理負担をもたらします。

  • 手動でのオンおよびオフボーディングによって時間とお金が浪費され、パスワードを失ってしまった。
  • 脆弱で覚えやすいパスワード、および資格情報がすぐに取り消されない元従業員によるシステムアクセスによるセキュリティリスク。
  • 誰がどのアプリケーションにどこからアクセスしたかを把握できない。

その結果、企業やユーザーは、安全なスピードでの運用を妨げるさまざまな障害に直面しています。せいぜい、アプリケーションへのアクセスを要求するユーザーは、十分な速度でアクセスできない、またはまったくアクセスできないと不便です。最悪の場合、今日のITフットプリントは大きく多孔性であるため、アプリケーションがエンタープライズ環境にセキュリティの脆弱性をもたらすと、企業はヘッドラインを作るデータ侵害に直面します。

さらに、オンプレミスポートフォリオを持つ企業は、ハイブリッドクラウド/オンプレミスソフトウェア環境により、さらに複雑になります。良いニュースは、クラウドベースのIDおよびアクセス管理(IAM)の最新バージョンが登場し、毎日の仕事に使用する何千ものアプリケーションに簡単かつ安全にアクセスできるようになったことです。

スピード、セキュリティ、整合性を実現

実際、IAMは、CIOの3つの主要なテクノロジー要件の交差点にあり、アプリケーションへの投資全体の価値を最大化しながら、新しいレベルの整合性、セキュリティ、優れた運用を推進します。IAMイニシアチブの内部賛同を得るために、Forrester は包括的な課題の戦術的本質を提示することを推奨しています。

IAMをビジネスの俊敏性に促進します。従業員は、ヘルプデスクが適切なレベルのアプリケーションへのアクセスを許可するか、パスワードをリセットするのを待つ時間を費やします。彼らはまた、20の異なるアプリケーションに対して20の異なるパスワードを覚えておく必要があり、アプリケーションへのログインとログアウトに時間を費やすとき、彼らは自分の仕事に集中していません。IAMプロセスを自動化すると、従業員の生産性が向上し、フラストレーションが軽減され、仕事に集中できるようになります。顧客に快適なIAMエクスペリエンスを提供しないと、顧客が船を飛び越えて別の場所に行くことに直接つながる可能性があります。

このホワイトペーパーでは、アプリケーションへのアクセスがビジネスの俊敏性にどのように影響するかを探り、企業がシステムリスクを削減しながら、最大速度で運用し、洞察とガバナンスを獲得できるIDaaSの新しいID管理ソリューションについて説明します。

II.アプリケーションポートフォリオの再考:新しいレバレッジ、新しいリスク

ハイブリッドクラウド/オンプレミスソフトウェア環境は、エンタープライズコンピューティングの主流であり、ソフトウェアリソースとビジネスの整合性を担当するIT組織と、専門のクラウドアプリケーションへの高速アクセスを望む部門との間の妥協点を表しています。ただし、分散コンピューティングに対する止められない勢いは、大きなエンタープライズアプリケーションポートフォリオをますます複雑化し、管理されずに公開するため、非常に問題があります。

スピードと完全性のバランスを打つ

具体的には、エンタープライズアプリケーションポートフォリオの止められない成長と流動により、コンプライアンス、アクセス、コスト、使用状況のパラメーターを完全に理解することはほぼ不可能になっています。しかし、アプリケーションは組織の生産性の生命線です。IT組織は、セキュリティ、ユーティリティ、およびエンタープライズガイドラインへの準拠を評価しながら、人気のあるアプリの使用を一時停止する余裕はありません。さらに悪いことに、多くのアプリケーションは部門によって支払われるため、ITは企業環境への導入をほとんど制御できません。

これらのアプリケーションのジレンマにより、企業は必要なアプリケーションへの高速でスムーズなアクセスをユーザーに許可することを目的とした速度と、セキュリティ、制御、コンプライアンス、およびガバナンスとこれらのリソースの整合と見なすことができる整合性のどちらかを選択することを企業に強いています。以下の図は、関連するトレードオフを特徴づけ、速度と整合性を妥協することなく共同で追求できる機会を強調しています。

問題:スピードと誠実さの間の強い選択

  • 業務外の象限:この象限の企業は最悪の位置にあり、整合性が非常に低く、速度が遅いため、セキュリティインシデントや、より革新的な企業が通過するリスクに脅かされています。
  • 封鎖の象限:ここの企業は非常に高いレベルの整合性を持っていますが、厳しいソリューションと規制の束縛によってビジネスが妨げられ、ビジネスソリューションを迅速に採用できず、最適な速度で実行できません。
  • シャドウITの象限:ここの企業は非常に高速で稼働していますが、重要なチェックとバランスが欠落しているため、大きなリスクがあります。これは、ITが完全に機能しているシャドウITであり、組織は可視性がゼロに妨げられており、重大なセキュリティの脆弱性を露呈しています。
  • エンタープライズアイデンティティ管理の新しいモデルという「魔法の」象限:IDaaS は、速度と整合性の両方を組み合わせたID管理の新しいモデルの導入に成功しました。今日、何千もの企業がIDaaS を使用して安全なアクセスを維持しながら、ビジネスの速度をすでに実現しています。

III.ID管理の新しいモデル

IDaaSは、企業が最大速度で運用できるようにする新しいクラスのソリューションを提供すると同時に、洞察とガバナンスを提供し、リスクを軽減する整合性を提供します。この新しいクラスのID管理は、リアルタイムで4つの主要な企業要件を満たします。

  • シングルサインオン(SSO)を超えて、サードパーティのアプリケーション、認証ソリューション、カスタム統合と簡単に統合できるクラウドベースのディレクトリに拡張します。
  • 従業員、請負業者、パートナー、顧客など、企業データに触れるすべてのタイプのユーザーにユニバーサルリーチを確立します。
  • 導入と使用を容易にするために、ITユーザーとビジネスユーザーに超便利を提供します。
  • すべてのユーザー、デバイス、アプリケーションにわたってビジネスの整合性を確保し、全体的、効率的、安全で準拠したアクセス制御を提供します。

これらの機能は、ID管理分野の革新者としてIDaaS業界の認識を得ています。Forresterは、「Forrester Wave™:B2E Cloud IAM、2015年第2四半期」で次のように述べています。

IDaaSは、モビリティサポートの拡張を計画している認証のソートリーダーです。ソリューションは、このForrester Waveで評価された他のソリューションよりもはるかに複雑ではありません。ユーザーディレクトリの構成と統合、アクセス管理ポリシーの管理、およびポータルからのエンドユーザーセルフサービスに対する卓越したサポートがあります。

IDaaSソリューションの強力なシンプルさは、洗練されたコンセプト、6つの主要な要素を統合するIDコントロールプレーンに基づいています。

  1. オンボーディングとエンゲージメント
  2. オフボーディングと失効
  3. ガバナンスとコンプライアンス
  4. 分析
  5. コンテンツ検索
  6. アプリの展開

アイデンティティ管理ソリューションの新しいクラス

最高の完全性とセキュリティ-運用速度- アプリへの投資を最大化

アイデンティティコントロールプレーン

このコンセプトにより、IDaaSはアイデンティティ管理を戦術的な根拠から引き上げます。IDコントロールプレーンは、以前はスタンドアロン機能であったIDおよびアプリケーション管理の6ダースの重要な要素を統合し、同時にセキュリティとコンプライアンスに見合ったスピードと俊敏性を実現し、企業がIDをすべてのIT決定に組み込むことを可能にします。

重要なことに、IDaaSソリューションは、ID プロバイダー(ユーザー)とサービスプロバイダー(会社)の間で認証および承認情報を交換するためのオープン標準のデータ形式であるSecurity Assertion Markup Language(SAML)をサポートしています。2001年の発売以来、2005年にバージョン2.0にアップデートされて以来、SAMLは事実上の業界標準になり、アプリケーションプロバイダーに認められ、顧客から指定されています。

IDaaSは、当初からSAMLの採用を主導してきましたa 。これは、顧客のニーズと好みに合わせたポジションです。Pandora Internet Radio などの多くのIDaaSユーザーは、SAMLをサポートしない新しいクラウドアプリケーションを購入しません。重要なアプリがSAMLをサポートしていない場合、IDaaSはソフトウェアベンダーを支援し、samltool.com などのリソースでSAMLを有効にします。

IV.IDaaSの経済的事例

Forresterは、IDaaSを使用して18か月の経験を持つ既存の顧客にインタビューし、IDaaSに関連する利点、コスト、リスクをよりよく理解しました。インタビューした顧客は匿名を希望しました。3年間で計算された結果は非常に良好です。分析によると、リスク調整後のROIは356%であり、3年間で584,557ドルの利益と128,710ドルのコストがあり、正味現在価値(NPV)は456,387ドルに相当します。

IDaaSに関連する利点:

  • ユーザーの生産性の向上:クラウドベースのシステムおよびアプリケーションへの高速アクセス— $ 566,092。
  • パスワードリセットの減少に関連するサービスデスクの労力の削減—$4,029。
  • IDaaSのコネクタを使用した新しいシステムとのより迅速な統合— $ 14,436。

Forresterが述べた調査では、「コストと利益のリスク調整済みROIと正味現在価値(NPV)は依然として説得力のあるビジネスケースを示しているため、プロジェクトを脅かすリスクがあったため、投資が成功する可能性が高いという確信が高まっています。考慮に入れて定量化します。リスク調整後の数値は、リスクを考慮した期待値を表すため、「現実的な」期待値と見なす必要があります。」この調査から、読者はIDaaSの導入がITリソースを解放して他のタスクを実行するなどの追加のメリットにつながることをさらに推定できます。

V. 今日のハイブリッド環境で妥協のない運用

クラウドアプリケーションとオンプレミスアプリケーションが混在するハイブリッドソフトウェア環境は、今日の企業では標準となっています。IDaaSの最近の新しい仮想LDAPサービスの導入により、SAMLおよびWS-Trustを介したフェデレーションをサポートするアプリケーションを超えて、同社のアプリケーションの適用範囲が拡大しました。新しいLDAPサービスは、EAP-TTLS などの強力な認証方法を含む完全なRADIUSプロトコルのクラウドベースのサポートと組み合わせて、この分野でのIDaaSの提供をさらに強化します。

エンタープライズアプリケーションの「ロングテール」

CAやOracleのような従来のオンプレミスのIDおよびアクセス管理ソリューションは、組織が現在使用している最新のクラウドアプリケーションの使いやすさと互換性がありません。これらのアプリケーションをレガシーIAM製品と統合するには、数日から数週間かかることがあります。

労働集約型の統合は、すべての従業員が使用するアプリケーションには正当化できますが、比較的少数のユーザーが組織全体で使用する何百ものアプリケーションの「ロングテール」には適していません。

これらのアプリケーションは、レガシーIAM統合から除外される傾向があり、セキュリティの脆弱性と、ユーザーを混乱させ、生産性を浪費するバラバラなアプリケーションアクセスエクスペリエンスを生み出します。高いヘルプデスクのコスト、低生産性、弱い規制遵守と重大なセキュリティ露出が直接結果です。

ネイティブクラウドソリューションの利点

IDaaSのようなネイティブクラウドID管理ソリューションには、明確な利点があります。オンプレミスのIAMソリューションは、その複雑さ、独自の性質、高レベルのカスタマイズ作業、遅い統合で知られていますが、IDaaSは、シンプルさ、スケーラビリティ、俊敏性、標準ベースの統合、コラボレーション、およびスピードと同義です。

5,000を超えるアプリケーションがすでにIDaaSと事前に統合されており、標準ベースのインターフェイスを介して新しいアプリケーションをすばやく追加できます。IDaaSを使用すると、IT組織はすべてのエンタープライズアプリケーションにID管理を簡単に適用して、速度、セキュリティ、および整合性を劇的に向上させることができます。企業は、生産性の向上、ヘルプデスクコストの削減、規制遵守の強化、セキュリティ体制の向上など、現代の企業のすべての最優先事項をすばやく実現できます。

リモートワークのセキュリティと生産性のリスク

前書き

新型コロナウイルス(Covid-19)の危機により、グローバルビジネスは、前例のないさまざまな方法で業務を変更することを余儀なくされました。パンデミックの蔓延を乗り越えて阻止するために、世界中の組織は、従業員が自宅の境界から仕事と生産性を維持しなければならないという厳格なリモートワークポリシーを採用しています。これは、さまざまな社会的および個人的な重大な課題をもたらしますが、その変化はまた、事業運営の維持に重大な課題をもたらしました。そして残念なことに、この変化がどのくらい続くのか、そして最初の危機が回避された後にそれがどのような影響を与えるのかについての洞察はほとんどありません。

多くの組織は、従業員が完全にリモートでいる準備ができていません。彼らにはプロセスがなく、テクノロジーもありません。最も重要なのは、従業員が企業のアプリケーションやデータに安全にアクセスできるようにするための適切なセキュリティ対策がないことです。そして残念なことに、突然の変化により、企業はセキュリティを危険にさらさないようにするために必要な適切なテクノロジーを実装するための迅速な決定を行わなければなりません。

適切なセキュリティ対策を確実にしながら、チームがリモートでの作業にシームレスに移行するための最も効果的な方法の1つは、IDおよびアクセス管理(IAM)ソリューションを実装することです。IAMソリューションを使用すると、組織は、あらゆるデバイスの任意の場所から安全、シームレス、スケーラブルな方法でテクノロジーに接続できるようになるため、変化してもビジネスの生産性は維持されます。

この電子書籍では、IAMソリューションの実装がリモートワーカーの成功に不可欠である主な理由について説明します。

リスク1:従業員はアプリケーションへの簡単で安全なアクセスを必要としています

変更時にビジネスと従業員の生産性を維持するための最も重要な要素の1つは、ビジネスに不可欠なアプリケーションの可用性です。従業員は、複数のパスワードを覚えたり、複数のアプリケーションを追跡したりすることなく、リモート作業にシームレスに移行する必要があります。アクセスに関する戦略とプロセスがなければ、最終的に多くの生産性が失われる可能性があります。すべての従業員が、保護されていないネットワーク上の自宅から各アプリケーションにログインしようとしていると想像してみてください。これはセキュリティに影響を与えるだけでなく、従業員がビジネスを実行するために必要なものにアクセスするためにスクランブルをかけるため、生産性も妨げます。

IDおよびアクセス管理ソリューションは、重要なビジネスアプリケーションすべてにアクセスできる単一の安全なパスワードを備えた単一のポータルを提供します。シングルサインオン(SSO)を使用すると、ユーザーはWebアプリケーションにアクセスするために1セットの資格情報を入力するだけで済みます。さらに、プロビジョニングにより、IT部門は離れた場所から従業員のオンボードおよびオフボードをすばやく行うことができます。

リスク2:企業データの管理を失うリスク

従業員がリモートの場所や安全でない接続からログインすると、リモートアクセスのほとんどの方法がセキュリティの脅威に対して脆弱になるため、企業データの制御を失うリスクがあります。あなたはもはや企業の内部ネットワークのカバー下になく、セキュリティレビューを実装することができず、従業員が管理されていないデバイスからアプリケーションにアクセスしている可能性があります。そして残念なことに、非常に多くの企業は100%リモートの労働力に備えていないため、組織はアクセスポリシーを変更し、IPアドレスのホワイトリストを削除し、VPNがない場合に直接アクセスを許可する場合があります。

リモートの労働力は非常に脆弱である可能性があるため、弱いセキュリティ態勢とパンデミックに対する人々の不安と恐怖の両方を利用しようとする多数のCovid-19サイバー攻撃が見られます。悪意のあるリンクをクリックするか、刺激小切手のデポジットのために財務情報へのアクセスを提供するように受信者に促す偽の電子メールフィッシング攻撃が確認されています。また、データや情報を盗むスパイウェアを含む偽のCovid-19情報Webサイトも見られます。そして、これが続くことを期待しています。

IAMソリューションを実装することで、さまざまな方法でリモートワーカーを保護できます。ワーカーは1セットの資格情報を維持して、アプリケーションにアクセスしたり、RADIUSエンドポイントを使用してVPNに接続したりできます。さらに、機械学習機能を活用する多要素認証(MFA)を実装することで、危険な動作やログインを自動的に検出できます。場所、デバイス、アプリケーションへのアクセス、時間帯などの一般的なユーザー行動のさまざまなプロファイルを生成し、認識されたリスクに基づいてさまざまな認証要素を適用するリスクスコアを提供します。したがって、SmartFactorが悪意のあるログイン試行を検出した場合、ユーザーにさまざまな認証要素を要求したり、アクセスを完全に遮断したりできます。尚、VPNを既に社内ネットワークにつないでいる場合、IAMを導入する事でゼロトラストを実現できます。ゼロトラストを実現する一つの手段として検討するのもありでしょう。

リスク3:従業員はクラウドアプリケーションとオンプレミスアプリケーションの両方にアクセスする必要があります

多くの組織には、クラウドに存在するアプリケーションとオンプレミスに存在するアプリケーションがあります。そして歴史的に、これらの環境へのアクセスは、しばしば別々に管理されます。従業員が重要なオンプレミスアプリケーションにアクセスできない場合、生産性の損失、収益の損失、および顧客サービスへの影響という非常に深刻なリスクを負うことになります。

ハイブリッド環境で動作できるソリューションがないと、管理の複雑さ、生産性の低下、コストの増加、セキュリティの脆弱性などの影響を受けます。クラウドとオンプレミスアプリケーションの間のギャップを埋めるために、すべてのディレクトリ、ユーザー、および認証ポリシーの管理の中心点になります。

組織がMicrosoftリモートデスクトップゲートウェイ(RDG)サーバーまたはリモートデスクトップWeb (RDWeb)を使用してオンプレミスのWindowsサーバーまたはデスクトップにアクセスする場合はどうなりますか?

リスク4:リモートでのオンボーディングとオフボーディングは時間がかかり、労働集約的です

手動のユーザー管理はエラーが発生しやすく、非常に手間がかかります。ここで、ITチームが従業員をリモートで100%プロビジョニングする必要があると想像してください。アクセスプロビジョニングには通常、ユーザーアカウントの作成、パスワード管理、アプリケーションプロビジョニングなど、さまざまなアクティビティが含まれます。多くの組織では、これらすべてが新入社員のコンピューターで手動で行われるか、IT部門がその一部を行い、ユーザーが残りの作業を完了します。そして、従業員が手放されてアクセスを遮断する必要がある場合はどうでしょうか?100%リモート環境にいる場合、プロビジョニング解除は、従業員が最終日にコンピューターを降ろすほど簡単ではありません。

IAMソリューションを使用すると、管理者はプロビジョニングとプロビジョニング解除のプロセスをリアルタイムでリモートで合理化および自動化できます。ルールと資格を設定することで、組織全体のさまざまな役割とレベルのプロビジョニングを自動化できます。また、オフボーディングのために、管理者はアクセスを数秒でシャットダウンするための「キルスイッチ」を備えています。

リスク5:パスワードのリセットとロックされたアカウントはIT部門を圧倒する可能性があります

IT部門とヘルプデスクは、リモートでの作業効率の要です。すべての従業員がリモートで作業している場合、どのようにスケーリングしますか?IT部門は、パスワードのリセット、アカウントのロックアウト、接続の支援などのタスクにすぐに圧倒されます。Gartner によると、Covid-19より前のバージョンでは、一般的な組織のヘルプデスクチケットの50%以上がパスワードのリセットに関連しています。これは、完全に遠隔地の労働力によってのみ増加します。さらに、アカウントのロックアウトは、リモートワーカーにとって特に有害である可能性があります。従業員が不満を感じて生産性に影響を与えるだけでなく、操作が遅くなり、ロックアウトされた従業員が顧客に直面している場合、顧客サービスと収益に影響を与える可能性があります。

IT部門は、手軽で簡単な方法で、Active Directory(AD)、および重要なアプリケーション全体でパスワードの変更を同期できます。ユーザーがパスワードを忘れた場合やパスワードの有効期限が切れた場合、ADのパスワードを直接プロアクティブに変更できるため、IT部門はかなりの時間を節約できます。

結論

新型コロナウイルス(Covid-19)後に労働力がいつ正常に戻るかはわかりません。また、検疫措置が終了しても、労働力は本当に正常に戻るのでしょうか?eリモート作業は非常に大きな方法で行われるため、組織はデータのセキュリティとシステムへのアクセスを確保する必要があると考えています。適切な対策が講じられていないと、リモートでの作業により、組織は無数の生産性とセキュリティの課題に直面します。

リモートの労働力を有効にするのに役立つIAMソリューションの実装を待つ時間が長くなるほど、組織が受けるリスクは大きくなります。変化の際にビジネスの生産性を確保するために必要なテクノロジーを人々に安全に結び付けることができます。

 

SSOとMFAがセキュリティを向上させる方法を理解する

今日、IT部門はあらゆる面から圧迫されています。予算は厳しく、コンプライアンス要件は大きく、ITは組織を安全に保ちながら、従業員、派遣労働者、ギグ労働者、ベンダー、パートナーがグローバルに分散したエコシステムで生産的に作業できるようにする役割を担っています。

今日の競争は激化しているため、企業や組織は俊敏性を維持し、変革を続け、新しい手順、システム、およびソフトウェアを迅速に実装できる必要があります。買収、合併、そして絶えず変化する労働力は、それを容易にするものではありません。

デスクでも、タブレットでも、携帯電話でも、従業員は会社のリソースにすばやくアクセスできることを期待しています。同時に、セキュリティについて妥協することはできません。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の従業員は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

これらすべての要件に対応することは、途方もない仕事です。IT部門はそれを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

SANS Institute1によると、調査対象のITプロフェッショナルの42%がエンドポイントが侵害されたと述べています。そして、2017年は侵害の最高基準でしたが、2018年はそれほど遅れていませんでした。

実際、特に新しいデバイスが急増しているため、侵害のリスクは増え続けています。上級IT専門家の82%は、セキュリティ保護されていないIoTデバイスが組織のデータ侵害を引き起こすと予測しており、80%がそのような侵害は破局的である可能性があると述べています。

データ侵害は間違いなく費用がかかります:

● 純粋なドルの観点から見ると、IBMとPonemonによると、違反に対する1人あたりのコストは148ドルに上昇しています。

● 違反の平均コストは、世界中で368万ドル、米国では790万ドルです。

● 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。

● ビジネスの損失は主に顧客の離職によるものです。消費者の75%が、データを信頼できない企業とは取引をしないと言っているためです。

顧客の喪失に加えて、企業にとってのもう1つの大きな影響は、知的財産(IP)の喪失です。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社が回復するまでには長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は非常に大きく、株価は破壊され、市場価値は約14億ドル減少しました。労働力を70%削減し、本社を移転して費用を節約する必要がありました。

これが、組織や企業に課される規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コスト。ただし、データとIPの保護に失敗すると、さらにコストがかかります。最近のセキュリティ侵害は何が問題になっているのかを示しています:

● Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。

● 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。

● 2016年に、ハッカーによって5700万件のUber顧客レコードが盗まれました。

これらすべての理由により、組織と顧客データを保護するためのテクノロジーと手順に投資することは、多額の投資を必要とします。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、および職務分掌(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、特定のポリシーを実施して遵守するためのポリシー管理が含まれます。

パスワードがコンプライアンス部門とIT 部門の焦点であるのは当然のことです。パスワードもハッカーの焦点です。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

● フィッシング。攻撃者は電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。

● スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報の提供を求めます。

● キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。

● クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。

● ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、ユーザー名とパスワードの可能な組み合わせを生成し、アクセス権を取得します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。

● 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労し、オンラインユーザーの73%がずっと同じパスワードを使用しているのも不思議ではありません。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用と個人用のアカウントに異なるパスワードを作成していません。10 個人のパスワードが侵害された場合、組織のデータも侵害される可能性があります。

IT部門は、強力なパスワードを確保するために、多くの場合、パスワードルールを実装し、それをテクノロジで適用します。最新の推奨事項は次のとおりです。

● 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンは実際にパスワードを予測しやすくします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ Pなどのパスフレーズを選択することをお勧めします。

● ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90 日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増大させるだけであり、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の組織は、パスワードのセキュリティギャップを完全に埋める唯一の方法が、IT ツールボックスにシングルサインオン(SSO)と多要素認証(MFA)の2つのツールを追加することであると認識しています。

セキュアなSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

● 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。

● 複数のアプリやウェブサイトにアクセスする必要がある場合でも、従業員がログインする必要がある回数を減らします。

● ユーザーの身元を確認するために、パスワード以外の追加情報をユーザーに要求する。

● ユーザーがパスワードを忘れた場合でも、簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、1組の資格情報だけで1回ログインすることにより、ユーザーが複数のアプリケーションおよびWebサイトで安全に認証できるシステムです。SSO、ユーザーがアクセスに依存していることをアプリケーションやウェブサイトは、第三者が信頼され、ユーザーは、彼らがあると言う人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのIDを検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを要求するだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の追加の認証情報を要求します。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

