セキュリティの確保は容易ではありません。これは、延々と続くパッチ適用、監視、トレーニングだけのことではありません。新しいCVE(Common Vulnerabilities and Exposures)に対する修復のスプリントを絶え間なく担い、勤務時間外も「危機対応の呼び出し」を心配し続けるといった負担を含めての話です。
つまり、純粋に技術的な問題ではないために、取り組みが困難になっているのです。仕事がうまくいくかどうかは、皆さんの助言、意思疎通、そしてメンタリングの能力にかかっています。セキュリティの観点から見ると、最も効果的な組織とは、SANS認定資格を多数取得しているだけでなく、全員から賛同を得ている組織です。ビジネスの最前線で最も重要な防御を担うのが、人的資本なのです。
しかし、ここで注意すべきは、どんなに善意で行動する人であってもミスを避けることはできないという点です。一度間違えてクリックしたり、パスワードを使いまわしたりするだけで、セキュリティ対策が損なわれてしまいます。トレーニングは、このようなリスクを減らすのに役立ちますが、それでも限界があります。人々を保護する責任は、やはりセキュリティチームの肩にかかっています。
セキュリティチームが責任を負っているとはいえ、集団としての責任は従業員や顧客にも波及していきます。
私の経験から言うと、最も効果的なセキュリティ対策は、組織や個人を保護し、個人の労力をほとんど必要としないものです。利便性はコンプライアンスを育み、ひいては安全性をもたらします。そこで役立つのがパスキーです。
パスキーとは何か?なぜ重要なのか?
パスワードは、コンピューターシステムやアプリケーションを不正使用から保護するために、半世紀以上にわたって使われてきました。目的を果たしてきたパスワードですが、時間の経過に伴い、欠点が次第に明らかになっています。
パスワードには、窃取、推測、漏洩の可能性があります。個々のユーザーにとってもパスワードは負担であり、コンシューマーの47%がパスワードの複雑さの要件を満たなければならないことがフラストレーションの原因になっていると述べています。平均的なコンシューマーは、使用するアプリケーションに対して100以上のパスワードを管理する必要があるため、資格情報の再利用が一般的な問題となっています。いずれかのWebサイトからユーザーの資格情報が漏洩すると、そのユーザーが利用しているすべてのWebサイト/サービスに攻撃者がアクセスできようになります。
すべてのユーザーが、アカウントを持つすべてのサービスやWebサイトに強力で複雑なパスワードを使用して、健全なパスワードハイジーンを実践するのが理想的です。しかし、私たちは理想的な世界に住んでいるわけではないため、パスワードよりも優れたものが必要です。
ここで力を発揮するのがパスキーです。パスキーは、本質的にフィッシング耐性があり、ユーザーフレンドリーで効率的な方法でパスワードレス認証を実現する方法です。パスキーは、ユーザーのデバイス上に存在する暗号化された資格情報を使用して、従来のパスワードを置き換えます。
パスキーは、盗まれたり、漏洩したりすることがありません。ユーザーのデバイス上や、ユーザー本人が管理するクラウドアカウント上に存在し、多くの場合にユーザー自身の別の要素(指紋や顔認証スキャンといったバイオメトリクスなど)や、 電話のマスターPINコードのような「本人だけ」が知っている情報に紐付けられます。
パスキーを使うことで、ユーザーは十分な特殊文字や数字を含む長いパスワードを記憶する必要がなくなります。また、パスキーは数学的に生成されるため、「推測」することもできません。
しかし、何を置いても、パスワードは便利です。何も記憶する必要がないのはもちろんですが、さらに学習すべきことも何もありません。スマートフォンにPINを入力したり、Face IDでバンキングアプリにサインインしたりした経験がある人であれば、パスキーも問題なく利用できます。
パスキーは、検出可能なFIDO資格情報を指し、特定のエコシステム内にある他のデバイスと同期できます。そのため、スマートフォンで使用されているパスキーを、タブレットやノートPCで安全かつ便利に使用できます。この場合、セキュリティ確保のために、使用するアプリやサービスそれぞれについて1台のデバイスに拘束される必要がなくなります。
