10年前、セキュリティ専門家たちは5月の第1木曜日を新しい祝日と定めました。World Password Day(ワールドパスワードデー)は、人々にパスワードを変更するよう促す、年1回の有益なリマインダーとしての役割を果たすことを意図していました。また、パスワードの根本的な欠陥、つまり、効果を維持するためには頻繁に変更しなければならないということを暗黙のうちに認めるものでもありました。
それから10年、ログイン環境はますます複雑になっています。セキュリティの脅威は成熟し、フィッシング攻撃は増加し、より巧妙になっています。一方、パスワードのルールはより厳しくなり、特殊文字、大文字と小文字の区別、長さなど、絶えず変化する要件が求められています。当然のことながら、多くのユーザーがパスワードに関する複雑なルールに不満を感じ、管理しなければならないユーザー名とパスワードの数に圧倒されています。
近年、認証には目覚ましいイノベーションがありましたが、2023年の今もなお、パスワードに苦労しています。セキュリティとユーザビリティの制限があるにもかかわらず、なぜこれほどまでに永続的な力を持っているのでしょうか。そして、パスワードのない未来はどのようなものになるでしょうか?
パスワードの根強い回復力
Oktaの最高情報責任者として、私は、Oktaの従業員のユーザーがより高保証でフィッシングに強いソリューションを採用するにつれても、パスワードの回復力を直接見てきました。お客様からは、いくつかの説明が寄せられています。
- パスワードは容認されたリスクをもたらす。欠点はあるものの、今日のパスワードは既知の存在です。ITチームは、パスワードの実装および管理方法を理解しています。エンドユーザーは、パスワードの作成、回復、リセット方法を理解しています。顧客やユーザーがいる場所で顧客やユーザーに会いたい企業にとって、パスワードの使いやすさはリスクを上回る可能性があります。完璧ではありませんが、防御可能です。
- 代替手段が不明確です。組織は、他の認証アプローチにもなじみがない可能性があります。パスワードレスは、今日の実行可能なオプションというよりも、将来のユートピア状態のように見えるかもしれません。そして、彼らは新しい道を歩み始める方法を知らないだけかもしれません。
- 変革は困難です。変化には常に摩擦が伴います。パスワードベースの認証アプローチから他のものに移行するには、時間、エンジニアリングの労力、およびユーザーの行動の進化が必要です。一部の意思決定者にとって、変化への抵抗は強すぎます。
パスワードレスへの道
このような考慮事項にもかかわらず、Oktaでは1年以上前に独自のパスワードレスジャーニーに乗り出すことを決定しました。そして、まだ100%ではありませんが、これまでにある程度の教訓を学んできました。
フィッシング対策にはビジネス価値があります
<span><span><span><span><span><span>パスワードはフィッシング攻撃を受けやすいため、常にセキュリティ上の課題となっています。これは私たちのような企業にとってコストがかかる可能性があり、これらのフィッシングの脅威を発見して処理するだけで多大な時間と費用を費やす必要があります。実際、フィッシングベースのデータ侵害の平均コストは、2022 年には 491 万ドルに達したと、</span></span></span></span></span></span><a href=「 」rel=「 」target=「 」><span><span><span><span><span> <span>IBM</span></u></span></span></span></span></span></a><span><span><span><span><span><span>。</span></span></span></span></span></span>
対照的に、パスワードレスフローは、本質的にフィッシングに耐性があります。なぜなら、定義上、悪意のある者が傍受するパスワードが存在しないからです。企業は、フィッシング攻撃の軽減に費やす可能性のあるすべての時間とお金を取り戻すことができます。言い換えれば、パスワードレスに移行することで、真のビジネス価値を提供できます。
セキュリティとユーザビリティは二者択一ではありません。
より安全な認証は、ユーザーエクスペリエンスを犠牲にするというのが通説です。しかし、パスワードレスにすることで、Oktaの従業員と顧客により良いエクスペリエンスを提供しています。認証プロセスからパスワードを削除することで、ユーザーの時間を節約し、不満を軽減し、ログイン失敗率を下げることができます。
当社のデータに基づいた今後のOktaレポートは、これらの主張を裏付けています。Oktaは多くのログインを管理しており、パスワードなしでログインするために、フィッシングに強いパスワードレス認証システムであるOkta FastPassを使用すると、パスワードを使用するよりも3分の1未満の時間でログインできることがわかりました。職場でのパスワードベースのログインも8%以上失敗しますが、FastPassを使用したログインではわずか1.6%であり、80%の改善が見られます。
100%達成
Oktaでは、パスワードレスへの移行に向けて大きな進歩を遂げてきました。この移行では、フィッシングに強いポリシーと一貫性を持たせるために、使用するすべてのアプリとサービスを更新する必要があります。これらのポリシーでは、エンドユーザーがリソースにログインするには、WebAuthnやOkta FastPassなどの、少なくとも1つのフィッシングに強い要素を使用する必要があります。私たちは進捗状況を注意深く追跡しており、現在、この重要な目標の80%以上を達成しています。
これまでに講じた措置は次のとおりです。
- 当社のセキュリティチームと提携して、ゼロトラストアーキテクチャ(ZTA)の機能(Okta DevicesやOkta ThreatInsightなど)を展開し、ユーザーとデバイスのセキュリティを継続的に監視できるようにします。
- 強化されたシグナルを使用し、フィッシングに強い要素を優先するように認証ポリシーを再定義する
- 100%パスワードレスでフィッシング耐性のあるログインフローを実現する上で障壁となる可能性のある、現在のプラットフォームのギャップを明確にするために、製品およびエンジニアリングチームと連携します。
お客様の独自の道のりをサポートする
最終的に、Oktaの従業員とお客様の両方が完全にパスワードレスになるようにしたいと考えています。Okta FastPassのような新しい製品とソリューションでそれを実現しています。そして、私たち自身のパスワードレスへの道のりで行っているプラットフォームの改善は、お客様が前進する道をはるかに簡単にナビゲートできるようにするはずです。
新しいプラットフォーム機能を追加しました。
- フィッシングに強い認証情報のブートストラップを簡素化する
- 主要なすべてのデスクトップおよびモバイルプラットフォームで、フィッシングに強いフローに対応する
- 各顧客のパスワードレス要件を満たすのに十分な柔軟性を備えた、幅広いパートナー統合を備えたテクノロジーニュートラルなプラットフォームを提供し続けます
また、お客様がパスワードレスへの道を歩む上で、刺激を与え、導くのに役立つように、パスワードレスへの道のプレイブックを作成し、お客様と共有する予定です。
パスワードレスを前進させる
<span><span><span><span><span><span>社内では、パスワードレスのアプローチについて従業員から非常に肯定的なフィードバックを受けています。たとえば、アプリやアカウントにアクセスするために、特に旅行中に指紋を</span></span></span></span></span></span><a href=「 」rel=「 」target=「 」><span><span><span><span><span> <span>Okta FastPass</span></u></span></span></span></span></span></a><span><span><span><span><span><span>で使用する方がはるかに便利だと感じています。</span></span></span></span></span></span>
このような生体認証は、たとえば、WebAuthnまたはOkta FastPassを使用した標準ベースのアイデンティティフローを介して、Touch ID、Face ID、またはWindows Helloなどのプラットフォームオーセンティケーターを使用した、高保証のフィッシング耐性のあるサインオンポリシーともうまく連携できます。
このようなイノベーションの数が増加しているにもかかわらず、今日のほとんどの Identity and Access Management ソリューションは、依然として少なくとも部分的にはパスワードに依存しています。プラットフォームベンダーとデバイスメーカーがリカバリ、発行、および非拡散のための標準化されたフローで連携するにつれて、パスワードレスの採用は容易になります。また、パスキーのような消費者中心のテクノロジーは、Touch ID や Windows Hello が生体認証を普及させたのと同じように、パスワードレス認証情報の使用をさらに民主化するのに役立ちます。
ITリーダーとして、私たちは停滞したり、パスワードのない世界を恐れたりすることはできません。代わりに、私たちは過去から移行し、新しい慣行を採用し、進化しなければなりません。そうすることで、組織はパスワードレスシステムの利点(より優れたユーザーエクスペリエンス、より高い生産性、より低いサポートコスト、そしてもちろん、強化されたセキュリティ)を享受し始めることができます。
<span><span><span><span><span><span><a href=「 」rel=「 」target=「 」><span><span><span><span><span> <span>Okta でパスワードレスにする方法</span></u></span></span></span></span></span></a>について詳しく学び、以下の World Password(less) Day の円卓会議をご覧ください。</span></span></span></span></span></span>