● セキュリティとコンプライアンスの向上。

● 使いやすさと従業員の満足度の向上。

● ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。SSOでは、従業員が1日に1回だけログインし、1組の資格情報のみを使用するため、攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与が不要になります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、パスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるため、広く受け入れられ、セキュリティの重要なコンポーネントになっています。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの認証情報を獲得する可能性がありますが、たとえばハッカーに指紋や個人的なセキュリティの質問への回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、機能するユーザー名とパスワードを見つけることができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持ちません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報を取得した場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客サイトにいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。また、必ずしも会社のデバイスであるとは限りません。2016年の調査では、回答者のわずか20%が、個人用の携帯電話またはタブレットを個人的な目的でのみ使用したと述べています。また、モビリティ専門家に関する2018年の調査では、85 %がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると述べています。

それはいいです。SSOとMFAの両方がデバイス間で機能するためです。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。それは、彼らが自分の携帯電話、タブレット、からの情報にアクセスしているかどうかは関係ありません、またはコンピュータMFAの適応し、検証するための適切な追加データのためにそれらを要求する彼らのアイデンティティを。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加の情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。あなたはのユーザーの厳しい要件かもしれない特定のロケールまたは特定の役割や他の人にはあまり厳格な要件のユーザーのために。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報の使用を許可されます。

そのため、従業員が常に使用しているラップトップを使用していて、通常勤務している場所からログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密性の高い通常とは異なるデータにアクセスしようとすると、電話で追加のログイン情報の入力を求められる場合があります。または、マネージャーが通常のオフィスから離れた地理的な場所からログインする場合、セキュリティの質問に答えなければならない場合があります。

結論

セキュリティに関しては、すべての業界のIT部門が困難な状況にあります。需要は高く、収益、絶え間なく変化する労働力、新技術、グローバルエコシステムに起因します。しかし、失敗のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。2つのテクノロジーが鍵となります。シングルサインオンはハッカーの攻撃対象を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は、従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、組織の情報を保護しながら、俊敏性と生産性を維持できます。

テクノロジー業界のパスワード問題を解決する パスワードの保護は侵害を防ぐための鍵

すべてのビジネスはサイバーセキュリティに苦労していますが、テクノロジー業界よりも失敗の代償を高くするものはないでしょう。あなたのビジネスがテクノロジーであるとき、サイバー犯罪の餌食になることは重大な失敗と見なされます。

それでも、テクノロジー企業には、他の業界と同じ制限と課題があります。厳しい予算、コンプライアンス要件、従業員、パートナー、ベンダー、顧客のグローバルに分散されたエコシステムです。その上、ハイテク企業は他の業界のビジネスよりもはるかに高い変化率に対応しています。競争は熾烈です。特に、ベンチャーキャピタル企業によって燃料を供給され、攻撃的な成長軌道を示しようとするスタートアップにとっては特にそうです。ハイテク企業は機敏で、新しい内部システムとソフトウェアを迅速に実装できる必要があります。テクノロジー業界はまた、買収と合併の割合が最も高いことの1つです。つまり、ITは定期的に新しい要員を組み込み、さまざまなシステムを調整する必要があります。

IT部門は、ユーザーのオンボードとオフボードを迅速に行い、最高レベルのセキュリティを維持しながら、ユーザーが必要なアプリケーションとリソースに簡単にアクセスできるようにすることが求められています。また、今日の労働力は、ラップトップ、タブレット、携帯電話などのさまざまなデバイスを介した常時アクセスを必要としています。

テクノロジー業界では、従業員はテクノロジーに優しく、SaaSソリューションをより迅速に使用する傾向があります。テクノロジー企業は、IT部門が提供するものに加えて、基幹業務の所有者が自分でアプリケーションを選択して導入できるようにする可能性が高くなります。

これらすべての要件に対応することは、途方もない作業です。テクノロジーIT部門は、それを達成する上で極めて重要な役割を果たします。

セキュリティにはコストがかかりますが、違反はさらに深刻です

Ponemon Instituteによると、テクノロジー業界では、調査対象となった17の業界のうち4 番目に多いデータ侵害が発生しています。そして、2017年は侵害の最高基準でしたが、2018年もそれほど遅れていません。

侵害のリスクは、特に新しいデバイスが急増するにつれて、ますます増大し続けています。上級IT専門家の82%が、セキュリティ保護されていないIoTデバイスが組織内でデータ侵害を引き起こすと予測し、80 %がそのような侵害は破局的である可能性があると述べました。

データ侵害は費用がかかります

  • 純粋なドルの観点から見ると、IBMとPonemonによると、テクノロジー業界の違反に対する1人あたりのコストは170ドルに上昇しています。
  • 情報漏えいの平均費用は世界で368 万ドル、米国では790 万ドルです。
  • 米国では、違反によるビジネスの損失は420 万ドルでした。最大の違反(5,000万件以上)により、最大1億1,800万ドルの損失が発生しました。
  • 75%の消費者がデータを信頼できない会社とは取引しないと言っているため、ビジネスの損失は主に顧客の離職によるものです。

テクノロジー企業にとって最大の影響の1つは、顧客を失うことに加えて、知的財産(IP)を失うことです。IPや企業秘密を失うことは実存的な脅威を生み出す可能性がありますが、たとえ競合他社が知識を利用して市場を掘り下げていなくても、会社の回復には長い時間がかかる可能性があります。

たとえば、2011年に、ある従業員がAmerican Superductor(AMSC)のソースコードを盗んで販売しました。AMSCへの影響は計り知れず、その株価は破壊され、その市場価値は約14億ドル減少しました。コストを削減するために、労働力を70%削減し、本社を移転する必要がありました。

これが、防衛などのデリケートな業界のテクノロジー企業に課せられている規制や要件がアクセスに焦点を合わせている理由の1つです。

保護コストは必要です。しかし、企業データとIPの保護に失敗すると、さらにコストがかかります。以下は最近のセキュリティ侵害は何が問題になっているのかを示しています:

  • Appleは、225,000人のiPhoneユーザーの機密情報を入手したマルウェアを発見しました。
  • 最近のFacebook違反で、5,000万人のユーザーの情報が公開されました。
  • 2016年に、ハッカーがUberの顧客レコードを5,700万件盗みました。

これらすべての理由により、企業のデータとIP を保護するためのテクノロジーと手順に投資することは、多額の投資に費やされます。

パスワードは最も弱いリンクです

Sarbanes-Oxley(SOX)などの規制法は、情報セキュリティ、データアクセス、職務分離(SOD)ポリシーに要件を課しています。これらの要件には、アクセス認証の成熟したプロセスと、ポリシーが適切に適用されていることを確認するためのポリシー管理が含まれます。

パスワードがテクノロジー企業のIT部門の焦点であるのは当然のことです。パスワードはハッカーの焦点でもあります。最も一般的な攻撃は、ユーザーの資格情報を取得することを目的としており、パスワードは重要な要素です。これには、次のような攻撃が含まれます。

  • フィッシング。攻撃者は、電話番号または電子メールアドレスのリストを使用して、ユーザーをユーザー名とパスワードを提供する偽のWebサイトに誘導する魅力的な行動を促すメッセージを配信します。
  • スピアフィッシング。攻撃者は、ターゲットグループに関連する巧妙に作成された、信頼できるメッセージを使用して、多くの場合パーソナライズされたコンテンツを使用して、少数の個人グループをターゲットにします。繰り返しになりますが、行動を促すフレーズは、ユーザーに資格情報を提供するようにします。
  • キーロガー。攻撃者は、訪問したサイト、ユーザー名、パスワード、セキュリティの質問への回答など、ユーザーのコンピューター上のすべてのキーストロークをキャプチャするプログラム(多くの場合、ウイルスを介して)をインストールします。
  • クレデンシャルの詰め込み。攻撃者は、盗まれた資格情報ペアを他のサイトの1つのサイトに使用して、さまざまなサイトへのアクセスを試みます。
  • ブルートフォースおよびリバースブルートフォース。攻撃者はプログラムを使用して、アクセス可能なユーザー名とパスワードの組み合わせを生成します。または、攻撃者は多くの異なるアカウントで最も一般的に使用されるパスワード(Password123など)を試します。
  • 中間者(MITM)。攻撃者のプログラムは、ユーザーとアプリの間の相互作用に自分自身を挿入します。次にプログラムは、ユーザーが入力したログイン資格情報を収集します。または、セッショントークンを乗っ取りさえします。

弱い記憶とあまりにも多くのパスワードは問題を悪化させます

これらの攻撃の多くは、ユーザーが異なるパスワードを使用してあまりにも多くのサイトにログインする必要があるという事実に依存しています。そのため、彼らは複数のアカウントで同じパスワードを使用する傾向があります。72%の人がパスワードを思い出すのに苦労しているのも不思議ではなく、オンラインユーザーの73%が複数のアカウントで同じパスワードを使用しています。

パスワードを使用するエコシステムの誰もが問題を提示します。これには、従業員、請負業者、ベンダー、さらには顧客も含まれます。たとえば、従業員の50%は、仕事用アカウントと個人用アカウントに異なるパスワードを作成していません。10 個人用パスワードが侵害された場合、組織のデータも侵害される可能性があります。

多くの場合、IT部門は強力なパスワードを確保するために、パスワードルールを実装し、それをテクノロジーで適用します。最新の推奨事項は次のとおりです。

  • 特殊文字が必要です。以前は、数字と大文字と小文字の組み合わせが推奨されていました。ただし、ユーザーは通常、パスワードの末尾に数字を追加し、単語の先頭に大文字を使用するため、これらのパターンにより、パスワードの予測が容易になります。
  • 長いパスワードが必要です。パスワードの長さが最も影響が大きく、パスワードが長いほど保護が強化されます。ユーザーが覚えやすいように、BrightBlue#25MileRoadM @ P などのパスフレーズを選択することをお勧めします。
  • ユーザーにパスワードの頻繁な変更を要求しないでください。以前は、ハッカーがパスワードを入手した場合に備えて、ユーザーは60〜90日ごとにパスワードを変更することが推奨されていました。ただし、これはユーザーのメモリ負荷を増加させるだけで、覚えやすいパスワードを使用する可能性が高くなり、さらに悪いことに、ポストイットノートやスプレッドシートに書き込む可能性が高くなります。

より強力なパスワードは役立ちますが、安全なパスワードを使用したメモリの問題は依然として問題です。そのため、最先端の企業は、パスワードのセキュリティギャップを本当に解消する唯一の方法が、シングルサインオン(SSO)と多要素認証(MFA)の2つのツールをITツールボックスに追加することであると認識しています。

安全なSSOとリスク対応のMFAは、パスワードセキュリティの黄金の鍵です

シングルサインオンと多要素認証は、ユーザー認証の主要な問題に対処するため、IPと企業秘密を真に保護するために重要です。

  • 従業員が覚えておく必要があるユーザー名とパスワードの数を減らします。
  • 従業員が複数のアプリやWebサイトにアクセスする必要がある場合でも、ログインする回数を減らします。
  • ユーザーの身元を確認するために、ユーザーにパスワード以外の追加情報を要求する。
  • パスワードを忘れた場合でも、ユーザーが簡単に安全にリセットできるようにします。

シングル・サインオン。SSOは、ユーザーが1回のログインで1組の資格情報だけを使用して、複数のアプリケーションとWebサイトで安全に認証できるシステムです。SSOを使用すると、ユーザーがアクセスするアプリケーションまたはWebサイトは、信頼できるサードパーティに依存して、ユーザーが本人であることを確認します。

多要素認証。MFAは、複数の資格情報を要求することによってユーザーのID を検証するセキュリティシステムです。MFAは、ユーザー名とパスワードを尋ねるだけでなく、ユーザーのスマートフォンからのコード、セキュリティの質問への回答、指紋、顔認識など、その他の(追加の)資格情報を必要とします。(2要素認証や2段階認証など、他の名前で呼ばれるMFAを聞いたことがあるかもしれません。)

これらのゴールデンキーのいずれかを追加すると、組織のデータがロックされ、不正アクセスを防ぐのに役立ちます。ただし、両方を追加すると、違反を防止できる可能性が最も高くなります。

