数百のテクノロジー企業が参加するFast Identity Online(FIDO)アライアンスは、NISTの新しい「重要インフラのサイバーセキュリティ向上のためのフレームワーク」に、機関や企業向けの推奨セキュリティソリューションとして多要素認証を含めるべきだと述べた。
多要素認証
パスワードの使い回しは、オンラインサービスの世界ではよくある問題です。なぜなら、パスワードの使い回しによって、本来はセキュリティが強固なウェブサイトでもアカウントへの侵入が容易になるからです。あるサービスでユーザーのパスワードが漏洩した場合、攻撃者はそのパスワード(とユーザー名)を他のサービスのログインページでも試すことができます。
この問題には、主に 2 つの解決策があります。各 Web サービスに固有のパスワードを作成できるパスワード マネージャーと、通常のパスワードとワンタイム パスワード コードなど、少なくとも 2 つの異なる要素を使用してアカウントを保護する多要素認証です。
FIDO アライアンスは、パスワードなしのログインのための生体認証の標準や、公開鍵暗号化システムに基づく Universal 2nd Factor 標準などの 2 要素認証スキームの開発に取り組んでいます。
ワールド・ワイド・ウェブ・コンソーシアム(W3C)は、FIDOの生体認証と公開鍵暗号を組み合わせたWeb認証のためのHTML仕様の拡張にも取り組んでいます。これはつまり、ユーザーは指紋でWebサイトにログインできますが、サーバー側では一意の公開暗号鍵しか認識できないことを意味します。
NISTの重要インフラ向けサイバーセキュリティフレームワーク
FIDOは、NISTの2017年版重要インフラのサイバーセキュリティ向上のための中核フレームワークでは、アカウントをハッキングから保護するためには多要素認証が必要であることがより明確に示されるべきだと主張した。
「我々はNISTに対し、『承認されたユーザーの認証は複数の要素によって保護されている』という内容の認証用の新しいPR.ACサブカテゴリを追加するよう強く要請する」とFIDOアライアンスの声明は述べている。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
同グループはまた、フレームワークの新バージョンは混乱を招いているとも述べた。「レビュー担当者への注記」セクションでは、フレームワーク内で多要素認証が扱われていると示唆されているが、実際にはそうではないからだ。
FIDO は、他の ID 関連の問題に対処するフレームワークの改善もいくつか提案しました。
同グループは、このフレームワークはアイデンティティをどのように「管理」すべきかのみを扱っているが、企業のセキュリティには、発行、管理、検証、失効、監査など、アイデンティティのライフサイクル全体をより包括的に捉える必要があると指摘した。FIDOが主張しているのは、例えばアイデンティティの検証が適切に行われていない場合、アイデンティティを適切に管理するだけでは不十分だということなのだ。
FIDO は、企業は ID の管理に加えて、ユーザーがアクセスを許可される内容も制御する必要があると主張しました。
最後に、標準化団体は、企業や機関は「アイデンティティが証明され、資格情報に結び付けられ、適切な場合にはやり取りの中で主張される」ことを確実にすることに重点を置くべきだと述べた。
NISTの重要インフラのサイバーセキュリティ向上のためのフレームワークは、セキュリティを強化し、ハッカーからの防御を強化したい企業や機関のためのガイドとしてのみ提供されています。過去の調査では、二要素認証または多要素認証がセキュリティ強化のための最良の方法の一つであることが示されています。そのため、NISTが重要インフラを扱う企業や機関にとって、多要素認証を主要なセキュリティソリューションの一つとして推奨するのは理にかなっています。
