Authenticate 2022 - パスキーの登場!デフォルトでMFAが全員に適用されるように(前編)
ISR 顧問 ジョン・ハガード
株式会社インターナショナルシステムリサーチ
2022年11月9日
2022年10月17日から19日にかけて、米国ワシントン州シアトルで、The FIDO Allianceが主催する認証に関する最高峰のカンファレンス「Authenticate 2022」が開催されました。その中で最も重要なトピックは、パスキーの導入と、ベンダーがセキュアMFAを顧客/ユーザーのオプションとしてではなく、デフォルトとして導入するよう業界に働きかけていることの2点でした。
以下は、その2つの重要なポイントの後編です。カンファレンスのまとめは、AuthenticateのWebサイトでご覧いただけます。
MFAの義務化
米国政府だけでなく、多くのベンダーが、すべてのユーザーに対してMFA(多要素認証)導入を義務化とすることを推進しており、システム管理者やその他の重要なアカウントに対しても同様に要求しています。さらに、彼らがMFAとして推奨するのは、パスワードを完全に廃止し、はるかに安全でフィッシング耐性のあるFIDO2パスキーの採用です。
CloudGate UNOユーザーにとって朗報なのは、これらの推奨事項の両方が、今日にでもすべてのユーザーとアプリケーションに完全に実装できることです。CloudGate UNOは認証に必要なアクションを一元化するSSO製品のため、一度実装すればすべてのアプリケーションでフィッシング攻撃から保護された安全なログインのメリットを享受することができます。
しかし、より安全で手軽な認証方法にもかかわらず、利用しているお客様が少ないのが現状です。そこで、このブログでは、サイバーセキュリティの脅威の第一位である認証情報の窃取から組織とユーザーを守るための、より安全な態勢づくりの「後押し」をすることを目的としています。パスワードレス認証はみなさんが思っているよりも簡単ですので、CloudGate UNOの管理者は今すぐパスワードレス認証を体験してみることをお勧めします。
まずは米国ワシントン州シアトルで開催された認証業界のプレミアイベントAuthenticate 2022で業界のリーダーたちが語ったことを紹介しましょう。
安全性の標準化
まず、米国政府のCISA(サイバーセキュリティ・インフラセキュリティ局)のディレクターであるJen Easterly氏とCISAのシニアテクニカルアドバイザーであるBob Lord氏が登場しました。Easterly氏は、すべての組織とユーザーに対して、今すぐMFAを有効にするよう啓発キャンペーンを主導してきました。彼女は「私たちは、すべてのテクノロジー企業に対し、MFAを標準的なオプションとして利用できるようにすることを強く求めています」と述べました。さらに、「私たちはこの機会を利用して、MFAのゴールドスタンダードであり、唯一広く利用可能でフィッシングに強い認証であるFIDOにスポットライトを当てています」とも述べました。
また、彼女はSalesforce(現在必須)、GitHub(標準装備で有効)、Google(1億5000万以上のアカウントにMFAを搭載)、Apple(iCloudアカウントの95%がMFAで保護されていると報告)など、MFA導入の推進をリードするテクノロジーの先駆者の紹介も行いました。 しかし、彼女は「私たちにはもっとできることややるべきことがある」と付け加えています。彼女は、ある大手ベンダーでは顧客である大手企業の4分の1しかMFAを登録しておらず、さらにその顧客のシステム管理者の3分の1しかMFAを有効にしていないと報告しています。
Easterly氏は、シートベルトやエアバッグはオプションでもなければ追加費用でもないと、テクノロジーベンダーを自動車メーカーと同一視しています。さらに、自動車の場合にはユーザーがシートベルトを着用せずに運転しようとすると、すぐに使用を促されることを強調しています。彼女はテクノロジー・ベンダーに対して、フィッシング耐性のあるMFAを標準的に導入するようユーザーに働きかけ、測定目的のために導入率を報告する「徹底的な透明性」を提供するよう強く求めています。
彼女はベンダーに対して、社内のMFA導入に関する統計情報を公表するよう促しており、企業が自社の採用率を「自慢」してくれることを期待していました。これは、ISR社員が2年以上にわたりフィッシング耐性のあるMFAを利用した100%パスワードレスの認証を実現していることを紹介する良い機会です。
