2022年は、これまでに 多くのハイプロファイルなサイバー攻撃が発生 しており、その多くは盗まれた資格情報から始まっています。Uber、The North Face、DoorDash、Microsoft、Okta、Marriottなど、2022年にはフィッシング攻撃、ソーシャルエンジニアリング、その他の手法を使って、ハッカーによってターゲットにされた企業が数多くあります。ユーザー名、パスワード、保護されたデータを手に入れるために行われた攻撃です。
認証情報に関連する侵害は新しいものではありません。Verizonは2008年以来、 年次のデータ侵害調査レポートでこれを追跡しており、 過去 15年間でパスワードがすべてのデータ侵害の主要な原因の一つであることが明らかになっています。しかし、この問題は悪化しています。 最近の報告書 によれば、国内調査で84%の組織が身元に関連する攻撃を経験したとされています。別の 2022年中頃 の調査では、1つのSOCが特定したサイバーセキュリティインシデントの半数以上がアイデンティティに基づく攻撃であることが示されました。
資格情報に基づく攻撃がどれほど浸透しているかを考えると、このトレンドをどのように逆転させるかを考えなくてはいけません。そして、その答えとしては、古くて馴染み深いユーザー名とパスワードの組み合わせに頼ることをやめ、アイデンティティを検証するための方法を見直すことです。組織が認証に主にパスワードを依存し続ける限り、資格情報に基づく攻撃の数は増加し続けるでしょう。パスワードは単に攻撃する者にとって無視できないほど普及しており、常に狙われています。
RSAでは、私たちは断固として、少ないパスワードがより良いセキュリティを意味すると信じています。私たちは長年にわたり、パスワードレス認証の推進のために主張しており、2014年以来、 FIDOアライアンス と協力しています。私たちはFIDO Allianceの理事会メンバーとして活動し、また、FIDOプロトコルを自社のアイデンティティおよびアクセス管理製品およびソリューションに組み込んでいます。
パスワードの段階的廃止を支持している一方で、その使用が根深いことも認識しています。企業は何十年もの間、これに依存してきたため、パスワードが一夜にして消えることはありません。パスワードレス認証の採用を支援する最良の方法の一つは、組織がパスワードレスの手法に移行しやすくすることです。具体的な例として、私たちの新しい DS100 認証システムがあります。
DS100は、RSAがパスワードレス認証への組織の支援に真剣に取り組んでいることを示す、安全で多機能なハードウェア認証システムです。この認証システムは、ワンタイムパスワード(OTP)とパスワードレスのFIDO2認証の両方を単一のデバイスでサポートしており、組織は認証システムを変更することなく、ユーザーをパスワードレスに移行させながらセキュリティを確保できます。物理的に展開されながらもクラウドで管理され、DS100はRSAのID Plus クラウドおよびハイブリッドアイデンティティプラットフォームの一部として提供されています。
DS100は、パスワードのリスクを削減し、認証を向上させる上で重要な資産となります。
認証を向上させる次のステップは、知識を統合することです。最良の認証は、ユーザーがまったく実行する必要のない種類です。コンテクスト分析と人工知能(AI)を使用してリスクを動的に評価することで、セキュリティシステムはユーザーにいくつかの要素を提供する必要なく認証を管理できます。知識を統合した認証は、ほとんどユーザーには見えないため、迅速でスマートで、ユーザーにとっては容易です。
知識を統合した認証がDS100をサポートし、組織のセキュリティを向上させる方法について下記のリンクで詳しく説明いたします。
# # #
ダウンロードはこちらから DS100 datasheet ご覧いただけます。