SSOには多くの利点があります

シングルサインオンには複数の利点がありますが、従業員は1組の資格情報を使用して一度だけサインインする必要があります。

  • セキュリティとコンプライアンスの向上。
  • 使いやすさと従業員の満足度の向上。
  • ITコストの削減。

SSOのセキュリティとコンプライアンスはほんの始まりにすぎません

ユーザーが新しいアプリケーションまたはマシンにログインするたびに、それはハッカーの機会です。従業員は1日に1回だけログインし、1組の資格情報のみを使用するため、SSOにより攻撃の対象となる数が減少します。

SSOは、機密データにアクセスするユーザーの効果的な認証に関する政府および業界の要件に対処するのに役立ちます。ほとんどのSSOシステムは、ユーザーのアクティビティとアクセスを追跡するための監査証跡も提供します。また、どのSSOソリューションでも自動ログオフを有効にする必要があります。これは、高度に安全な環境で作業している人にとってもう1つの頻繁な要件です。

SSOは従業員の使いやすさを向上させます

アプリごとに個別のユーザー名とパスワードを維持することは、従業員にとって大きな負担になります。率直に言って、それは非現実的です。また、従業員が顧客サイトや遠隔地にいる場合、SSOはさらに重要です。

シングルサインオンは、ユーザーの認知的負担を軽減します。一度サインインすることで、時間とフラストレーションが節約され、従業員の生産性と満足度が向上します。

SSOによりITコストを削減

最後に、SSOはパスワードのリセットを減らすことでITコストを削減します。各アプリで従業員ごとに異なるユーザー名とパスワードが必要な場合、従業員がパスワードを忘れる可能性が高く、パスワードをリセットするためのチケットが山積みになることを意味します。

ユーザーが覚える資格情報のセットが1つしかないため、SSOによってチケットが削減されるだけでなく、ユーザーは自分のパスワードをリセットできるため、ITの関与の必要がなくなります。これは、顧客またはベンダーのポータルの一部として特に役立ちます。

MFAはセキュリティにどのように役立ちますか?

MFAは、広く受け入れられ、セキュリティの重要なコンポーネントになりました。MFAはパスワードを超えてアクセスし、ユーザーが自分の身元をさらに確認する必要があるためです。これらの追加の要因は、ログイン資格情報を取得しようとするハッカーを深刻に苛立たせます。

多要素認証は、ユーザーからの追加の情報または資格情報を要求することにより、攻撃の成功を防ぐために機能します。フィッシング攻撃はユーザーの資格情報を取得する可能性がありますが、たとえば、ハッカーに指紋や個人的なセキュリティの質問に対する回答を提供することはありません。同様に、ブルートフォース攻撃または逆ブルートフォース攻撃は、有効なユーザー名とパスワードを見つけ出すことができますが、攻撃者はMFAシステムが必要とする他の認証要素を知らず、それらの資格情報を持っていません。

同様に、MFAは、追加のセキュリティ層を組み込むことにより、MITMなどのより高度な攻撃に対抗できます。ハッカーまたはプログラムがそれ自体を挿入し、従業員または顧客が入力した情報をキャプチャした場合でも、MFAを設定して、ユーザーが別のデバイスまたはチャネルから資格情報を提供するように要求できます。たとえば、ラップトップからログインする従業員は、OneLogin Protect認証システムなどの電話アプリを使用して、電話からコードを送信してログインを完了する必要がある場合があります。MITMハッカーはユーザーの電話にアクセスできないため、侵害は阻止されます。

デバイス、デバイス、非常に多くのデバイス

あなたの従業員と顧客は単に机にいるだけではありません。彼らは家にいる、バスに乗っている、顧客の外にいる、そしてホテルにいる。仕事にはラップトップ、タブレット、携帯電話を使用しています。そして、それらは常に動作するデバイスではありません。2016年の調査では、個人用にのみ携帯電話やタブレットを使用したと回答した回答者はわずか20%です。11そしてモビリティ専門家の2018年の調査では、85%がモバイルセキュリティの脅威から少なくとも中程度のリスクに直面していると答えています。

そして、それは結構です。SSOとMFAはどちらもデバイス間で機能します。従業員やベンダーは、自分のデバイスから一度だけサインインして、必要なすべてのアプリにアクセスできます。ユーザーが携帯電話、タブレット、またはコンピューターから情報にアクセスしているかどうかは関係ありません。MFAは、適切な追加データを求めて身元を確認します。

適応認証により、従業員のアクセスを合理化できます

SSOは確かに、より合理化されたエクスペリエンスを提供し、ログインを高速化および簡素化します。しかし、MFAではユーザーが追加情報を提供する必要があるため、従業員の生産性に悪影響を及ぼす可能性がありますか?あなたがしたい最後のことは、そのような動きの速い分野で従業員を遅くすることです。さらに、必要な認証要素が多すぎると、ユーザーが不満を感じます。

そこで適応型認証が登場します。

適応認証は、ユーザーが組織のリソースにアクセスしようとする方法を考慮して、主要な認証要素としてトランザクションコンテキストとユーザー動作を追加します。

スマート認証システムは、どこで、どのデバイスで、いつ作業するかなど、ユーザーが通常どのように機能するかを認識しています。ユーザーにとって通常とは見なされない動作は、攻撃を示す可能性があります。適応型MFAは、追加の認証を要求することにより、潜在的な攻撃に対応します。

アダプティブMFAは、組織にアダプティブ認証を実装するときに、特定の従業員または一連の従業員のベースラインログイン要件を決定するため、アクセスを合理化し、従業員の生産性と顧客の前進を維持します。特定のロケールのユーザーまたは特定の役割のユーザーにはより厳しい要件があり、他のユーザーにはそれほど厳密でない要件がある場合があります。

誰かが認証を試みるたびに、リクエストが評価され、リスクスコアが割り当てられます。リスクスコアに応じて、ユーザーは追加の資格情報を提供する必要があるか、逆に、より少ない資格情報を使用することが許可されます。

そのため、従業員がいつも使用しているラップトップを使用していて、通常勤務しているオフィスからログインしようとしている場合、ラップトップ経由でのみアクセスするように求められることがあります。一方、同じ従業員がユーザー名とパスワードを使用して機密データにアクセスしようとすると、電話で追加のログイン情報を入力するよう求められる場合があります。または、マネージャが通常のオフィスから離れた地理的な場所からログインした場合、セキュリティの質問に答えなければならない場合があります。

結論

テクノロジー業界のIT部門は、セキュリティに関しては厳しい状況にあります。需要は高く、収益、絶え間なく変化する労働力とテクノロジー、グローバルエコシステムに起因しますが、障害のコストはさらに高くなります。

最も弱いリンクのいくつか(パスワードと認証)を強化することは、侵害に対する重要な保護を追加する比較的高速な修正です。重要な2つのテクノロジーが重要です。シングルサインオンはハッカーの攻撃面を減らし、多要素認証はパスワード以外の保護を追加します。適応認証により、組織は従業員、顧客、ベンダーなどに負担をかけないスマートな方法でセキュリティを追加できます。これらのテクノロジーを組み合わせることで、データと知的財産を保護しながら、俊敏性と生産性を維持できます。

OneLoginについて

OneLoginは統合アクセス管理のリーダーであり、組織がWorld™にアクセスできるようにします。あらゆる規模の企業が、OneLoginを使用して会社のデータを保護する一方で、IT管理者とエンドユーザーの効率を高めています。

私たちのアイデンティティ管理ソリューションの実装は、数日ではなく数時間で達成でき、フル機能の管理およびセルフサービスポータルを提供します。オンプレミスおよびクラウド/ SaaSアプリケーションを処理する当社の能力により、ハイブリッドエンタープライズでサービスとしてのアイデンティティを選択するベンダーが選ばれました。多要素認証、スマートフォンやタブレットでのワンクリックアクセスのためのモバイルID 管理、およびリアルタイムのディレクトリ同期により、保護がさらに強化されます。

MFAが企業とその顧客を保護する方法

企業には問題があります。そして、それは成長しています。米国では、データ漏えいにさらされたレコードの数は、2017年の1億9,800万から2018年には4億4,600万に増加しました。Microsoftによると、フィッシング攻撃は2018年に250%増加しました。ランサムウェア攻撃も増加しています。サイバースパイや伝統的なサイバー犯罪も同様です。最近の攻撃の一部を次に示します。

  • 2018年- 暗号化されたクレジットカード情報を含むMarriott Starwoodのゲストデータベースへの不正アクセスにより、5億件のレコードが盗まれました。
  • 2018年-State FarmとDunkin Donutsはどちらも、クレデンシャルスタッフィング攻撃の犠牲になりました。ハッカーは漏えいしたユーザー名とパスワードの組み合わせを使用し、アクセスするまで他のアカウントで試しました。
  • 2019テキサス州の自治体— 22の自治体がランサムウェア攻撃の被害を受け、ハッカーは250万ドルを要求しました。攻撃者は、フィッシングメールを介して侵入する可能性が最も高く、そのような攻撃の最も一般的な方法です。
  • 2019 Quest Diagnostics — 患者の財務および医療情報を含む、1190万件のレコードが公開されました。無許可のユーザーが、データが含まれているAmerican Medical Collection Agencyシステムにアクセスしました。

ハッカーは、多くの場合フィッシングメールや認証情報の詰め込みを通じて、ユーザー名とパスワードを入手することに集中しています。顧客とビジネスをどのように保護しますか?シングルサインオンの上に多要素認証を重ねることにより保護します。

ステップ1:シングルサインオンでパスワードの数を減らす

Verizonの2019年のデータ侵害調査レポートによると、侵害の29%は資格情報の盗難に関係しています。パスワードは脆弱なリンクです。調査によると、72%の人がパスワードを思い出せないため、70%の人がパスワードを再利用しています。だからチャンスがあり、その盗まれたパスワードは、どこか別の場所で使用することができます。

企業が問題に対処する1つの方法は、従業員がリソースにアクセスするために必要なパスワードの数を減らすことです。このようにして、IT部門はユーザーが覚えておく必要がある1つのパスワードが安全なものであることを確認することに集中できます。パスワードの削減を可能にするテクノロジは、シングルサインオン(SSO)と呼ばれます。

シングルサインオンを使用すると、ユーザーは1組の資格情報(ユーザー名とパスワード)だけで1回ログインするだけで、複数のアプリケーションとWebサイトに安全にサインインできます。SSO は、従業員、請負業者、およびパートナーが必要とするパスワードの数を減らします。SSOを正しく実装すると、ユーザーは1つのパスワードを使用して、すべてのクラウドアプリとすべてのオンプレミスのレガシーアプリにアクセスできます。

SSOはどのように機能しますか?

SSOは通常、アプリでの認証にSecurity Assertion Markup Language(SAML)と呼ばれる標準プロトコルを使用します。SAMLは、XMLベースのオープンスタンダードであり、OASISセキュリティサービス技術委員会の製品です。ほとんどのSaaSベンダーは既にSAMLをサポートしているため、SSOソリューションを簡単に使用できます。たとえば、多要素認証の広範なアプリカタログには、G Suite、Office 365、Workday、Box、Salesforce、その他数千のアプリのSAML統合が含まれています。

SAML SSOを使用すると、アプリケーションはユーザーを直接認証しなくなります。アプリはユーザーパスワードを保存しませんが、代わりにIDプロバイダー(SSOソリューション)に依存して認証を実行し、IDデータをアプリケーションに渡します。IDプロバイダーのみがIDデータを渡すことができるようにするために、2つのパーティはデジタル署名に依存しています。これにより、アプリケーションは、IDデータが信頼するIDプロバイダーからのものであることを確認できます。

会社がすでにActive DirectoryまたはLDAPを使用してIDを管理している場合は、それを多要素認証に接続するだけで、ADまたはLDAPをシステムとして使用できます。多要素認証は、Active DirectoryおよびLDAPコネクタを介して、複数のフォレストおよびドメインを持つ複雑なディレクトリインフラストラクチャに簡単にプラグインできます。コネクタにより、ディレクトリ内のユーザーおよびグループメンバーシップへの変更がすべて自動的にプッシュされます。

パスワードなしの認証への移行

シングルサインオンには、セキュリティ上の大きなメリットがあります。ユーザーがパスワードを思い出せない場合、次の傾向があります。

  • すべてに同じパスワードを使用する
  • パスワードを変更しないでください
  • パスワードをプレーンテキストで保存する

最悪の場合、パスワードを忘れてリセットを要求するだけです。ITスタッフがユーザーパスワードのリセットに何時間も費やすので、何度も何度も時間とお金が失われます。

そのため、将来はパスワードなしの認証になります。SSOを使用すると、ほとんどの方法でアクセスできます。

パスワードをなくすと、文字通りハッカーの機会が減ります。 ただし、企業データと犯罪者の間の唯一の障壁がパスワードである場合、盗まれた1つのパスワードでも多すぎます。