彼女は、顧客が製品を適切に設定し、安全に使用できるようになるのを待つことはできない、なぜなら顧客はそのために時間、資金、専門知識を投資する能力が最も低いからだと指摘します。ベンダーは、顧客のセキュリティ結果に責任を持つため、標準化して安全機能を提供するべきだと主張しています。顧客は安全性について考える必要はなく、標準装備として有効化されるべきなのです。
シニアテクニカルディレクターのBob Lord氏は、MFAを有効にするようエンドユーザーに積極的に「働きかける」よう呼びかけました。CISAは中小企業向けの行動計画まで掲載し、あらゆる企業がセキュリティ体制を向上させるために取ることのできる具体的なステップを紹介しています。以下は、Lord氏のベンダーに対する要望です。
ベンダーに対するMFAの要望
- MFA統計の抜本的な透明性の確保
- エンドユーザーにMFAを利用するよう積極的に働きかける
- システム管理者が100%MFAを採用するよう積極的に働きかける(特にFIDO)
- 管理者は、意味のある統計の採用を促進する行動計画によってユーザーを誘導する
- MFAを採用する企業にとって価格的な障壁がないことを確認する
- 顧客データを扱うプロバイダーは社内システムに対して、できる限りFIDO認証を導入する。信頼できるプロバイダーであるためには、フィッシングに強いMFAを使用すること
最後は、「ベンダーが顧客のセキュリティの成果に対して責任を持ち、顧客の苦しみの傍観者にならないためには、どのようなことが必要なのでしょうか?」 という言葉で締めくくられています。
私たちISRは「Security First」をモットーとしており、Lord氏/CISAの意見に全面的に賛同しています。 昨年から、シートベルトの例や、ベンダーがユーザーの安全性に責任を持つべきであることなどをブログという形で発信してきました。そして、 私たちは採用率に関する透明性を高めるとともに、十分な安全性の実現に向けてさらに強力に働きかけるための方法を模索しているところです。現在CloudGate UNOでは提供しているすべてのプランでMFAをフルサポートしているため、価格面での障壁はありません。また、当社の社内システムはすべて、かなり以前からFIDO認証で保護されています。もう何年も前からパスワードレスになっているのです。
MicrosoftやGoogleなど、MFA導入の推進に関するベンダーのプレゼンでは多くの言及がありましたが、最も目立っていたのはSalesforceでした。プロダクトマネジメント担当でSVPのIan Glazer氏は、顧客におけるMFA導入の義務化と完了までの道のりを詳細に説明しました。
Glazer氏の説明によると、2019年秋に取締役会レベルの承認を得た経営陣は製品チームに対して、2021年2月までにMFAの顧客導入率を100%にすることを義務付けましたが、パンデミックの影響で導入目標は2022年2月に延期されました。彼は、この目標がSalesforceのチームにとっていかに大きく、実現が難しいものであるかを強調しました。 Salesforceは、機能やニーズの全く異なる世界中の大企業から中小企業まで幅広く展開しています。与えられた時間内で100%を達成することが不可能に思えたのは言うまでもないでしょう。
それでも、Salesforceは2022年2月までに約80%の導入率を達成し、以下のような機能を追加しました。
1400万人以上の月間アクティブユーザーにMFAを導入し、アカウントの乗っ取りを劇的に減少させました。 この結果は大成功であり、Salesforceは100%のMFA導入率達成に向け、残りの20%に対して積極的な計画で動き続けています。
興味深いことに、Glazer氏は SalesforceとSaleforceの顧客にとってのメリットだけでなく、職場で MFA を使用することで、エンドユーザーが日常生活でMFAをより容易に導入できるようになることにも着目しています。そして、こうしたユーザーが他のユーザーにも同じことをするよう啓蒙し、種をまくのです。この「ノックオン効果」こそ、Glazer氏が「ID担当者として、この旅をやりがいのあるものにしてくれる」と言う理由です。
関連ページ:
- クラウドWatch掲載ブログ 「ユーザーを守る投資」としてセキュリティを強化すべき時代に、その投資は利便性をも上げる
- クラウドWatch掲載ブログ サイバー攻撃にはMFAが有効 政府、経営、業界リーダーが率先してMFAを義務化すべき理由