RSAでは、デジタルセキュリティの弱点を排除することを使命としてきました。今日は、その旅の中で重要なマイルストーンを発表できることを非常に嬉しく思います。RSA AuthenticatorアプリのiOSおよびAndroid向けのバージョン4.4で、私たちのモバイルFIDOソリューションのプレビューを提供開始しました。 RSA ID Plus はFIDO2認証サーバーであり、今回のマイルストーンにより、私たちのiOSおよびAndroid向けの認証アプリもFIDO2認証を受けた認証器となりました。
これは、安全で直感的でシームレスなユーザ体験のパイオニアであり、パスワードに依存しないという私たちの目標へのコミットメントを示しています。
パスワードは長い間、サイバーセキュリティにおける重大な脆弱性とされており、人的な記憶と裁量に依存しているため、しばしば弱く、使い回しされたパスワードが使われています。これまで、QRコード、バイオメトリクス、ワンタイムパスコード、FIDO2認証ハードウェア認証器、例えば RSA DS100 など、パスワードレスソリューションをサポートしてきました。
今回のマイルストーンにより、RSA Authenticatorアプリにデバイスバウンドパスキーサポート(モバイルFIDO)が追加され、企業向けに安全なパスワードレスソリューションが提供されることとなります。これにより、サイバー犯罪者のお気に入りの脆弱性を排除し、組織のセキュリティを強化し、ユーザを安全に接続し、生産性を保つことができます。translated
パスキー は、Facebook、Apple、Amazonの消費者向けソリューションへのコミットメントに加えて、 FIDOアライアンス が「パスキー」という用語をすべてのFIDO認証情報に採用したことで、多くの注目を集めています。このため、「パスキー」という言葉が組織によって何を意味するのかについて、いくつかの混乱が生じています。 (こちらのブログもお読みください).
私たちが見つけた最も重要な違いは、デバイスバウンドパスキーと同期パスキーの違いです:
- デバイスバウンドパスキー: このタイプのパスキーは、安全に生成され、単一のデバイスに保存されます。プライベートキーはデバイスから外に出ることはなく、高いセキュリティレベルを保証します。デバイスバウンドパスキーは、鍵の流出リスクを最小限に抑え、フィッシングやその他のサイバー脅威に対して強固な保護を提供します。つまり、パスキーは他のデバイスで使用するためには手動で再登録する必要があり、企業や公共セクターの組織には理想的なオプションです。これらのソリューションはフィッシングに強く、高度なセキュリティを提供します。
- 同期パスキー: 同期パスキーは、クラウドサービスを通じて複数のデバイス間で保存・同期され、個々のデバイスを個別に登録する必要なくサービスにアクセスできる便利さを提供します。また、ホストデバイスが紛失、盗難、または交換された場合でも、パスキーの回復が可能です。これは、ユーザが数年ごとに携帯電話をアップグレードする際に特に有用です。しかし、この利便性を提供する一方で、クラウド内で同期されたパスキーを保護するためには強固なセキュリティ対策が必要です。同期パスキーは消費者向けには適しているかもしれませんが、公共や企業環境で求められるレベルのセキュリティを提供するわけではありません。
RSA Authenticatorアプリにデバイスバウンドパスキーソリューションを導入することで、クライアントのゼロトラストフレームワークを強化し、フィッシングに強いパスワードレス認証へのシンプルで深く統合された道を提供します。この技術は、従来のパスワードの弱点をなくし、シームレスで直感的なユーザ体験を提供します。
RSAのUX担当ヘッドであるフィリップ・コリヴォーは、この開発の重要性について次のように強調しています:「RSAでは、セキュリティは障壁であるべきではなく、ユーザエクスペリエンスの一部であるべきだと考えています。RSA Authenticatorアプリにおけるデバイスバウンドパスキーのサポートにより、私たちはセキュリティを向上させるだけでなく、ユーザがデジタルアイデンティティとどのように対話するかを変革しています。」translated
デバイスにバインドされたパスキーは、一般的な攻撃を無効化する複数のセキュリティレイヤーを提供します。
- フィッシング: プライベートキーはデバイスから外に出ることがないため、攻撃者はフィッシングの試みを通じてキーを傍受したり盗んだりすることができません。パスキーを直接ユーザのデバイスからフィッシングすることは技術的に不可能です。悪意のある者がクラウドへのアクセスをフィッシングしキーのコピーをダウンロードしようとする可能性はありますが、プライベートキー自体はデバイス上に安全に保たれており、大部分の攻撃を防ぎます。
- ソーシャルエンジニアリング: デバイスバウンドパスキーでは、プライベートキーは共有可能でも抽出可能でもありません。ユーザがプライベートキーにアクセスしたり覚えたり扱ったりする必要がないため、ソーシャルエンジニアリング攻撃のリスクが大幅に低減します。攻撃者はユーザが持っていない情報を暴露させるような手口を使うことができません。
- 中間者攻撃: 攻撃者がサービスと認証器間の通信を傍受しても、公開鍵だけではアクセスを取得することはできません。
translated
ほぼすべての組織がモバイルFIDOの恩恵を受けることができますが、このソリューションは特に大統領のサイバーセキュリティ命令 エグゼクティブオーダー14028 に従い、2024会計年度末までに実施する必要がある政府機関にとって価値があります。
Executive Order 14028(EO14028)は、政府機関に対してパスワードレスでフィッシングに強い認証ソリューションを使用するよう求めています。これは、重要なインフラストラクチャの近代化と防御の重要な要素ですが、政府機関は迅速に行動し、実証済みのソリューションを実施する必要があります。
RSA連邦担当プレジデントのケビン・オール氏は次のように述べています:「RSAのFIDO2認証を受けたデバイスバウンドパスキーは、大統領命令および2024会計年度の締切を満たすために努力している連邦機関にとって重要な資産です。単にチェックボックスを満たすだけでなく、RSAは数十年にわたるセキュリティ重視の実績と、協力を強化できる統一されたスケーラブルでユーザフレンドリーなソリューションを提供します。」translated
今後のRSAモバイルFIDOパスワードレスソリューションにより、より安全で直感的な認証体験が提供され、セキュリティとユーザ体験の両方が大幅に向上することが期待されます。
RSA認証アプリV4.4は、iOSおよびAndroid向けにMobile FIDOを技術プレビューとしてサポートしています。Mobile FIDO機能は、iOSおよびAndroid向けRSA認証アプリV4.5で一般公開される予定です。このバージョンは2024年第4四半期にリリース予定で、追加の強化機能とスリム化されたユーザエクスペリエンスを含む予定です。
プレビュー版のテストに興味がある方や、一般公開計画についてさらに詳しく知りたい方は、お問い合わせください。 お問い合わせはこちら.translated
RSAでは、パスワードレス技術の最前線に立っています。私たちの革新への執念は、デジタルセキュリティを再定義するソリューションの創出を推進します。私たちは、より安全でユーザーフレンドリーな世界を目指し、パスワードレス環境への移行を進めています。
この旅を共に続けることに興奮しており、Mobile FIDOソリューションをV4.5の一部として一般公開することを楽しみにしています。共に、業界の新しい基準を確立し、セキュリティが安全かつ直感的な未来に向けてリードしていきましょう。
パスワードレスな未来に向けた取り組みを引き続きリードしていく中で、さらなる更新と洞察にご期待ください。translated
