サイバー攻撃関連
Google社とMicrosoft社から発表された最新情報
パスワードレス認証の代表的な提唱者であり、ISRの顧問でもあるジョン・ハガード氏が、Identiverse 2021 での最新の動向から得た知見を紹介します。特に興味深いのは、Google社とMicrosoft社の両社から得られたアイデンティティに対する攻撃の急増、最新の認証プロトコルの経験、そしてすべての組織がすぐに取り組むべき対策についての情報です。
認証ビジネスのパイオニア ジョン・ハガード氏
米サイバーセキュリティテクノロジー大手のVASCO Data Security(現:OneSpan)の社長、COO、およびCTOを歴任し、VASCOを金融機関向けの強力な認証を提供する会社として成功させました。
そのほかにも30年以上にわたり、商用セキュリティ製品の開発など企業戦略の幹部として最先端の情報セキュリティ製品を提供してきた、認証ビジネスのパイオニアです。 現在はISRの顧問を務めています。
Google社:
今年の6月に開催されたIdentiverse 2021のカンファレンスのプログラムで『Optimizing UX for FIDO Authentication』が行われ、Google社のプロダクトマネージャーであるクリスティアン・ブランド氏 (Christiaan Brand)は 『The demise of the password, What's coming in FIDO(パスワードの終焉、FIDOによって何がもたらされるのか) 』と題して発表を行いました。これらのセッションから得られた重要なポイントを紹介します。
初めに、脆弱性を利用したマルウェアよりも主要な攻撃手段として、2016年にユーザー認証情報を収集する行為であるフィッシングが台頭してきたことを強調しました。また、『Google Transparency Report (Google 透明性レポート)』を例として、週毎に検出されるフィッシングサイトが一週間で6万件を超えているのに対し、マルウェアはほとんど検出されないことを示しました(2016年には4万件をはるかに超えていましたが減少しました)。
引用: Identiverse June 2021「The demise of the password, What’s coming in FIDO」
Google社はこの攻撃手段の変化に関する傾向を数年前から予測していたため、FIDOアライアンスに参画し、FIDO認証仕様(すなわちU2F) をサポートし、導入するに至ったのです。ブランド氏は、Google社の8万5000人の従業員にU2Fのセキュリティキー(認証器)を導入して以来、フィッシング攻撃の成功例が無いという2018年に発表されたレポートについて説明しました。(参考:Google: Security Keys Neutralized Employee Phishing)
セッションの後半でブランド氏は、FIDOを利用したことでアカウントへのフィッシング攻撃がなくなっただけでなく、ユーザーのログオンにかかる時間が大幅に短縮され、ログイン成功率も明らかに上昇したと説明しました。以下の図、左側のグラフでは、Google社がLUV(Local User Verification:ローカル認証)と呼ぶFIDO認証(青線)は、パスワード認証(赤線)に比べて、認証完了までの時間が劇的に短縮されています。パスワードによる認証は分単位であるのに対し、FIDOによる認証は秒単位になっています。
引用: Identiverse June 2021 「Optimizing User Experience for FIDO Authentication」
さらにブランド氏は、Google社が社内でFIDO認証を段階的に導入する際の全体的な成功率を測定したところ、下の図の赤い矢印で示した部分に、FIDO導入時の『目に見える成果』が示されたと説明しました。このグラフでは、パスワードのみの認証が段階的に廃止の一途をたどっていることにも注目してください。
引用: Identiverse June 2021 「Optimizing User Experience for FIDO Authentication」
より迅速なログオンは無効なログオン試行の減少につながることは明らかです。つまり、ほとんどすべてのログオン試行が実際に認証されたユーザーということになります。ユーザーの生産性への影響は、パスワードによる認証のために費やされた時間だけでなく、ユーザーのフラストレーション(パスワードを忘れたり、ミスタイプしたりしたときの気持ちは誰もが知っています)という点でも、非常に大きいものがあります。イライラしながら仕事を始めることは、生産的な1日の始まりではありません。
2021年に向けてブランド氏は、特に消費者に向けた、パスワードを完全になくすためのロードマップにおける業界の状況について、素晴らしい議論を行いました。赤いピンは現在の状況を示しています。しかしパスワードレス認証は完全に製品化してはいますが、認証情報の登録(ブートストラップ)や管理については課題が残っています。さらに、FIDOアライアンスやさまざまな標準化団体で行われているこの分野の取り組みと、この取り組みに対するGoogle社の継続的な貢献について説明し、そのどれもが素晴らしいニュースでした。
引用:“The demise of the password, What’s coming in FIDO” Identiverse June 2021
ISRのCloudGate UNOをご利用のお客様には、パスワードレスでセキュリティと生産性の圧倒的な向上を、この瞬間にも実感していただけるはずです。また、CloudGate UNOはSSO製品であるため、パスワードレス認証はアプリケーションがFIDOサポートしているかどうかに関わらず、すべてのアプリケーションに拡張されます。さらに、上記のロードマップで記された将来的な作業の必要はなく、CloudGate UNOをご利用のお客様は、パスワードレスを今すぐにご利用いただけます。
Microsoft社:
Microsoft社のアイデンティティ・セキュリティ・ディレクターのアレックス・ワイナート氏(Alex Weinert)はIdentiverse 2021のカンファレンスで『Sunburned: What happened, How we recovered, and How the Industry Needs to Respond (Sunburned: 何が起こったのか、どのように回復したのか、そして業界はどのように対応する必要があるのか)』と題して発表を行いました。ワイナート氏は、Nobeliumという攻撃者(SolarWinds社などの攻撃に関与)がパスワードスプレーやフィッシングによるID攻撃を行った際の経験を詳細に説明しましたが、目立ったのはいくつかの印象的な統計でした。
まず、Google社と同様に、Microsoft社の経験において、『強力な認証がアイデンティティ攻撃の99.9%を防ぐ』としています。この事実は、どれだけ誇張してもし過ぎることはありません。多要素認証(MFA)は、上記で見たように攻撃の第一の脅威となっている問題を解決するものです。
引用:“Sunburned: What happened, How we recovered, and How the Industry Needs to Respond.” Identiverse June 2021
しかし、ワイナート氏は、Microsoft社がMFA導入のために測定しているマンスリー・アクティブ・ユーザー(MAU)の統計を示し、この6月(2021年)にMFAを使用していたのはわずか18%であることを明らかにしました。これは、どのタイプのMFAもカウントしており(すべてが同じレベルの認証ではありません)、すべての認証ごとにカウントしているわけではないことを認めています。2017年には1.8%だったことを考えると、18%という数字は心強く聞こえるかもしれませんが、攻撃の第一の脅威に対するMFAの有効性を考えると、残念な結果となっています。ワイナート氏は、「私が行うすべての講演、私が書くすべてのブログでMFAをオンにしてください、言い訳はできません 」と言いました。これ以上の賛成はありません。
さらに、ワイナート氏のチームのメンバーが、侵害されたことを通知された企業のMFA導入率を測定したところ、残念ながら、被害者のうち55%しかMFAを使用していないことがわかりました。45%の企業は、証拠や明確な警告があるにもかかわらず、インフラの保護をパスワードに頼っているのです。
結論:
できれば、今日のコンピューター環境でMFAが必須であることが明白になっていることを願います。こういった結論は、データを調査している組織であれば誰でも出すことができ、Google社やMicrosoft社はそのような調査の最新の例です。
さらに、これまでのMFAソリューションはユーザーエクスペリエンス(UX)の低さが導入を大きく妨げていたことも明らかになっています。不便、難しい、コストがかかる、規格や仕様が独占的であることなどは、MFAの大量導入を妨げている理由のほんの一部に過ぎません。Microsoft社が、侵害されたことを通知された組織の45%が未だにMFAというソリューションを採用していないことを発見したのも、このような経緯があったからだと思われます。
しかし、FIDOアライアンスと、この問題を解決するために設計されたFIDO仕様の普及により、これらの状況は大きく変わりました。
ISRのCloudGate UNO、特に新しい認証フローを使用している企業は、ユーザーにとってFIDO認証はパスワードよりも簡単かつ迅速で、アイデンティティに対する攻撃への対策において事実上の安全装置だということを証明できます。