セキュリティ専門家(そしてユーザー)にとって利便性が重要な理由
アイデンティティは、多くの場合にセキュリティ侵害の根本原因となっています。2022年には、資格情報関連のフィッシング攻撃件数が61%という急激な増加を記録しました。Verizon DBIR(Data Breach Investigations Report)の最新の調査によると、成功した攻撃の50%は資格情報の窃取によって引き起こされました。高度にネットワーク化が進んだ今日の世界において、パスワードが適さないものとなっているためです。
確かに、パスキーはパスワードを代替し、パスワード以上に安全を確保する役割を果たします。しかし、それだけでなく、非常に簡単に利用できます。この便利さこそが、パスワードを非常に魅力的な選択肢にしているのです。複雑すぎたり煩雑だったりするポリシーや手順を強制すると、ユーザーが抜け道を探すようになるだけだということは、以前からセキュリティ専門家も理解していました。
2008年のRSAの調査では、ほとんどの従業員は組織のセキュリティポリシーの意義を理解しているにもかかわらず、業務のために規則を曲げることも厭わない割合が高いことが明らかになりました。また、2022年のHarvard Business Reviewの調査によると、従業員の67%が故意にセキュリティポリシーに違反しており、85%がその理由として「生産性のため」と回答しています。
職場ですら、セキュリティのベストプラクティスに従わない割合がこれほど高いのです。業務外の、リスクが低く(低いと思われ)、ルールを誰にも強制されない状況で、同様に行動する可能性はどれほど高いでしょうか。
これは結局のところ、利用が「便利」かつ「容易」であることが、情報セキュリティ専門家にとってなぜこれほど重要かを明確に物語っています。たとえば、厳しい締め切りに間に合わせるために組織のセキュリティルールに違反することは、許容できるリスクのように思われるかもしれません。心理的に、個人の差し迫ったニーズが、企業を保護するという必要性よりも重要になるのです。
また、私生活で利用されるコンシューマー向けアプリやサービスの場合、完璧なパスワードハイジーンを実践しなければならないほどリスクにさらされているという意識を、人々が持たないかもしれません。「標的にされるほどの価値がないだろう」という誤った安心感に陥りがちです。しかし、百戦錬磨のセキュリティ専門家である皆さんは、常に警戒することの重要性を認識しているでしょう。
厳格なルール、質の高い定期的なトレーニング、そして「セキュリティ文化」だけでは十分ではありません。最終的に組織に害を及ぼしかねない「近道」を選ぼうとする人々の意欲を削ぐことが必要です。
当然ながら、パスキーを導入しさえすれば、すべての問題が解決するわけではありません。しかし、特にコロナ後の現在、リモートワークやハイブリッドワークが増加し、私生活と業務の両方でデジタルテクノロジーへの依存度が高まって(そのため、攻撃対象領域が拡大して)いるため、組織が持つ多様な側面において、アイデンティティが主要な部分を占めるようになっています。したがって、アイデンティティに焦点を当てることは理にかなっていると言えるでしょう。
コンシューマーのパスワードをパスキーに置き換えることは、実に簡単です。これにより、不適切なパスワードハイジーンを選ぶ必要性(および可能性)を排除できます。コンシューマーは、日常業務の一環として使用する無数のアプリ、Webサイト、サービスの資格情報を管理する複雑さ(および認知負荷)に悩まされることがなくなります。また、Tessianとスタンフォード大学によると、セキュリティ侵害全体の85%を占める人為的ミスの可能性も排除されます。
人は、セキュリティチェーンの弱点ではなく、オンラインの危険な世界に組織が対抗する上で最強の防衛線になり得ます。問題は、これまで人々が、自分自身、ひいては所属組織のビジネスを適切に保護するために必要なツールを持たなかったことです。
エンタープライズのパスキーはどうですか?