そこで多要素認証が登場します。

ステップ2:多要素認証でセキュリティギャップを埋める

Multi-Factor Authentication(MFA)は、侵害される可能性のあるパスワードだけに依存するのではなく、複数の認証要素を要求することによってユーザーのIDを検証します。通常、1 分以内に期限が切れるワンタイムコードや、指紋や顔認識などの生体認証要素など、追加の認証要素はより強力です。

強力な認証要素は、簡単に侵害されることがないため、ユーザーのIDに関する保証を強化します。MFAを使用すると、サイバー犯罪者はユーザー名とパスワードを盗む可能性がありますが、ログインを試みるときに別の方法で身元を確認する必要があるため、犯罪者は妨害されます。

MFAの歴史

認証はテクノロジーとして進化し、進化を続けています。通常、認証の歴史における3つのフェーズについて説明します。

フェーズ1

パスワードやPIN など、知っていること(知識)に基づく認証。

含まれるもの:

  • ユーザー名
  • パスワード

フェーズ2

バッジやスマートフォンなど、知っているものと持っているもの(所有物)に基づく認証。

含まれるもの:

  • 電話
  • スマートカード
  • 物理デバイス

フェーズ3

指紋や顔認識などのバイオメトリクスによって示される、知っているものとあなたが持っているもの(継承)に基づく認証。

含まれるもの:

  • 指紋
  • アイスキャン
  • 顔認証
  • 個人のセキュリティ問題

どのような追加の要素もないよりは優れています

それに直面してみると、追加の要因が役立ちます。このホワイトペーパーの冒頭で説明したデータ侵害が示すように、サイバー犯罪者がユーザー名とパスワードを盗むのはあまりにも簡単です。

しかし、犯罪者がラップトップや電話などの物理的なデバイスも盗む必要がある場合、犯罪が成功する可能性は低くなります。特定のユーザーの電話をユーザー名とパスワードとともに盗むには、はるかに協調した努力が必要です。 ユーザーにスマートフォンから指紋を入力するよう要求するか、顔認識を使用するよう要求すると、ハッキングに対する別の大きな障害が発生します。

そのため、多要素認証の追加を検討する企業が増えています。そして、サイバー保険会社が多要素認証の使用を保証する機関をますます必要とするのはそのためです。

ステップ3:適応認証で旅を合理化する

だれも仕事を遅くしたくありません。 MFAを追加するとワークフローが複雑になったり遅くなったりすることが懸念される場合は、妥協できない1つのことはセキュリティであるため、オプションがあります。

そこで最新の認証イノベーションが登場します。これは、リスクベース認証または適応認証と呼ばれています。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、企業のWi-Fiを利用しているからといって、必ずしもユーザーのログインが安全であるとは限りません。逆に、これがそのデバイス上でのユーザーの通常の場所と行動であれば、自宅のコンピューターから自宅にアクセスする従業員は完全に信頼できる可能性があります。適応認証では、このようなユーザーコンテキストが考慮されます。

リスクベース認証は、機械学習を使用して場所やデバイス全体のユーザーの行動を追跡し、そのユーザーの行動プロファイルを構築して、リアルタイムで認証決定をリスクスコアリングし、多要素認証をトリガーするために使用できます。リスクベース認証は、次のような幅広い入力に基づいて、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。

  • ユーザーの場所と最近の旅行パターン
  • ユーザーが使用しているIPアドレス
  • ユーザーがログインしている時刻
  • ユーザーがアクセスしているデバイス

リスクベース認証は、ユーザーが作成したプロファイルに基づいて、新しいログイン試行のリスクをスコアリングします。リスクスコアが高いログイン試行には、より多くの認証が必要です。

さまざまなユーザーとグループについて、デフォルトで追加の要素をユーザーに求めるようにするかどうかを決定し、リスクプロファイルが低い場合にのみユーザーに少ない要素を求めるようにします。これは、財務データや顧客の個人情報にアクセスできる人には適しているかもしれません。または、デフォルトでユーザー名とパスワードを要求し、リスクプロファイルがより高いリスクを示している場合は追加の要素を要求することもできます。このレベルの制御により、各タイプのユーザーが適切な認証プロセスを取得し、安全である限り常に合理化された状態に保つことができます。

結論

企業は、企業と顧客のデータを保護する必要があります。2018年の違反の平均コストは、レコードあたり148ドル、米国では790万ドルでした。影響も続き、NASDAQでの企業のパフォーマンスは、違反から3年後に-15.58%低下しています。ビジネスを保護する必要がある一方で、生産性を維持するには、従業員の認証を迅速かつ簡単に維持する必要もあります。

そのためには、シングルサインオンとMFAが重要です。シングルサインオンは、ユーザーが必要とするパスワードの数を減らし、ハッカーの機会の数を減らします。多要素認証は、他の認証要素を追加するため、保護としてパスワードだけに依存しているわけではないことを保証します。また、適応型認証とその機械学習を使用して、必要な場合にのみ追加の要素をユーザーに要求できます。

リスクベース認証の究極のガイド

パスワードだけでは不十分

おそらくご存じのとおり、パスワードだけでアプリケーションを保護することは、侵害のレシピです。あなたが知らないかもしれないことは、状況が悪化しているということです。2016年のベライゾンのデータ侵害調査レポート(DBIR)は、データ侵害のほぼ3分の2が、弱い、デフォルトの、または盗まれたパスワードを含むと述べています。DBIRの2017年版では、その数が80%以上に増加していることがわかりました。この傾向を引き起こしている可能性のある2つの要因:弱いパスワードが一般的であり、それらの弱いパスワードは1ミリ秒未満で推測されます。

静的ルールも十分ではありません

パスワードの脆弱性のため、多要素認証はセキュリティを強化するために重要になりました。しかし、従来のアクセスマネージャーは、現在進化し続けるセキュリティリスクに対応できない静的ルールを使用しています。これらの静的ルールにより、リスクが高いログイン時にMFAを要求しないようになっています。逆に、リスクの低いログインには追加の要素が必要です。これは、両方の世界で最悪の事態につながります。ユーザーにとっての摩擦の増加と、組織にとってのリスクの増加です。

必要なのは、静的ルールをマシンインテリジェンスに置き換えて、ログインのリスクをより適切に測定し、必要に応じてMFAを要求できるようにすることです。これを適応認証と呼びます。このホワイトペーパーでは、静的ルールがログインリスクを正確に測定できず、真に必要なときにMFAを展開できないユースケースについて説明します。また、適応認証がログインリスクをより適切に測定する方法についても説明します。最後に、組織で適応認証を進める方法について説明します。

静的ルールがどのように失敗するか

静的ルールがログインリスクを正確に測定できない例を3つ示します。

失敗1:フィッシング攻撃

フィッシング- マルウェアをインストールしたり、資格情報を取得したりするリンクや添付ファイルをクリックするように受信者を誘導する詐欺メールを送信することは、ハッカーが組織を攻撃するための非常に一般的な方法です。2017年のVerizon DBIRにおける侵害の90%以上は、ある種のフィッシングに関係しています。残念ながら、この種の脅威に対処するための静的ルールは不十分です。これは、静的ルールにIP ホワイトリストが含まれることが多く、企業のすべてのIPアドレスを信頼できるものとして扱い、MFAを必要としないためです。考え方は、行く場合はログインが会社から来ている施設が、それはハイリスクではありません。

しかし、フィッシングメールに従業員のラップトップにマルウェアをインストールするためのリンクが含まれており、このマルウェアが多数の異なるパスワードを繰り返し試行することからなるブルートフォース攻撃を使用してSaaSアプリケーションにアクセスしようとする場合を考えてください。さんがしてみましょういくつかのことを前提とし、それらのアプリケーションは、これらのタイプに対処するために硬化されていないロックアウト、CAPTCHAの、または他のアカウント、いくつかのログインスロットリングを経由して攻撃対策を。最終的に、マルウェアは正しいパスワードを見つけます。その場合、IPのホワイトリストにより、静的ルールはMFAにチャレンジしません。マルウェアはSaaSアプリケーションにアクセスし、攻撃を続行できます。

失敗2:悪意のある訪問者

あなたのオフィスを見回してください。現場の全員が信頼できる従業員ですか?もちろんそうではありません。あなたのオフィスには、請負業者、顧客、ベンダー、求職者、およびサービススタッフがいます。彼らの誰もが少しのソーシャルエンジニアリングでオフィスのWiFi パスワードを発見する可能性があります。ゲストのWiFiにアクセスできないふりをするだけで、緊急にネットワークアクセスが必要になり、善意の従業員がそれを手伝ってくれるかもしれません。ただし、企業が静的ルールを使用してIPホワイトリストを設定すると、結果は悲惨なものになる可能性があります。悪意のある訪問者は、(弱い)パスワードだけを使用して2番目の認証要素を提供することなく、会社のアプリケーションへのログインを試みることができます。

失敗3:信頼できるリモートの従業員

ホームオフィスで数か月働いている従業員を考えてみます。毎日、同じIPアドレス、物理的な場所、ラップトップ、および勤務時間を持っています。また、それらは常に認証するための2番目の要素を提供します。静的ルールに依存する認証製品は、これを常にリスクの高いログインと見なし、ログオンする前にその従業員に2番目の要素を提供するように強制します。認証システムは、いくつかの認証が成功した後、これがリスクの低い状況であることを学習しません。

これは「セキュリティシアター」の例です。これは、セキュリティを向上させるように見えるかもしれませんが、実際にはそうではありません。従業員が第2の要素を繰り返し提供する必要があるため、従業員の生産性が低下します。実際には、セキュリティイベントと情報管理(SIEM)システムに余分なセキュリティイベントを追加することにより、セキュリティが低下します。これにより、実際の脅威の検出が困難になるノイズが追加されます。企業が1日に200,000のセキュリティイベントを見る可能性があるため、これは重要です。このデータのファイアホースに追加すると、セキュリティアナリストがセキュリティインシデントを調査する時間と、ハッカーが攻撃を実行する時間の両方が増加します。ごみが入り、ごみが出ます。

よりスマートなリスクスコアリングのための機械学習

静的ルールはリスクを正確に測定できないため、MFAが必要な場合と必要でない場合を判断するためのより良い方法が必要です。これは、リスクベース認証で行ったことの1つです。アカウント乗っ取りのリスクを減らす必要があるセキュリティチーム向けに構築された適応認証は、機械学習を使用して

各ログイン試行のリスクをスコアリングし、リスクの高いログインを行うユーザーに追加の認証要素を提供するよう要求します。これらには、ワンタイムパスワード(OTP)またはセキュリティの質問を含めることができます。

リスクベース認証はネットワーク、地域、デバイス、時間などの幅広い入力を使用して、ユーザーの典型的な使用パターンや経時的な行動を学習します。通常の使用法からの逸脱が大きいほど、リスクスコアは高くなります。リスクスコアは、信頼性の低いIPアドレス(Tor出口リレーなど)、新しい国または都市、または離れた場所から特定の人が与えられた時間枠でアクセスできない場所からのネットワークトラフィックによっても増加します。

静的ルールとは異なり、リスクベース認証は時間の経過とともに賢くなり、次のようなさまざまなシナリオでリスクを正確にスコアリングできるようになります。

  • フィッシング攻撃
  • 悪意のある訪問者
  • 信頼できる遠隔地の従業員
  • モバイルデバイスの泥棒
  • 匿名化されたハッカー
  • 悪意のあるボットネット
  • アカウントの乗っ取り

適応認証が脅威に対処する方法

適応認証のしくみを説明するには、以下の7つの状況を確認してください。

シナリオ1:フィッシング攻撃、再考

会社のネットワークで実行されている従業員のコンピューターにマルウェアをインストールして、会社のアプリへのログインを繰り返し試行するフィッシング攻撃の前の例をもう一度見てみましょう。簡単にするため、マルウェアが検出を回避するために営業時間中にのみログインを試み、マルウェアが攻撃しているのと同じアカウントでログインしている従業員がいないと仮定します。多くのログイン試行の後、マルウェアが最終的に正しいパスワードを使用すると、適応認証がこの認証試行のリスクプロファイルを表示する方法は次のとおりです。

