目次:
ビデオ: Amito cosita ã ã ã (十一月 2024)
アイデンティティ管理(IDM)システムに誰であるかを証明するとき、最近では、ログイン時にコードを電話に送信するプロンプトなど、ユーザーIDとパスワード以外に追加の手順が必要になることに気付いているかもしれません通常使用するデバイス以外のデバイスからGmail、Twitter、または銀行口座に移動します。 自分の身元を証明するためにその情報を入力する必要があるため、最初のペットの名前や母親が生まれた場所を忘れないようにしてください。 パスワードと組み合わせて必要なこれらのデータは、多要素認証(MFA)の1つの形式です。
MFAは新しいものではありません。 それは物理的技術として始まりました。 スマートカードとUSBドングルは、正しいパスワードが入力されたらコンピューターまたはソフトウェアサービスにログインするために必要なデバイスの2つの例です。 ただし、MFAはこのログインプロセスを急速に進化させ、モバイルプッシュ通知などの他の識別子を含めるようにしています。
Centrify Identity ServiceのメーカーであるCentrify Corp.の社長であるTim Steinkopf氏は、次のように述べています。「企業がハードウェアトークンを展開しなければならず、ユーザーが60秒ごとにローテーションする6桁のコードを入力することにイライラしました 「それは高価でユーザーエクスペリエンスが悪かったのです。MFAは、携帯電話にプッシュ通知を受信するのと同じくらい簡単です。」 ただし、Steinkopfによると、ショートメッセージサービス(SMS)を介して受信するコードでさえ、今では眉をひそめています。
「SMSは傍受される可能性があるため、MFAコードの安全な転送方法ではなくなりました」と彼は言いました。 「非常に機密性の高いリソースについては、企業は新しいFast IDentity Online(FIDO)Alliance標準に準拠した、より安全な暗号トークンを検討する必要があります。」 暗号トークンに加えて、FIDO2規格には、World Wide Web Consortium(W3C)のWeb認証仕様と、Client to Authenticator Protocol(CTAP)が組み込まれています。 FIDO2規格は、顔認識、指紋スワイプ、虹彩スキャンなどの埋め込み生体認証を使用したユーザージェスチャもサポートしています。
MFAを使用するには、スマートフォンなどのデバイスにパスワードと質問を組み合わせて組み込むか、指紋と顔認識を使用する必要があります、とOkta Identity ManagementのメーカーであるOktaのセキュリティ製品マーケティング管理部長のJoe Diamond氏は説明します。
「現在、より多くの組織が、SMSベースのワンタイムパスワードに関連するセキュリティリスクをMFA要因として認識しています。悪意のある人物が「SIMスワップ」して携帯電話番号を引き継ぐことは非常に簡単です」とDiamond氏は言います。 「このような標的型攻撃の危険にさらされているユーザーは、デバイスとサービスの間で暗号化ハンドシェイクを作成するバイオメトリックファクターやハードトークンなどの強力な2番目のファクターを実装する必要があります。」
MFAは完璧ではない場合があります。 11月27日に、Microsoft Azureは、ユーザーがActive Directoryなどのサービスにサインインしようとしたときに多くの失敗したリクエストを引き起こしたドメインネームシステム(DNS)エラーにより、MFAに関連する機能停止に陥りました。
クレジット:FIDO Alliance
モバイルプッシュ通知
専門家は、セキュリティとユーザビリティの効果的な組み合わせを備えているため、モバイルプッシュ通知がセキュリティの「要因」の最適なオプションであると考えています。 アプリケーションは、サービスがユーザーのログインまたはデータの送信を試みていることを通知するメッセージをユーザーの電話に送信します。
「ネットワークにログインして、パスワードだけを入力するのではなく、デバイスにプッシュされて「はい」または「いいえ」と表示され、このデバイスを認証しようとしています。「はい」と入力すると、ネットワーク」と、モバイル認証アプリDuo Pushを提供するシスコのDuoセキュリティビジネスのグローバルアドバイザリー最高情報セキュリティ責任者(CISO)であるデイブルイスは説明しました。 MFAを提供する他の製品には、Yubico YubiKey 5 NFCおよびPing Identity PingOneが含まれます。
これらのパスワードはかなり簡単にハッキングされる可能性があるため、モバイルプッシュ通知にはSMS経由で送信されるワンタイムパスワードがありません。 MFAソリューションプロバイダーSilverfortの共同設立者兼CEOであるHed Kovetz氏によると、暗号化により通知が効果的になります。
「ワンクリックだけで、まったく異なるデバイスであるため、セキュリティは非常に強力です」と彼は言いました。 「アプリが侵害されていて、最新のプロトコルで完全に暗号化および認証されている場合、アプリを変更できます。標準SMSは基本的に弱く、Signaling System 7(SS7)攻撃で簡単に侵害されるため、簡単に侵害されるSMSとは異なりますSMSに対する他のあらゆる種類の攻撃。」
MFAはゼロトラストを組み込んでいます
MFAはZero Trustモデルの重要な部分です。このモデルでは、正当なユーザーであることを確認するまでネットワークユーザーを信頼しません。 「MFAを適用することは、ユーザーが実際に自分が言うとおりの人物であることを確認するために必要なステップです」とSteinkopf氏は述べています。
「MFAは、アクセスを許可する前に最初にユーザーの信頼を確立する必要があるため、あらゆる組織のZero Trust成熟モデルで重要な役割を果たします」とOktaのダイヤモンドは付け加えました。 「MFAポリシーをアクセスポリシーと組み合わせて、適切なユーザーができるだけ少ない摩擦で適切なリソースに適切にアクセスできるようにするために、これはすべてのリソースにわたる集中化されたID戦略とも組み合わせる必要があります。」
クレジット:FIDO Alliance
パスワードは置き換えられますか?