パスキーは、オンラインでの消費者認証において大きな飛躍を示していますが、一部のCISOは、従業員のIDニーズでの使用について慎重です。そして、それはすべてポリシー制御に帰着します。
消費者にとってのパスキーの主な利点の1つは、同じエコシステム内のデバイス間で同期できることです。消費者にとっては便利ですが、セキュリティとコンプライアンスのニーズにより認証情報を単一のデバイスに結び付ける必要がある企業にとっては懸念事項です。
現在、一部のプラットフォームでは、企業がデバイスバインドされたパスキーの作成を強制することができず、エンタープライズ環境での使用が制限されています。共有の個人用デバイスと同期されたパスキーは、企業の認証情報が非従業員と共有されることを意味する可能性があります。管理対象、管理対象外、既存のデバイス、および新しいデバイスの異なるセキュリティ体制を考慮する必要があることは言うまでもありません。
これは進化し続ける分野であり、まだ非常に新しいものです。ただし、特にセキュリティ保証の低いユースケースでは、今日、組織でパスキーを効果的に使用する方法があります。業界として、近い将来、ワークフォース環境でのパスキーの使用についてより多くの答えが得られると確信しています。当面は、組織固有のセキュリティ、コンプライアンス、および規制のニーズに基づいて、パスキーの使用を評価する必要があります。
Okta FastPass(私も毎日使っています)について触れないわけにはいきません。これは、フィッシング耐性、デバイスバインド、利便性、およびデバイスコンテキスト認識を備えた理想的なエンタープライズソリューションです。Oktaでは100%パスワードレスを実現し、より多くの組織がパスワードを排除できるよう、積極的にその経験を共有しています。
ベストプラクティスとして、企業は目的の成果を達成するために、アクセスセキュリティ制御(例:レガシー2FAまたはフィッシングに強いMFA)をデバイス保証チェックで強化する必要があります。Okta FastPassは、フィッシングに強い認証とデバイスコンテキストを組み合わせることによっても、それらをそこに導きます。
パスワードレスの未来への道のり
そのうちに、パスワードは遠い過去の記憶になるでしょう。しばらくは役立つ存在でしたが、時代遅れのあらゆるテクノロジーがそうであるように、いずれは優れたものに置き換えられます。その「優れたもの」に該当するのが、パスキーではないでしょうか。
そうは言っても、現実的であることが重要です。パスキーへの移行は一夜にして実現するものではありません。このテクノロジーを「ブリーディングエッジ」と表現するのは正確ではありませんが、業界での導入が急速に進んでいることを考慮すると、まだクリティカルマスには達していません。
パスキーの採用は、今後10年にわたって(おそらくそれ以降も)徐々に進んでいくプロセスとなるでしょう。しかし、パスキーの基盤はすでに確立されており、組織がパスキーの調査と導入に乗り出す段階に達しています。
Google、Microsoft、Appleはいずれも、最新のデスクトップやモバイルオペレーティングシステムでパスキーをサポートしています。PayPal、eBay、CloudFlare、Dashlane、GoDaddyなど、ますます多くのコンシューマーアプリやビジネスアプリがパスキーのサポートを実装するようになっています。毎月のように導入率が高くなり、主流の受け入れに近づいています。
パスキーの使用を開始
独自のアプリにパスキーを実装することも、完全に実現可能な見込みです。Okta Customer Identity Cloud(Auth0搭載)を使用すると、数日以内にパスキーを実装でき、お客様またはユーザーが移行する間、他の認証方法と共存できます。
パスキーは、最終的により安全で使いやすいデジタル世界へと導く役割を果たすものであり、今後が非常に楽しみです。移行には時間がかかるでしょうが、それぞれのアプリやベンダーがこのテクノロジーのサポートを導入するのに伴い、結果として自社のセキュリティが向上する点を覚えておく価値があります。しかも、顧客や従業員が受け入れやすい方法で達成したことにもなります。パスキーの詳細については、ホワイトペーパーをダウンロードしてお読みください。