このログインは会社のネットワークからのものであるため、信頼できないネットワークや地域からのログインに関連するリスクは発生しません。しかし、マルウェアのHTTPクライアントは、これまでに見たことのない新しい「デバイス」であり、高いリスクを示す新しいデバイスフィンガープリントを持っています。したがって、適応認証はマルウェアに2要素認証を使用した認証を要求します。マルウェアは、ソフトウェアである、明らかにすることはできません正確に携帯電話を引き出すと、ワンタイムパスワードを送信します。このため、ログインがブロックされ、フィッシング攻撃が阻止されます。

これは、適応認証に関する重要なポイントを提起します。ファイアウォールの内側にある企業のIPアドレスからのログインであるため、ログイン試行を信頼する必要はありません。それはより高い基準へのログイン試行を保持します。彼らは彼らのデバイスの指紋といつでも異常について精査される必要があります。このため、適応認証はIDのゼロ信頼の概念を実装していると考えることができます。

シナリオ2:悪質な訪問者、再訪

悪意のある訪問者の例に戻ります。ハッカーはあなたのオフィスのWiFi パスワードを取得し、従業員の資格情報を使用してオフィスの時間中にアプリにアクセスしようとします。訪問者が、適応認証でこれまで見たことのないラップトップを使用していて、従業員が現在ログインしていないアカウントを使用していると仮定します。適応認証では、前のフィッシングの例と同様に、この認証試行のリスクプロファイルを表示します。

悪意のある訪問者のラップトップはこれまで見られたことがないため、リスクが高いことを示す新しいデバイスフィンガープリントがあり、MFAのプロンプトが表示され、訪問者による従業員アカウントへのアクセスの試みがブロックされます。

シナリオ3:信頼できるリモートの従業員、再訪

次に、同じIPアドレス、物理的な場所、ラップトップから同じ時間のセットで繰り返しログインし、認証するための第2の要素を一貫して提供してきた長年の在宅勤務者の例をもう一度見てみましょう。このパターンが確立されたら、適応認証がこの認証試行のリスクプロファイルを表示する方法を次に示します。

このログインは確立された使用パターンに従っているため、ネットワークの評判、地理的な場所、デバイスの指紋、および時間の異常に関連するリスクレベルは低くなります。在宅勤務者は、自分のアカウントID とパスワードだけでログインすることを許可される可能性があります。さらに、Splunk、Sumo Logic、ELKなどのSIEMシステムでは、通常どおりログインしているリモートの従業員からの誤検知のノイズは発生しません。

静的ホワイトリストは、信頼できるリモートの従業員には機能しません。これらのリモートの従業員が多数いる場合、特に居住地を変更する場合は、ホワイトリストルールが複雑になり、維持するのが面倒になります。さらに悪いことに、従業員が退社し、ホワイトリストに登録されたIPが静的ルールから削除されていない場合、この複雑さがセキュリティのギャップにつながる可能性があります。

シナリオ4:モバイルデバイスの盗難

従業員のロック解除されたモバイルデバイスが営業時間の翌日の夜に盗まれ、その直後に泥棒がそれを使用して企業のアプリにログインしようとしたとします。以下は、適応認証がこの認証試行のリスクプロファイルを表示する方法です。

このデバイスは過去に会社のアプリへのアクセスに使用されていたため、デバイスの指紋に関連するリスクは低くなっています。ただし、泥棒は深夜にデバイスを使用しており、これは異常な時間であり、リスクスコアが上昇します。泥棒は、以前には目に見えなかったネットワークや都市からも侵入しています。これらはリスクスコアをさらに高めます。リスクが高いため、泥棒はMFAに挑戦し、会社のアプリにアクセスできません。

シナリオ5:匿名化されたハッカー

ハッカーが自分のデバイスを使用して、営業時間中にリモートの場所から企業のアプリにアクセスしようとしたと仮定します。匿名を維持するために、Torを使用して身元を保護します。ハッカーがこのユーザーが通常使用するOSとブラウザを正しく推測したとしましょう。適応認証は、この認証試行のリスクプロファイルを次のように表示します。

Tor出口リレーから来ることは、以前に見えなかったIPアドレス、都市、およびデバイスから来るのと同様に、リスクスコアを高くします。このハッカーは、多要素認証を使用した認証を要求され、会社のアプリからそれらをブロックします。

シナリオ6:悪意のあるボットネット

ハッカーがボットネット上の複数のノードで実行されている悪意のあるソフトウェアを使用して、会社のアプリに対してブルートフォースパスワード攻撃を実行し、営業時間中にログインを試みるとします。前回と同様の例、のは、聞かせて、ハッカーが正しく想定し、ユーザーの典型的なOSとブラウザを推測しました。適応認証は、これらの繰り返される認証試行のリスクプロファイルを次のように表示します。

適応認証は多くの問題を検出します。まず、IPはAlienVault Open Threat ExchangeやProject HoneyPot によって悪意のあるものとしてリストされる可能性があります。さらに、IPアドレス、都市、デバイス、および場合によっては国は、これまでに見たことのないものであり、それらすべてがリスクスコアを増加させます。最後に、地理的に離れた2つのボットネットノードがログインを試みた場合、適応認証はそれをユーザーの信じられないほど速い動きとして検出し、さらにリスクを高めます。これらすべてがMFAの使用をトリガーし、悪意のあるソフトウェアによるアクセスをブロックします。

シナリオ7:アカウントの乗っ取り

最後の例として、アジアにいるハッカーが企業アカウントの1つに対する資格情報を発見したとします。彼らは、米国の従業員の1人がこれらの資格情報も使用している通常の営業時間中にこれらを使用してログインします。適応認証はこれを次のように認識します。

地理的に離れた2つの場所からアカウントにアクセスしているという事実により、リスクスコアが高くなります。アカウントが数時間離れてアクセスされたとしても、誰かが米国からアジアに12時間未満で飛行できないという事実は、異常に速いユーザーの動きを示し、リスクスコアも増加します。

このリスクスコアの上昇により、両方のユーザー(従業員とハッカー)はMFAを介して自分自身を認証する必要があります。ハッカーは自身の認証に失敗し、企業アプリへのアクセスをブロックされます。

組織内での適応認証の実装

以下は、組織に適応認証を実装するときに探す機能です。

組み込みの分析

それはだ、各ログイン試行、リスクスコア、表示できるようにする重要と各スコアの要因を。リスクベース認証は、リアルタイムで正確にそれを提供します。たとえば、上記のシナリオ1のフィッシング攻撃は、リスクベース認証を使用する管理者にどのように表示されるかを次に示します。

  • Lee BrownはOTPのためにチャレンジ
    • 実行者:Lee Brown
    • I P アドレス:174.66.263.4
    • 実施時刻:1分前(29-Mar 13:11)
    • ユーザー名:Lee Brown
    • リスクレベル:中リスク(34/100)
    • リスクの理由:
      • iPhone上のSafariはまれに使用されている
      • 新しいIPアドレスからのアクセス
    • イベント時間(ISO8601 ):2017-03-29T13:11:40-07:00

SIEM統合

Splunk、Sumo Logic、Elastic、その他の企業のいずれの企業であっても、ほとんどのセキュリティチームはすでにセキュリティ分析を実施しています。リスクベース認証は、さまざまな認証イベントをこれらのシステムにストリーミングします。これらのイベントには、ログイン試行とそのリスクスコア、リスクの理由、ユーザー名、およびIP アドレスが含まれます。データはJSON形式で送信されます。これは、幅広いSIEMシステムで使用でき、進行中の攻撃をより迅速に分析するために、ポーリングではなくストリーミングを介してリアルタイムで送信されます。これらのイベントがSIEMシステムに入ると、他のイベントと同様にクエリを実行して分析できます。

あなたのMFAは、より良くなりました

一部の認証製品では、MFAツールを使用する必要があり、閉じたエコシステムに強制されます。リスクベース認証ではありません。独自のリスクベース認証によるOTPとの連携に加えて、適応認証は、Duo、Google Authenticator、Symantec VIP Access、Yubico Yubikey 、RSA SecurID、VASCO DIGIPASSおよびIDENTIKEY、Gemalto SafeNet Authentication Manager、Swivel PINsafe などのさまざまなMFAプロバイダーとも連携します。これらのMFA製品のいずれかを使用して2番目の要素を送信するには、リスクスコアの高い認証が必要になる場合があります。

置き去りにされたユーザーはいません

スマートフォンを持たないユーザーの場合、リスクベース認証はSMS経由でワンタイムパスワードを送信して、追加の認証要素を提供できます。セキュリティの質問は、追加の認証要素としても使用できます。

高い生産性MFA

従来の多要素認証製品は使いにくいものでした。電話のロックを解除し、モバイルMFAを開き、「番号を送信」ボタンを押す必要があります。または、短時間で手動で数字を入力することもできます。この摩擦により、組織がセキュリティ態勢を改善する必要があるMFAの展開が遅れました。

リスクベース認証によるOTP(多要素認証で使用するためのワンタイムパスワードを生成するモバイルアプリケーション)とシームレスに統合されます。

リスクベース認証によるOTPを使用すると、ユーザーは携帯電話のロック画面またはApple Watchにプッシュ通知を表示し、ログイン試行を受け入れるか拒否するかを選択できます。これにより、ユーザーエクスペリエンスが向上し、MFA の採用が増え、組織のセキュリティ体制が向上します。

多要素すべて

パスワードのみの認証の弱点を考えると、SaaSアプリケーション、クラウドインフラストラクチャ、VPN、WiFiを含むすべてのIT資産にMFAを適用することは理にかなっています。リスクベース認証は、Office 365、G Suite、Salesforce.com、アマゾンウェブサービス(AWS)、Microsoft Azure、Google Cloudなどのクラウドインフラストラクチャ、Cisco、F5、およびPulse SecureのVPN、Cisco MerakiとArubaのWiFiなどのSaaSアプリを保護します。

学校での多要素認証:SSOとMFAを組み合わせて生徒を保護する

学校には問題があります。そして、それは成長しています。教育業界はサイバー犯罪者の攻撃を受けています。ランサムウェア攻撃は増加していますが、金銭的利益を得るためのサイバースパイや伝統的なサイバー犯罪も増加しています。以下は最近の攻撃のほんの一部です。

  • 2018年-イランのハッカーは、世界中の300の大学を攻撃して、貴重な知的財産とデータを公開しました。彼らは学校のウェブサイトの偽のバージョンを作成しました。ユーザーが偽のサイトでユーザー名とパスワードを入力すると、ハッカーがそれらを使用できるように、ログイン資格情報が取得されました。
  • 2018年- 従業員が別の大学から送信されたように見えるフィッシングメールの添付ファイルを開いた後、ハッカーが北東部のコミュニティ大学から$ 800,000を盗みました。添付ファイルはマルウェアを実行し、大学の銀行機関のように見える偽のサイトを作成しました。資格情報を取得し、ハッカーがログインして送金できるようにしました。
  • 2019年5月-ノースウエスタン大学の従業員がフィッシングメールのリンクをクリックした後、ハッカーは600人を超えるユーザーの個人情報にアクセスできました。ハッカーはまた、従業員のメールアカウントを使用して、全国にフィッシングメールを送信しました。
  • 2019年(報告済み)—中国のハッカーは、軍事研究開発における人工知能技術に関する情報を収集しようとして、24を超える大学を攻撃しました。ハッカーは、提携大学から来たように見えるスピアフィッシングメールを送信し、ユーザー名とパスワードを取得するために資格情報収集ツールをインストールしました。

よく見ると、これらの攻撃の共通点がわかります。ハッカーはユーザー名とパスワードを入手することに集中しており、フィッシングメールを利用することがよくあります。

パスワードの数を減らす:シングルサインオン

教育部門の違反の4分の1はWebアプリケーションに関係しています。また、80 %以上が盗まれた資格情報を使用していました。これが、学区、大学、カレッジがすべてシングルサインオン(SSO)ソリューションを急速に実装している1つの理由です。

シングルサインオンを使用すると、ユーザーは1組の資格情報(ユーザー名とパスワード)だけで1回ログインするだけで、複数のアプリケーションとWebサイトに安全にサインインできます。SSO は、学生、教職員、卒業生が必要とするパスワードの数を減らします。SSOを正しく実装すると、ユーザーは1つのパスワードを使用して、すべてのクラウドアプリと学校で管理されているすべてのレガシーアプリにアクセスできます。

SSOはどのように機能しますか?

