このブログはこちらの英語ブログの機械翻訳です。
誰の顔、声、言葉も数秒で偽造できる時代において、オンラインで他人を装うことは、自分が本人であることを証明するよりも簡単になっています。
ディープフェイクは本物のビデオとほとんど区別がつかず、AIが生成したメッセージは同僚や著名人を偽装でき、ID詐欺師は組織が新しいパッチを展開するよりも速く従来の保護を迂回しています。このレベルの不正行為に伴うコストは急速に上昇しています。2023年だけでも、米国では12億ドルが詐欺によって失われました。
AI革命が今日のセキュリティに関する知識を脅かす中、私たちはデジタルトラストの危機に瀕しており、その中心にはアイデンティティがあります。セキュリティシステムは、画面の向こうに誰がいるかを確実に把握できるという前提に基づいて構築されています。実際には、それは決して確実ではありませんでした。幸いなことに、それを変えるテクノロジーはここにあります。それでは、詳しく見ていきましょう。
私たちが信じていた信頼の意味、そしてそれがもはや十分ではない理由
長年、デジタルトラストはSSL証明書、ハッシュ化されたパスワード、多要素認証(MFA)、および適切な動作のCookieのように見えました。しかし、あなたが誰であるかを証明することになると、MFAやセキュリティの質問以上のものが必要です。私たちには証拠が必要です。
2023年のセキュリティインシデントの80%がアイデンティティ関連の侵害によるものであることを考えると、組織の資産と人々を保護する責任を負うセキュリティリーダーは、確信を持つ必要があります。彼らが監督する複雑なエコシステム全体において、ユーザーとシステムのアイデンティティ、認可、および意図に対する確信が必要です。
同時に、ユーザーの信頼は低下しています。摩擦、偽陽性、データ侵害により、システムが認証、検証、信頼を求める頻度が増加するにつれて、人々は懐疑的になっています。
なぜこうなったのでしょうか?インフラストラクチャが脅威のペースで進化できなかったり、アイデンティティシステムが時代遅れになっている(または、もっと悪いことに、存在しない)ことが原因です。アイデンティティが脆弱だと、他のすべてが崩壊します。
従来のIdentity and Access Management(IAM)スタックのほとんどは、ディープフェイク、ゼロデイエクスプロイト、AIを活用した攻撃者のインターネット向けに構築されたものではありません。ここにいくつかの原因があります。
脆弱なパスワードとMFA疲労:フィッシング、再利用、ソーシャルエンジニアリングの主要な標的
集中型データベース:攻撃者にとって格好の標的であり、単一障害点
サイロ化されたアイデンティティシステム:すべてのプラットフォームが異なるバージョンの「あなた」を持ち、リスクと摩擦を生み出しています
合成ID詐欺(部分的な実データから構築された完全に偽の人々)は、現在、最も急速に成長している金融犯罪の形態の1つであり、今後数年間で世界中で数十億ドルの損害をもたらす可能性があります。ID関連のセキュリティが進化しない場合、セキュリティチームは困難な戦いを強いられます。
シグナルの過負荷: トリアージが必要な数千もの認証シグナル、トークン、およびセッションの異常
コンプライアンスの混乱: NIST 800-63、GDPR、eIDAS 2.0 などの進化するフレームワークのナビゲート
ユーザーの不満:ログイン、リセット、および放棄を招き、信頼を低下させる摩擦
従来のシステムでは、アイデンティティは単純なログイン画面のように扱われます。しかし今日、アイデンティティは、単なる保存された記録ではなく、生きた検証可能な証拠でなければなりません。
新しい信頼層としての検証可能性
解決策は、より強力なパスワードやより多くの要素ではありません。それは、人間に関連する特性と、証明ベースのアイデンティティと呼ばれる新しい視点を含めるように、セキュリティに関する考え方を進化させることです。
古いモデル:ユーザーを信頼する
新しいモデル:数学を信頼する
検証可能なデジタル認証情報(VDC)により、ユーザー、従業員、およびシステムは、暗号で署名された、プライバシーを保護するID、認証、所属、または知識の証明を提示できます。
レガシーID | 検証可能なアイデンティティ |
静的な中央のクレーム | ポータブルで暗号的に検証可能なデジタル認証情報 |
発行者を信頼する | 暗号証明を信頼する |
フェデレーションSSO | ユーザーが保持するデジタルウォレット |
中央ハニーポット | 分散型の同意に基づく信頼 |
これらのモデルは、継続的な再検証の必要性をなくし、機密データを不必要に公開することなく、移植可能、プログラム可能、かつ証明可能なアクセス制御を可能にします。
これまで以上に重要な理由
私たちは、より強力な人間のアイデンティティをデジタル領域に引き上げ、サービスがあなたの人間としてのアイデンティティを暗号で検証できるようにするための、成熟したセキュリティテクノロジーとベストプラクティスにとって極めて重要な瞬間に入っています。対策を講じなければ、さらに遅れをとる危険性があります。
AIは大規模なアイデンティティを脅かします。LLMは驚くほどリアルに人々になりすます可能性があります
不正行為は急速に増加しています。IDベースの詐欺は、検出が難しく、修正にコストがかかるようになっています。
規制当局が介入しています。EUのeIDAS 2.0から米国で進化している標準まで、組織はより多くの検証を行い、保存する量を減らすことがすぐに求められるようになります。
一方、ユーザーはプライバシー、透明性、およびデジタルな自己に対する制御を求めています。検証可能でユーザーが制御できるアイデンティティへの移行は、あれば良いものではなく、避けられないものです。
信頼のレイヤーを強化する時が来ました
朗報:どこから始めるべきかを知っています。デジタルトラストはUXの問題ではありません。構造的な問題です。そして、AIが主流になるにつれて、オンラインで身を守るためにもっと多くの対策を講じる必要があります。
古いモデルを改良するのをやめて、設計上安全で、デフォルトで移植可能で、あらゆるタッチポイントで検証可能なアイデンティティシステムを構築する必要があります。
検証可能なデジタルクレデンシャルは、新しい機能セット以上のものです。それらは、拡張、保護、適応する、新しい種類のオンラインの信頼の基盤です。
アップデートにサインアップして、最新情報を入手し、検証可能なデジタル認証情報について詳しく学んでください。
