セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、 Have I Been Pwnedの創設者であり、情報セキュリティの著者であり、Pluralsight のインストラクターでもあるTroy Huntと対談しています。このブログでは、アイデンティティの最大のギャップから最新のテクノロジー ソリューションまで、アイデンティティの進化に関する洞察を Troy が共有しています。
ナタリア: 過去 10 年間でアイデンティティはどのように進化しましたか?
Troy:誰もがアクセスできる他者に関するアイデンティティ関連のデータが非常に多いため、アイデンティティに自信を持つという前提全体が根本的に変化しています。数年前、私は、知識ベースの認証がデータ侵害によってどのように影響を受けたかについて議会で証言するよう招待されました。私が挙げた例は、父が電気通信会社に電話して、ブロードバンド プランを別のプランに変更することでした。彼は彼らに自分の名前を告げ、生年月日を秘密のように尋ねました。
最大の変化は、生年月日、母親の旧姓、通学先、または米国では社会保障番号などの知識ベースの認証に基づいて、身元が何らかの形で保証されるという前提です。その考えには根本的な欠陥があり、変更が必要なアイデンティティの大きな領域です。生年月日を入力する理由がまったくなくても、入力するサービスはたくさんあります。
ナタリア: ID ソリューションの現在のギャップは何ですか?
トロイ: 「あなたの社会保障番号を教えてください。そうすれば、それがあなたであることがわかります。大丈夫です」という米国の伝統的なアプローチは、常に本質的に欠陥がありましたが、現在はさらに欠陥があります.
より大きな懸念は、他の人が私の身元を証明しようとした場合はどうなるかということです。 SMS による身元保証が非常に多いため、SIM スワッピングが心配です。通信会社はこう言うでしょう。番号の所有者が正しい人物であると確信することはできません。」そして銀行は、「これが私たちのすべてだ」と言うでしょう。私は電話会社に、「誰かが私の SIM を移行できる唯一の方法は、誰かがあなたのオフィスに来て、パスポートまたは運転免許証で身元を証明した場合にのみ、私の SIM をロックできますか?」と尋ねました。そうすれば、多くの問題が解消されます。彼らはこう言いました。政府の法律では、人々が選択の自由を持てるように、人々が自分の番号を別のプロバイダーに簡単に転送できるようにする必要があると述べています。そうしないと、プロバイダーにロックされてしまいます。」そして私は、「その結果、私が使用しているプラットフォームによっては、誰かが私の非常に重要なアカウントに侵入する可能性があります」と答えました。彼らの反応: 身元確認の手段として SIM を使うべきではなかった。
ナタリア: 組織はどうすれば ID リスクを軽減できますか?
Troy:多くの組織では、インシデントが ID に影響を与えた場合に何が起こるかについて、十分な事前検討が行われていません。その一例が侵害への備えです。長年にわたり、多くの組織がディザスタ リカバリ計画を立てていました。これは、サイト全体がダウンした年次演習です。彼らがデータ侵害の影響を掘り下げているのを見ることはめったにありません。組織が、他の人がアイデンティティを取得できるようになる可能性のある情報が漏洩したときに何が起こるかを予行演習することはめったにありません。
データ侵害があり、開示で非常にうまくいった組織の 1 つが Imgur でした。 24 時間以内に、すべての適切なメッセージが全員に送信され、パスワードがサイクル化されました。私はチーフ・テクニカル・オフィサーに尋ねました。そして彼は言った、「私たちはそれを計画しています。私たちは、このような事件にどう対処するかについて、文字通り手順を書いていました。」多くの場合、今日の組織に欠けているのは、こうした備えです。
ナタリア: エンタープライズと消費者の ID テクノロジの最大の違いは何ですか?
Troy:内部の企業向け ID を持つこれらの個人は、あなたの組織で働いており、おそらく給与を支払っています。顧客に頼めないことを顧客にやらせることができます。 Universal 2nd Factor (U2F) はその好例です。支払いを行っているため、組織内の全員に U2F を出荷できます。さらに、社内スタッフをトレーニングして、これらのテクノロジの使用方法を習得することができます。私たちは内部組織でより多くのコントロールを持っています。
消費者はもっと大変です。彼らは何かが気に入らなければ、船を飛び越える可能性が高くなります。 多要素認証のようなテクノロジーの採用率は、消費者の世界では非常に低く、人々はそれが何であるか、または価値提案を知らないためです。また、組織がそれを推進することに消極的であることもわかります。数年前、あるクライアントの 2 要素認証の採用率は 1% でした。私は「もっと頑張らない?」と尋ねました。彼らは、2 要素認証を使用する人が増えるたびに、新しい電話を手に入れ、ソフト トークンを移行したり、回復コードを保存したりしない人が増えると述べました。次に、彼らは彼らに電話をかけ、こう言います。入れてもらえますか?」そして、彼らはこの大きなスパイラルを通過しなければなりません。最初に身元確認を行うために設定したものなしで、どのようにして身元確認を行うのでしょうか?
