強力な認証に対する需要の高まり

増大する組織のデータを保護するためのより良い方法に対する需要。

IDおよびアクセス管理（IAM）市場は引き続き大幅に成長しており、研究機関は年間成長率を13％から26％の間と予測しています。

あらゆる形態と規模の組織のITリーダーにとって、保持しているデータを保護することがこれまで以上に重要になっていますが、それでも多くの従業員はパスワードを使用して安全なデータにアクセスできます。

企業が保持するデータは、私たちが働く場所や従業員が使用するデバイスとともに指数関数的に増大するため、適切な人々が適切なデータにアクセスできるようにするためのソリューションを組織が用意することが重要です。

パスワード：pR0tEct3D

しかし、私たちはすべてにパスワードを使用しています。 私たちは守られていますよね？

パスワード、ワンタイムパスワード（OTP）でさえ、認証の弱い方法であり、安全ではありません。 サイバー犯罪者や国民国家のハッカーは、多数のフィッシング詐欺、ソーシャルエンジニアリング、および弱い従業員認証を使用して組織からデータを盗むためのブルートフォース手段を持っています。

組織として、私たちは標準として強力な認証を支持しています。 しかし、多くの人は、強力な認証が大企業と大規模な予算のために予約されているとまだ確信しています。

そうではなく、あらゆる規模の組織で強力な認証が実現可能であるという認識を高めるために取り組んでいます。

認証ピラミッド

デジタルIDとアクセス管理の階層は、ピラミッドのように考えることができますが、クフやギザというよりは、マズローの欲求階層説に似ています。

このピラミッドは、IAMランドスケープの認証スライスがどのように分類され、現在市場で利用可能なテクノロジーを分類するかを視覚化する簡単な方法を提供します。

そこには無数の多要素認証ベンダーがありますが、それらすべてがどこに適合し、それらのテクノロジーの長所と短所を知ることは、平均的な偉業ではありません。

ピラミッドの基部には、セキュリティの低い認証方法があります。 パスワードは、データ侵害の80％以上の原因であり、本質的に安全ではなく、エンドユーザーにとっては苦痛であり、ITチームにとっても同様に苛立たしいものです。

次は、ワンタイムパスワード（OTP）です。 OTPは、パスワードのみよりも優れた保護を提供しますが、他のより強力な認証方法と比較すると、依然として脆弱です。 たとえば、サーバーによって生成されてモバイルデバイスに送信されるSMSによるOTPでは、エンドユーザーはSMSを介して受信したショートコードを入力して、認証サーバーとのIDを確認する必要があります。 ここでの弱点は、SMSが安全な通信チャネルではないという事実に起因しています。 不正なアプリはSMSを傍受してハッカーに転送する可能性があり、クレデンシャルがユーザーIDに直接バインドされることはなく、ユーザーエクスペリエンスは低下します。 OTPトークンはより堅牢で、多くの場合対称暗号化に依存していますが、これは通常、危険にさらされる可能性のある共有秘密鍵に依存しています。

ピラミッドをさらに上っていくと、生体認証があります。 指紋でこのデータにアクセスできれば、安全でなければならないという認識がありますよね？ 完全ではありません。

バイオメトリクスはさまざまなデバイスでサポートされており、優れたユーザーエクスペリエンスを提供しますが、一元化されたバイオメトリクスは危険にさらされる可能性があります。 使用するハードウェアとソフトウェアによっては、誤一致のリスクがあり、生体認証は依然として認証の単一の要素です。 高度なセキュリティ環境を要求するITポリシーの場合、生体認証デバイスのプラットフォームセキュリティは必要な強度に達していないことがよくあります。

プッシュ通知は、より高いレベルの認証セキュリティを提供します。SMSとは異なり、プッシュメカニズムは通常暗号化されているため、攻撃に対する耐性があります。 これにはある程度の投資が必要です。通常は認証サーバーであり、認証メカニズムのトリガーのセキュリティを考慮することが重要です。 プッシュ通知は安全ですが、それによってトリガーされる認証メカニズムは安全性が低い場合があります。

Faster Identity Onlineは、FIDOとしてよく知られていますが、認証ピラミッドのほぼ最上位にあります。 標準に基づいており、秘密/公開鍵暗号化を使用しているため、これはますます増えている認証方法です。 PIN、指紋、Face IDはすべてFIDOでサポートされているため、ユーザーエクスペリエンスは良好です。 FIDOの制限は、それが安全なデジタルIDであるが、個人にバインドされたデジタルIDではないことです。 公開鍵はユーザーIDに直接バインドされていないため、否認防止を証明することは困難です。 これは、認証要素がログインに制限されていることを意味します。ユーザーは、追加のソリューションなしでは安全に署名または暗号化できません。 FIDOには認証サーバーへの投資も必要です。

認証ピラミッドの最上部には、公開鍵インフラストラクチャ（PKI）があります。 PKIは、秘密鍵と、信頼できる機関によって発行された公開鍵および証明書を組み合わせたものです。 暗号化に基づいて、非対称暗号化を使用して、ユーザーが登録されると、証明書は、多要素認証を使用して認証する個人のデバイスにキーをバインドします-彼らが持っているもの（認証されたデバイスと彼らが知っているもの（ PIN）および/またはそれらが（生体認証）であるもの。

この多要素認証（MFA）の方法は、組織独自のセキュリティポリシーによって推進されているため、PKIはPIN、指紋、およびFaceIDをサポートします。 PKIは、キーをユーザーIDにバインドするため、否認防止を可能にし、デジタル署名とユーザーによる暗号化による認証と承認を可能にします。 さらに、公開鍵は証明書に含まれており、PKIは組み込みのWindowsセキュリティ機能を使用してMicrosoft環境に簡単に統合できるため、トランザクションはどのシステムでも検証できます。

PKIは最適なセキュリティを提供しますが、ITリーダーの間では、PKIは複雑なソリューションであると長い間認識されてきました。 その結果、企業はピラミッドをさらに見下ろし、安全性は低くなりますが、ソリューションの実装が容易になる傾向があります。 スマートフォンやYubiKeyなどのUSBトークンなどの改善されたエンドユーザーテクノロジ、およびMicrosoftのWindows Hello for Businessなどのプレインストールテクノロジにより、暗号レベルの保護はあらゆる規模の組織にとってはるかにアクセスしやすくなっています。

ソリューション重視

Intercedeのような組織は、暗号革命の最前線であり、より多くの企業が強力な認証セキュリティを採用できるようにするための資格管理ソフトウェアプラットフォームを開発することで対応してきました。

多くの組織がすでにITインフラストラクチャに組み込んでいるMicrosoftActiveDirectoryとCertificateServicesテクノロジを、ベストプラクティスに基づいて事前定義されたビジネスプロセスと組み合わせることにより、まったく新しい範囲のビジネスがトップに到達するためのシンプルで手頃な価格の資格管理を開発しました。認証ピラミッドの。

クレデンシャル管理ソフトウェアがないと、500人を超える従業員のボリュームでスマートカードとUSBトークンを管理することは複雑になり、ITチームにとって非常に時間がかかります。

ただし、PKIクレデンシャルの管理の複雑さを取り除くこの新しい機能により、データセキュリティを妥協したくない企業にとって、最も強力な形式のユーザー認証がはるかに利用しやすくなります。

ソリューションをITインフラストラクチャに統合することで、組織はさまざまなメーカーの従業員のスマートカードやYubiKeyなどのUSBトークンへの証明書の発行を開始できます。 また、再発行、失効、ロック解除、更新、削除、更新のための従業員の資格情報のライフサイクル管理を一元的に制御できます。

安全なWindowsとネットワークのログオン、VPNとリモートアクセス、電子メールの署名と暗号化、クラウドリソースへのアクセスの保護など、これらの新しく利用可能なソリューションにより、あらゆる規模と構造の企業が2つの最も安全な方法に簡単にステップアップできます。 -従業員全体の要素認証。

その結果、市場では、責任のあるデータを保護するためのより良い方法を求めている組織からの需要が大幅に増加しています。 これは、サイバーセキュリティソリューションベンダーだけでなく、従業員、市民、消費者、そしてより広い社会にとっても励みになる兆候です。

___
アレンストーリー
出典： ITProPortal