多くの人はパスワードを放棄する準備ができていないかもしれませんが、ユーザーが引き続きパスワードに依存する場合は、パスワードを保護する必要があります。 実際、Verizonの2017年のデータ侵害レポートでは、データ侵害の81%が盗まれたパスワードに起因していることが明らかになりました。 これらの種類の統計は、システムを確実に保護しようとする組織にとってパスワードを問題にします。
「パスワードを解決してパスワードを取得し、よりスマートなタイプの認証に移行できれば、今日起こっているデータ侵害のほとんどを防ぐことができます」とSilverfortのKovetz氏は述べています。
パスワードはどこにでも消える可能性は低いが、特定のアプリではパスワードが削除される可能性がある、とSilverfortのKovetzは指摘した。 彼は、コンピュータハードウェアとモノのインターネット(IoT)デバイスのパスワードを完全に削除することはより複雑になると述べました。 彼が完全なパスワードなしの認証がすぐに起こらないかもしれないと彼が言ったもう一つの理由は、人々が彼らに心理的に執着しているからです。
シスコのルイスによると、パスワードからの移行には組織の文化的変化も伴います。 「静的パスワードからMFAへの移行は、根本的に文化的な変化です」とルイス氏は言います。 「あなたは、人々が長年やってきたこととは異なることを人々にさせている。」
MFA処理と人工知能
人工知能(AI)は、IDM管理者とMFAシステムが大量の新しいログインデータに対処するために使用されています。 SilverfortなどのベンダーのMFAソリューションは、AIを適用して、MFAが必要な場合と必要でない場合の洞察を獲得します。
「AI部分を組み合わせると、特定の認証にMFAが必要かどうかを最初に決定できます」とSilverfortのKovetz氏は述べています。 彼は、アプリの機械学習(ML)コンポーネントは、中国の誰かが従業員のアカウントに突然アクセスし、従業員が米国で定期的に働いている場合など、異常な活動パターンを検出した場合、高いリスクスコアを提供する可能性があると述べました。
「ユーザーが会社発行のPCを使用してオフィスからアプリケーションにログインする場合、MFAは「通常」であるため必要ありません」とCentrifyのSteinkopf氏は説明しました。 「しかし、同じユーザーが海外に旅行している場合、または他の人のデバイスを使用している場合、リスクが高いため、MFAを求められます。」 Steinkopfは、MFAは多くの場合、追加の検証手法を使用する際の最初のステップであると付け加えました。
CIOは、新しいMFA展開で成長傾向にある行動バイオメトリクスにも注視しています。 行動バイオメトリクスはソフトウェアを使用して、ユーザーが入力またはスワイプする方法を追跡します。 これは簡単に聞こえますが、実際には急速に変化する大量のデータを処理する必要があるため、ベンダーはMLを使用して支援しています。
「認証におけるMLの価値は、複数の複雑な信号を評価し、それらの信号に基づいてユーザーのベースライン「アイデンティティ」を学習し、そのベースラインに対する異常について警告することです」とOktaのDiamondは述べました。 「行動バイオメトリクスはこれが役立つ例です。ユーザーがデバイスを入力、歩行、またはその他の方法でやり取りする微妙な違いを理解するには、そのユーザープロファイルを作成するための高度なインテリジェンスシステムが必要です。」
消える境界
クラウドインフラストラクチャ、クラウドサービス、特にオフプレミスIoTデバイスの大量のデータの進化により、組織のデータセンターの場所には物理的な境界以上のものが存在するようになりました。 また、クラウド内の会社の資産を保護する必要がある仮想境界もあります。 どちらのシナリオでも、Kovetzによると、アイデンティティが重要な役割を果たします。
「以前は、オフィスのように物理的に境界が定義されていましたが、今日では境界はアイデンティティによって定義されます」とKovetz氏は言います。 境界がなくなると、強力なファイアウォールが有線デスクトップコンピューターに提供していた保護もなくなります。 MFAは、ファイアウォールが従来行ってきたことを置き換える方法の1つである可能性がある、とKovetzは提案しました。
- 二要素認証:誰がそれを設定し、どのように設定するか二要素認証:誰がそれを設定し、どのように設定するか
- 境界を超えて:階層型セキュリティに対処する方法境界を超えて:階層型セキュリティに対処する方法
- ゼロトラストモデルはセキュリティの専門家と蒸気を獲得ゼロトラストモデルはセキュリティの専門家と蒸気を獲得
「ネットワークセキュリティ製品はどこに置きますか?」 コベツは尋ねた。 「ネットワークセキュリティはもう機能しません。MFAは、境界のないネットワークを実際に保護する新しい方法になります。」
MFAが境界を越えて進化している1つの重要な方法は、PCMag Labsが過去1年にレビューしたIDMサービスのほとんどを含む、SaaS(Software-as-a-Service)ベースで販売されているIDシステムの急増です。 データセキュリティプロバイダーのEvidentの共同設立者兼最高製品責任者(CPO)であるNathan Rowe氏は、次のように述べています。 SaaSモデルは、コストと展開の複雑さの両方を大幅に削減します。そのため、Roweによると、IT支出とオーバーヘッドが削減されるため、中小企業にとって大きな助けになります。
SaaSソリューションは確かにIDMの未来であり、それがMaaSの未来でもあります。 小規模企業でも容赦なくマルチクラウドおよびクラウドサービスITアーキテクチャに移行しており、MFAやその他の高度なセキュリティ対策への容易なアクセスがすぐに必須になるため、これは朗報です。