ナタリア: ユーザー エクスペリエンスとセキュリティのバランスを取るために、消費者向けのシステムとポリシーを構築する際に考慮すべきことは何ですか?
Troy:大きな疑問の 1 つは、アカウント乗っ取りの影響はどのようなものかということです。 Dropbox のようなものでは、多くの重要なものを Dropbox に保存しているため、アカウント乗っ取りの影響は非常に大きくなります。 catforum.com のようなフォーラム コミュニティであれば、アカウント乗っ取りの影響は最小限です。
人口動態も考えます。 Dropbox は非常に広く採用されています。私の両親は Dropbox を使用していますが、特にテクノロジーに精通しているわけではありません。スタック オーバーフローについて話している場合、非常に技術に精通した現職の聴衆がいます。通常はユーザー名とパスワードだけで、慣れ親しんだものとは異なることを人々に求めることを、より強く推進することができます。
もう 1 つの質問は、個人ごとにお金を使う価値があるかどうかです。ノルウェー人の私のパートナーは、物理的なトークンを使用してノルウェーの銀行にログオンできます。物理的なトークンは、すべての顧客にとって前払いのコストだけでなく、メンテナンス コストもあります。あなたは時々それらを循環させなければならないでしょう、そして人々はそれらを失います.そして、それをサポートする必要があります。しかし、それは銀行なので、彼らはその投資をする余裕があります.
ナタリア: 従業員、パートナー、顧客の ID を保護するためのアドバイスは何ですか?
Troy:私は、ユーザー名とパスワードだけでは身元として扱われないことを確信できる、強力な認証の何らかの形式をお勧めします。特にクレデンシャル スタッフィングが非常に多く、リストに何十億ものクレデンシャル ペアがあることを考えると、これは心配です。また、大きな疑問もあります。そもそも、私たちはどのようにしてアイデンティティを確立したのでしょうか?個人情報の盗難、なりすまし、さらには操り人形アカウントであるかどうかに関係なく、登録時、およびその後の再認証時に、ID にどの程度の自信を持っている必要があるでしょうか?これにより、必要な身分証明書のレベルについての議論が促進されます。しかし、繰り返しになりますが、登録時に身元の高い保証を提供するための一貫したメカニズムが業界内、または 1 つの地域内でさえないという事実に戻ります。
ナタリア: パスワードレスは大きなバズワードです。多くの人は、それを私たちのアイデンティティの問題の多くに対する解決策と考えています.あなたの視点は何ですか?
トロイ: 10 年前にインタビューを始めたとき、人々はこう尋ねました。 10 年後もパスワードを保持しているでしょうか?」これまで以上に多くのパスワードが使用されています。10 年後には、さらに多くのパスワードが使用されるようになると思います。 パスワードレスのソリューションを手に入れても、他のパスワードはなくなりません。
私は最新の iPhone を持っており、Face ID を備えています。 Face ID の価値提案は、パスワードが必要ないことです。デバイスを認証するためのパスワードはありません。電話が届いたとき、箱から取り出してネットワークに接続する必要がありました。ネットワークパスワードは?よくわからないので、1Password に行って引っ張り出します。つまり、パスワードは 1 つです。次に、電話で「iCloud から復元しますか?」というメッセージが表示されます。あなたのiCloudパスワードは何ですか?今は 2 つのパスワードがあります。 Face IDを使いたいですか?はい、パスワードレスにしたいからです。それはクールですが、代替手段としてパスワードが必要です。これで、パスワードレスに移行するためのパスワードが 3 つになりました。 パスワードレスとは、必ずしもパスワードを完全に廃止することを意味するわけではありませんが、パスワードを使用する普及率を変更することを意味します。
トロイ ハントが今日の世界で ID を保護する方法に関するベスト プラクティスを共有しているインタビューの第 2 部に注目してください。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments