By Garry McCracken
企業がインターネットを利用してビジネスを行っている限り、フィッシングメール、認証情報の盗難、マルウェア攻撃などのオンラインセキュリティの脅威は、常にデジタル業務に影を落としてきました。このような脅威に対する基本的な防御策の1つが、ユーザ認証戦略の導入です。簡単に言えば、認証されたユーザが、自分が本人であることを証明するために何らかの行動をとることです。認証されると、システムへのアクセスが許可され、自由に業務を遂行することができます。
長年にわたり、これらの認証方法は、より優れたセキュリティを提供するために進化してきましたが、必ずしも優れたユーザエクスペリエンスを提供できるわけではありません。しかし今日では、この2つの要素を満たす新しいアプローチが登場しています。この革新的な技術がどのようにして実現されているのかを理解するために、これまでの認証方法の変遷を見てみましょう。
パスワードの問題点
当初は、パスワードが主な認証手段でした。これは、昔も今も、最適な方法とは言えません。攻撃者がパスワードを予測したり入手したりする事を防ぐことは非常に困難で、ネットワークへの容易な侵入口となっているからです。また、ユーザは、どのような文字、数字、特殊文字を使ってパスワードを作成したかを覚えていなければならず、しばしば失敗してしまいます。
この方法を改善するために、パスワードに第2の要素を加えました。この開発は様々な形で行われ、それぞれがユーザに追加のアクションを要求するものでした。これには、SMSテキストメッセージ、1回のログインにのみ有効なワンタイムパスワード(OTP)、あるいはユーザのスマートフォンのアプリに送信されるプッシュ通知などが含まれます。
ここで良かったのは、セキュリティが強化されたことです。一方で、ユーザエクスペリエンスに新たな複雑さをもたらし、業務を遂行しようとする従業員に混乱と不満を与えることが多かったのも事実です。さらに、これらSMS、OTP、スマートフォンのアプリなど第2の要素を使った認証を対象としたフィッシング攻撃が蔓延し、企業のネットワーク侵害を防ぐには課題があることが明らかでした。
ゼロトラストを目指して
このような危険性に対応するため、米国政府はここ数年、SMS、OTP、プッシュ通知の使用を禁止するゼロトラスト戦略を推進してきました。このように、古いMFAの要素が淘汰されていくことで、セキュリティの水準が高まっています。
そして公開鍵を使用するパスワードレス認証が、ゼロトラスト戦略で認められた唯一のソリューションとなりました。公開鍵を使用するパスワードレス認証が推奨される理由として、パスワードやOTPなどの秘密情報をユーザとサーバで共有しない、鍵情報はユーザが簡単に外部に漏らす事が出来ない、暗号技術がベースになっている、などがあげられます。さらにセキュリティを強化するために、パスワードレス認証を実行するクライアントデバイスを使うために(アンロックするために)、生体認証やPINなどを活用します。
しかし、ゼロトラストの主な考え方は、「決して信用せず、常に検証する」というもので、ユーザは常に自分自身を検証しなければならず、これは非常に悪いユーザエクスペリエンスとなります。そのため、セキュリティは大幅に改善されているものの、ユーザエクスペリエンスの面ではまだ不十分なソリューションとなっています。
この課題を解決する、最新の、そしておそらく最も重要となる認証ソリューションが、ウィンマジックのMagicEndpointです。MagicEndpointはパスワードレス認証と同様、公開鍵ベースの認証です。その違いは、エンドポイント自身が正しいユーザ(本人)であるかどうかを継続的に検証する事です。これにより、ユーザの操作が不要となり、従業員は常に手作業で自分自身であることを継続して検証するという大きな負担から解放されます。
MagicEndpointが導いたのは、ユーザが待ち望んでいた認証ソリューション、すなわち鉄壁のセキュリティと優れたユーザエクスペリエンスの組み合わせです。
ウィンマジックは、情報セキュリティに対するこの新しいアプローチにより、お客様が活用するためにどのように支援できるかをご紹介します。