SSOは通常、アプリでの認証にSecurity Assertion Markup Language(SAML)と呼ばれる標準プロトコルを使用します。SAMLは、XMLベースのオープンスタンダードであり、OASISセキュリティサービス技術委員会の製品です。ほとんどのSaaSベンダーは既にSAMLをサポートしているため、SSOソリューションを簡単に使用できます。たとえば、広範なアプリカタログには、G Suite、Office 365、Workday、Blackboard、Schoology 、その他数千のアプリのSAML統合が含まれています。

SAML SSOを使用すると、アプリケーションはユーザーを直接認証しなくなります。アプリはユーザーパスワードを保存しませんが、代わりにIDプロバイダー(SSOソリューション)に依存して認証を実行し、IDデータをアプリケーションに渡します。IDプロバイダーのみがIDデータを渡すことができるようにするために、2つのパーティはデジタル署名に依存します。これにより、アプリケーションは、IDデータが信頼するIDプロバイダーからのものであることを確認できます。

学生、教員、または従業員は、ポータルを介して、または直接アプリにアクセスして、アプリケーションを起動できます。ユーザーが学習管理システムなどのアプリにアクセスしようとすると、次のようになります。

  1. ユーザーがリモートアプリケーションにアクセスし、アプリケーションが読み込まれます。
  2. アプリケーションはユーザーの出所を識別し、アプリはシングルサインオン用に構成されているため、ユーザーをIDプロバイダーにリダイレクトし、認証を要求します。これは認証要求です。
  3. ユーザーは、まだサインインしていない場合は、ユーザー名とパスワードを使用してIDプロバイダーにログインします。
  4. IDプロバイダーは、ユーザーのユーザー名または電子メールアドレスを含むXMLドキュメントの形式でSAML応答を生成し、X.509証明書を使用してそれに署名し、この情報をサービスプロバイダー(アプリケーション)に投稿します。
  5. アプリケーションはSAML応答を受信し、SAML SSOセットアッププロセス中にサービスプロバイダーに以前に提供されたx.509 証明書を使用してそれを検証します。
  6. ユーザーのIDが確立され、ユーザーはアプリにアクセスできます。

パスワードなしの認証への移行

シングルサインオンには、セキュリティ上の大きなメリットがあります。調査によると、72%の人がパスワードを思い出せません。70%の人がパスワードを再利用するのも不思議ではありません。これは明らかにセキュリティに優れていません。ユーザーは次の傾向があります。

  • すべてに同じパスワードを使用する
  • パスワードを変更しないでください
  • パスワードをプレーンテキストで保存する

最悪の場合、パスワードを忘れてリセットを要求するだけです。ITスタッフがユーザーパスワードのリセットに何時間も費やすので、何度も何度も時間とお金が失われます。

教育の未来がパスワードなしの認証である理由です。SSOを使用すると、ほとんどの方法でアクセスできます。

パスワードをなくすと、文字通りハッカーの機会が減ります。ただし、パスワードが学校のデータとシステムと犯罪者の間の唯一の障壁である場合、盗まれた1つのパスワードでも多すぎます。

そこで多要素認証が登場します。

セキュリティギャップを埋める:多要素認証

Multi-Factor Authentication(MFA)は、侵害される可能性のあるパスワードだけに依存するのではなく、複数の認証要素を要求することによってユーザーのIDを検証します。通常、1 分以内に期限が切れるワンタイムコードや、指紋や顔認識などの生体認証要素など、追加の認証要素はより強力です。

強力な認証要素は、簡単に侵害されることがないため、ユーザーのIDに関する保証を強化します。MFAを使用すると、サイバー犯罪者はユーザー名とパスワードを盗む可能性がありますが、ログインを試みるときに別の方法で身元を確認する必要があるため、犯罪者は妨害されます。

MFAの歴史

認証はテクノロジーとして進化し、進化を続けています。通常、認証の歴史における3つのフェーズについて説明します。

フェーズ1

パスワードやPIN など、知っていること(知識)に基づく認証。

含まれるもの:

  • ユーザー名
  • パスワード

フェーズ2

バッジやスマートフォンなど、知っているものと持っているもの(所有物)に基づく認証。

含まれるもの:

  • 電話
  • スマートカード
  • 物理デバイス

フェーズ3

指紋や顔認識などのバイオメトリクスによって示される、知っているものとあなたが持っているもの(継承)に基づく認証。

含まれるもの:

  • 指紋
  • アイスキャン
  • 顔認証
  • 個人のセキュリティに関する質問

どんな追加の要素も、ないよりは優れています

それに直面してみると、追加の要素が役立ちます。このペーパーの冒頭で説明したデータ侵害が示すように、サイバー犯罪者がユーザー名とパスワードを盗むのはあまりにも簡単です。彼らはマルウェアを介してリモートでそれを行うことができます。

しかし、犯罪者がラップトップや電話などの物理的なデバイスも盗む必要がある場合、犯罪が成功する可能性は低くなります。特定のユーザーの電話をユーザー名とパスワードとともに盗むには、はるかに協調した努力が必要です。ユーザーにスマートフォンから指紋を入力するように要求するか、顔認識を使用するように要求すると、ハッキングに対する別の大きな障害が発生します。

そのため、より多くの教育機関が多要素認証の追加を検討しています。そしてそれが、サイバー保険会社が多要素認証の使用を保証する機関をますます必要とする理由です。

MFAの仕組み

MFAは、ユーザーの速度を低下させることなくセキュリティを向上させる、合理化された多要素認証ソリューションを提供します。MFAには以下が含まれます。

  • スマートフォンでQRコードをスキャンして簡単登録
  • 使いやすいプッシュ通知
  • デバイスを紛失した場合のバックアップと復元
  • デバイスの衛生状態を検証する機能

それは簡単な登録プロセスから始まります。学生や卒業生などは、携帯電話でQRコードをスキャンするだけで登録できます。長いパスコードを入力する必要はありません。ユーザーが複数のコードを入力しても遅延はありません。

プッシュ通知を使用して、高速認証を保証します。学生、卒業生、または従業員がアプリケーションにログインしようとすると、ユーザーにチャレンジします。学生がバイオメトリック対応のラップトップを持っているとしましょう。そのデバイスを介して学生にチャレンジし、学生はラップトップでバイオメトリクスを使用して確認します。

より一般的には、プッシュ通知はユーザーの電話に送信されます。ユーザーが携帯電話でアプリを開いてピンを見つけ、入力する代わりに、デバイスのボタンを押すだけです。必要に応じて、生体認証を備えたデバイスでも確認します。

MFAは、次のようなさまざまなプロバイダーとメソッドをサポートしています。

  • セキュリティに関する質問
  • SMS経由のワンタイムコード
  • 電話
  • Duoのセキュリティ
  • Google認証システム
  • Symantec VIP Access
  • ユビコユビキー
  • RSA SecurID

ユーザーのデバイスに制限を設定して保護を強化できます。たとえば、ジェイルブレイクされたデバイスをブロックしたり、ユーザーにロック画面を要求したりすることができます。また、デバイスが紛失または盗難にあった場合、バックアップと復元機能を使用していれば、MFA設定を新しいデバイスに復元できます。

多要素認証は、シングルサインオンを超えて、ユーザーアカウントとデータを保護します。シングルサインオンにより、ユーザーは1つのパスワードで必要なものすべてにアクセスできます。多要素認証は、追加のデータを要求し、アクセスを要求する人の身元を確認することにより、パスワードの盗難からユーザーを保護します。

適応認証:旅の合理化

MFAはコンシューマーエクスペリエンスで普及しており、ログインしている学生は、PINの入力、モバイル認証アプリの使用、その他の課題への対応に慣れています。それでも、MFAを追加するとワークフローが複雑になったり遅くなったりすることが心配な場合は、オプションがあります。妥協できないのはセキュリティです。

そこで、最新の認証イノベーションが登場します。これは、リスクベース認証または適応認証と呼ばれます。

静的ルールは、ユーザビリティとセキュリティの最適なバランスを常に提供するとは限りません。たとえば、キャンパスのWi-Fiにあるからといって、必ずしもユーザーログインが安全であるとは限りません。逆に、自宅から自分のコンピューター経由でアクセスする教員は、これがそのデバイスでのユーザーの通常の場所と動作であれば、完全に信頼できる可能性があります。適応認証では、このようなユーザーコンテキストが考慮されます。

リスクベース認証は、機械学習を使用して場所やデバイス全体でユーザーの行動を追跡し、そのユーザーの行動プロファイルを構築します。これに対して、認証決定をリアルタイムでリスクスコアリングし、多要素認証のトリガーに使用できます。優れたサービス・プロバイダは機械学習を使用して、次のような幅広い入力に基づいて、ユーザーに多要素認証(MFA)を要求するかどうかを決定します。

  • ユーザーの場所と最近の旅行パターン
  • ユーザーが使用しているIPアドレス
  • ユーザーがログインしている時刻
  • ユーザーがアクセスしているデバイス

リスクベース認証は、ユーザーが作成したプロファイルに基づいて、新しいログイン試行のリスクをスコアリングします。リスクスコアが高いログイン試行には、より多くの認証が必要です。

さまざまなユーザーとグループについて、デフォルトで追加の要素をユーザーに求めるようにするかどうかを決定し、リスクプロファイルが低い場合にのみユーザーに少ない要素を求めるようにします。これは機密扱いの研究プロジェクトに従事している人には適切かもしれません。または、デフォルトでユーザー名とパスワードを要求し、リスクプロファイルがより高いリスクを示している場合は追加の要素を要求することもできます。このレベルの制御により、各タイプのユーザーが適切な認証プロセスを取得し、安全である限り常に合理化された状態に保つことができます。

結論

キャンパスとデータを保護するための熱が学校にあります。教育は、2018年のセキュリティスコアカードレポートで、サイバーセキュリティに関してすべての業界の中で最下位にランクされました。また、評判の高いPonemon Instituteは、米国の教育業界におけるデータ侵害の平均コストはレコードあたり245ドルであることを発見しました。コストを超えて、違反はあなたの教育機関の評判と学生と教員を採用する能力に長期的な影響を与える可能性があります。

同時に、ユーザージャーニー、特に学生と卒業生のスムーズなジャーニーを維持する必要があります。競争力を維持するには、ユーザーが情報を入手してタスクを完了するための障壁を簡素化および低減し続ける必要があります。

そのためには、シングルサインオンとMFAが重要です。この強力な組み合わせは、教育機関のセキュリティの未来です。シングルサインオンは、ユーザーが必要とするパスワードの数を減らし、ハッカーの機会の数を減らします。多要素認証は、他の認証要素を追加するため、保護としてパスワードだけに依存しているわけではないことを保証します。また、適応認証の機械学習を使用して、必要な場合にのみ追加の要素をユーザーに要求できます。

FIDOとMPC

FIDOが企業を獲得した方法

IAM業界は、新旧のさまざまな方法論が世界中の企業の予算と注目を競い合う中で、パラダイムシフトを経験しています。ユーザー認証は、共有シークレット、集中型パスワード、OTPトークンの時代から、分散型認証、生体認証、PKIを利用したパスワード不要のセキュリティの時代へと移行しています。

「パスワードの問題」を解決するには、さまざまなアプローチがありました。このホワイトペーパーでは、このような2つのプロトコル(FIDO認証とマルチパーティ計算)に焦点を当てています。これらは、しばしば比較され、IAMランドスケープ全体で広く評価されています。これは、次世代のユーザー認証への適切なアプローチであることを証明するために互いに競い合った2つの非常に異なるプロトコルの珍しいユニークな競争です。

大規模に展開されたFIDO標準は、企業の採用、適用性、相互運用性、およびエコシステムの点で勝っているようです。MPCは、さまざまなユースケースでずっと長く使用されてきましたが、パスワードなしの認証が成功することはまだ証明されていません。FIDOはどのようにして企業の心を勝ち取りましたか?このホワイトペーパーでは、2つの違いを探り、FIDOとMPCを評価する企業が、前者がパスワードなしの強力な認証のゴールドスタンダードになった理由を理解できるようにすることを目的としています。

FIDO VS MPC

FIDO認証

FIDO(Fast Identity Online)は、強力なパスワードなしの認証のためのオープンソース仕様です。FIDOアーキテクチャは、サービスプロバイダーがパスワードを公開キー暗号化技術(PKI)に置き換えることができるように設計されました。FIDO標準を採用した支持者は、「パスワードなしのセキュリティ」の状態を実現するために、共有秘密の使用を排除することを目指しています。

マルチパーティ計算

Multiparty Computation(MPC)は、トランザクションの関係者にプライベートデータの漏洩を要求せずに、関係のさまざまな関係者にデータを計算し、相互に望ましい結果を得る機能を提供する概念です。このようシャミールなどの例” の鍵共有アルゴリズムは、ゼロ知識証明を必要とする問題で使用されています。最近では、強力な認証のためにMPCを活用する試みが行われています。

オンラインでの迅速なアイデンティティ:複雑な問題を解決するための簡略化されたアプローチ

Fast Identity Online(FIDO)のアイデアは、2009年後半にさかのぼります。その後、2013年2月にFIDO Allianceが公開されました。2014年12月9日、パスワードなしプロトコル(UAF)のv1.0仕様の完成版が公開されました)に続き、多くの本番環境への展開が続きました。その後の活動には、ソリューションプロバイダーの新たなエコシステム全体でセキュリティ、適合性、相互運用性を確保するための厳密なFIDO®認定テストプログラムの立ち上げが含まれました。

FIDO認証は、消費者向けと従業員向けの両方のアプリケーションに導入されており、ユーザーは、バイオメトリクスやPINなど、ユーザーの個人用デバイスに保存されたままのさまざまな認証システムを利用して、モバイル、Web、およびデスクトップサービスに登録および認証できます。

FIDOプロトコルは、公開鍵暗号を利用して、安全なパスワードなしの認証を可能にします。

オンラインサービスに登録するときに、ユーザーのクライアントデバイスは公開鍵と秘密鍵のペアを生成します。秘密キーはデバイスに保持され、公開キーはオンラインサービスに登録されます。

認証中、ユーザーはクライアントデバイスに保存されている秘密キーを使用してチャレンジに署名します。FIDOアーキテクチャは、秘密鍵が個人のモバイルデバイスまたは二要素トークンに保存され、バイオメトリクスや信頼された実行環境などの追加のレイヤーで保護できることを保証します。

FIDOアーキテクチャエレメント

  • FIDOモバイルクライアント
    • iOS、Android
  • FIDOデスクトップエージェント
    • Windows 7、Windows 10、MacOS
  • FIDO Webプラグイン
    • Edge、Safari、Chrome、FireFox 、Opera W3Cネイティブブラウザサポート
  • FIDO認証サーバー
    • LDAP、SAML、AD、RADIUS Red Hat、Windows Server、AWS、Azure
  • FIDO管理コンソール
    • ポリシー管理とオーケストレーション
  • FIDO ID拡張
    • PingIdentity 、Okta 、ForgeRock、ADFS、Shibboleth、CA、Oracle Access Manager

マルチパーティ計算:複雑な問題の複雑な暗号化

Multi-Party Computationは、複数の当事者がそれらの入力のプライバシーを維持しながら、それらの入力に対して関数を共同で計算できるようにすることを目的とした暗号化の分野を指します。それが十分に簡単に聞こえない場合、それはそうではないからです。MPCは、実際に持つ複雑かつ非自明なフィールドであるsignficant ゼロの信頼の状況を解決するための含意。しかし、それは認証にどのように適用されていますか?

Shamirの秘密共有アルゴリズムなどの一般的な実装を使用して、さまざまな方法(秘密共有など)で信頼のないシステムに関連する問題に適用されている多くの異なるMPC方法論があります。最近では、パスワードなしのユーザー認証にShamirのキー共有を利用して、MPC を新規に適用する独自のソリューションを開発する試みが行われています。

シャミールの鍵共有アルゴリズムは、分散された方法で秘密を保護するために使用されます。ほとんどの場合、他の暗号化鍵を保護するために使用されます。シークレットは、シェアと呼ばれる複数の部分に分かれています。これらの共有は、元のシークレットを再構築し、ユーザーを認証するために使用されます。

基本的に、パスワードは共有シークレットです。MPC認証プロバイダーは、共有シークレットのセキュリティを強化することを目的としています。これらのパスワードまたは「シークレット」は、ユーザーのモバイルデバイスとキー検証サーバーの間で配布または分割され、ユーザーはデバイスの生体認証、PIN、またはPUSHで認証されます。

モバイルアプリケーションは検証サーバーと通信して、安全に集計されると認証を承認する交換を行います。その結果、複雑な暗号化スキームと組み合わされた、パスワードなしのユーザーエクスペリエンスが実現します。ユーザーはもはやパスワードを入力する必要はありませんが、サービスプロバイダーは依然として「共有シークレット」に依存しています。これにより、MPCが本当にパスワード不要であるかどうかについての議論が生まれました。

ウィキペディアによると、シャミアの鍵共有は「秘密の共有の形式であり、秘密は複数の部分に分割され、各参加者に独自の固有の部分を与えます。元の秘密を再構築するには、最小限の数のパーツが必要です。

FIDO-10年の結果

2010年以降、FIDOは、認証標準の開発と採用を加速する業界コンソーシアムに支えられて、テクノロジーとエコシステムとして成熟してきました。FIDOアライアンスは250人以上のメンバーで構成され、世界中の業界リーダーのサポートを誇っています。この標準は、Google、Microsoft、Samsung、バンクオブアメリカ、マスターカードなどの企業によって広く採用され、導入されています。このような大規模なエコシステムからの参加により、プラットフォーム、ブラウザ、インフラストラクチャのサポートがさらに進化しました。2019年の時点で、ベンダーエコシステムは200以上の認定製品で構成されており、すべてがFIDOアライアンスで定められた相互運用性要件に準拠しています。

注目すべきプラットフォーム統合には、Windows 10デバイス、Samsungスマートフォン、さらにはWebブラウザーのネイティブ機能としてのFIDOの追加が含まれます。2018年半ば、FIDO AllianceとW3C Web標準化団体は、新しいWeb認証標準(WebAuthn )がすべての主要なWebブラウザーでサポートされることを発表しました。この主要な開発により、Chrome、Safari、FireFox などのブラウザに強力な認証がもたらされ、大企業がWebエクスペリエンス全体でパスワードなしのセキュリティを標準化できるようになります。

MPC-40年間の研究

今日まで、パスワードなしの認証のために大規模に展開されているマルチパーティ計算テクノロジーの注目すべき例はほとんどありませんでした。

マルチパーティコンピューティングはFIDOのずっと前に始まり、1970年代からフィールドでの作業が続けられており、プロトコルは「信頼できるサードパーティの長期的な課題に対する数学的回答または応答はもはや信頼できない」と見なされています。MPCは学術界で強い支持を得ていますが、マルチパーティ計算の実際の使用例は、主に応用暗号の分野にとどまっています。

MPCの実際の使用例をインターネットで検索すると、鍵の配布、秘密の共有、知識ゼロの証明に関連する問題など、実用的な使用の適用性に関する多数のホワイトペーパー、提案、および議論が生じます。

MPCの注目に値する実際のアプリケーションは、デンマークのテンサイ市場で10年前に発生しました。この例では、農家は競売で契約に入札しましたが、彼らが売りたい価格や経済的地位を明らかにする必要はありません。ニューアメリカンは、次のように述べています。「過去数年で、MPCの使用をより広範囲に行う上で最も重要な進歩が見られました。2015年以降、MPCはボストンでの性別賃金格差の評価、エストニアでの税金詐欺の検出、衛星衝突の防止に使用されています。」

MPCのモバイルセキュリティの課題

FIDOは、開発者がモバイルデバイスの最も信頼できる領域であるTrustZone 内に秘密鍵を格納できるようにすることで、ハードウェアベースのセキュリティの進歩を利用するように設計されました。ほとんどのMPC実装では、エンタープライズの採用に対するMPCの最大のハードルであるこのレベルのセキュリティを実現できません。

モバイルバイオメトリクスと新しい認証モードの登場により、デバイスメーカーはARM TrustZone テクノロジーを採用し、デバイスのセキュリティを強化し、秘密鍵のストレージを保護するようになりました。このようiOSのような技術革新飛び地(SE)とAndroidセキュア” の信頼実行環境(TEE)は、モバイルデバイスの数十億に利用可能になりましたし、秘密鍵とバイオメトリクスデータを保護するための強力なソリューションであることが判明しています。

モバイルトラストゾーンは、FIDO標準で利用されるパスワードなしの認証と非対称暗号化の基盤として機能します。残念ながら、それらは対称共有秘密に基づくほとんどのMPCソリューションでは機能しません。

MPC、鍵共有、対称暗号化に基づいて構築された認証ソリューションは、モバイルTrustZone を利用する認証フローを提供できません。これはセキュリティの大きな一歩であるだけでなく、ベンダーが強力な顧客認証のためのPSD2コンプライアンスを満たせないことを意味します-これは、秘密鍵を隔離されたソフトウェアレイヤーに保存する必要があることを指定します(RTSセクション9.3)。

MPCの実装では、ハードウェアに支えられたこれらの不可欠なレイヤーを活用しないことにより、ユーザーの資格情報をマルウェアやデバイス側の攻撃の影響を受けやすくします。この欠点は、PSD2準拠の認証を展開するセキュリティチームやビジネスリーダーにとってハードルでした。

「FIDO認証は、現在、パスワードの問題を解決するための最良のソリューションです。」(Aetna 、シニアセキュリティアドバイザー、Abbie Barbirより)

FIDOが選ばれた理由

FIDOが共有秘密を排除し、パスワードのない最終状態に到達

真のパスワード不要のセキュリティにより、企業内にユーザー認証キーを保存する必要がなくなります。FIDOのPKIベースのアプローチにより、企業は、パスワードと共有シークレットが存在しない、この望ましい最終状態に到達することができました。悪意のあるハッカーによって盗まれたりフィッシングされたりする可能性のある共有秘密がないと、フィッシング、認証情報の詰め込み、およびパスワードの再利用のリスクが大幅に低下します。これにより、パスワードをなくそうとしている企業にとって、FIDOは魅力的なアプローチとなっています。

MPCはパスワードに基づくセキュリティを強化するために共有シークレットに依存しています

マルチパーティ認証は、複雑で異なる部分に分割される共有シークレットに依存しています。MPCは攻撃の複雑さと難易度を高めますが、依然として共有シークレット(本質的にはパスワード)に依存しています。それは「秘密の共有」という名前の中にあります。共有可能なシークレットは、悪意のある第三者によって盗まれ、再利用される可能性もあります。このアプローチは、クレデンシャルの再利用という根本的な問題を解決できないため、パスワードなしのセキュリティの拡張に効果的であることが証明されていません。

相互運用性

FIDOは10年未満であり、何十億ものユーザーに正常に展開されています。Multi-Party Computationはずっと以前から存在していますが、「パスワードの問題」をまだ解決しておらず、大規模なユーザー認証でのその使用はまだ初期段階にあります。

使いやすさ

FIDO仕様は、最新の認証用に作成されており、モバイルセキュリティにおけるモバイルの進歩を活用するように設計されています。正方形のペグを丸い穴に合わせようとするように、MPCは本来意図されていなかった使用例に適用されています。企業は、認証の概念を機能させるために、秘密分散プロトコルのシューホーン、改造、または再構築に失敗しました。

コミュニティ

FIDOエコシステムは、パスワードなしのテクノロジーの革新を加速しています。MPC認証は、暗号圏内の既存のコミュニティの派生物であり、成長し続ける可能性があります。ただし、非常に多くの研究が行われても、キー共有の概念に基づいて構築された独自のソリューションは、FIDOのような標準ベースのアプローチを中心に進化するコミュニティから恩恵を受けていません。相互運用可能でシンプルかつ安全な認証のビジョンは、コミュニティメンバー間で共有されます-コミュニティメンバー全員が、常に進化する標準に貢献できます。

次は何が来る?

MPCは複雑なユースケースで機能することが証明されており、ゼロトラスト実現の方法を引き続き推進しますが、FIDOは、大規模なユーザー集団で強力な認証をスケーリングするための勝者であることが証明されています。FIDO標準は、長い間作成され、改良されてきましたが、エコシステムのために設計、開発、採用されました。

FIDOは企業に勝ったかもしれませんが、IoTセキュリティの展望におけるMPCベースの認証の役割はありますか?認証のルネサンスには、長い道のりがあります。時間がたてば分かります。

分散認証:詐欺を管理する方法とは?

ほとんどの消費者にとって、ビジネス、金融、商取引、ヘルスケアなどの分野でのやり取りは、デジタルチャネルを通じて管理されます。消費者のデジタルプロファイルの幅広い性質は、アクセスと誤用— 時代遅れの認証方法への依存によって悪化した挑戦-のために詐欺師に十分な機会を提供しました。

続きを読む