Skip to main content
Securing the Digital World

PKIからFIDOへ ― あなたの旅を始めるときです

  • by Anna Sarnek

Man holding a laptop

最近発生したコロニアル・パイプライン・ハッキングは、サイバーセキュリティにおける多要素認証 (MFA) の重要性を改めて浮き彫りにしました。米国のサイバーセキュリティを推進するためのバイデン大統領による大統領令では、MFAと暗号化を義務付けています。これは公共部門初であり、基礎を成すMFAが組織のセキュリティ・スタンスをどう展開しているかを示すものです。

この大統領令は、米国の機関とそれら機関が扱うデータを保護するための重要なステップです。しかし、今日公共部門で使用されている最も一般的な形態のMFAの導入 (PKI: 公開鍵基盤) は、各機関に委ねられる可能性が高いのです。PKIは、公共部門のアイデンティティセキュリティ分野で次に何が起きるかを議論する際、最も賞賛され、あるいは最も恐れられる用語です。一方、PKIに依存する証明書ベースの認証は、その保証レベル (LOA) を考えると、最も安全な認証方法として長い間賞賛されてきました。一方、PKIインフラでは実装コストが上昇します。また、特に最近のデバイスでPKIを使用している場合、エンドユーザーが従来のPKIオーセンティケーター (スマートカード) で実行できることを制限する厄介な制限もあります。

公共部門のアイデンティティ認証にPKIが使用され始めてから60年 (商業部門では50年) が経過しました。これは、あらゆるテクノロジーにおいても非常に長い寿命であり、特に組織の資産を保護するために重要なテクノロジーです。

では私たちの部門が最も安全なMFAとしてPKIを置き換えるため、より近代的で好ましい認証標準の採用を増やすのに苦労しているのはなぜでしょうか?

たやすい答えは、PKIのLOAを指摘し、それが満たすセキュリティ要件に見合う代替手段はないと主張することです。しかしその真の答えは、セキュリティの解決は通常ソリューションのエコシステムによるのであり、1つの支配的な標準が解決するものではないことを忘れてしまったから、ということかもしれません。

PKIは、両カテゴリーで最大のLOAを満たしています。  

  1. リソース所有者は、特定の既知の個人が、登録機関によって発行された認証情報に関連付けられていると想定。 
  2. そのユーザーは認証情報を提示し、リソースにアクセスするために認証情報を制御。

しかし、PKIには、保証に関して独自の問題があります。PKI証明書が検証されたアイデンティティに関連付けられている間、アイデンティティの検証は通常、証明書生成の最初の時点でじかに行われます。新しい職場に来て、書類に記入し、社員証用に写真を撮ってもらうことを考えてみてください。これは、アクセスのプロビジョニングを開始する優れた方法ですが、その拡張は容易ではなく、結果として高額な経費が発生し、政府のITサービス内の副次産業になっています。また、このセキュリティのゴールド・スタンダードでは、ユーザーの行動を監視しないため、脅威を軽減するための継続的なアイデンティティ検証も考慮されていません。

FIDO: MFAへのモダンな方法

PKIは、本人確認と連携しており、ユーザーが本人確認のために現れて認証情報をクリアし、作業に必要なリソースにアクセスしたときに最適に動作する傾向がありました。しかし企業がより多くのリソースをクラウドに移行し、リモートワークの普及が進むにつれて、別のセキュリティプロトコルである「素早いオンライン認証 (FIDO)」が着実に注目を集めています。

FIDOは、FIDO認証情報が検証済みアイデンティティに常に関連付けられているわけではないという点でPKIとは異なります。代わりに、認証フローに関連付けられます。この認証フローは検証済みアイデンティティに関連付けられる場合と関連付けられない場合があります。LOAはFIDO認証情報の登録時にユーザーのアイデンティティがどのように検証されるかによって異なります。これは、FIDOが最高レベルのLOAエンタープライズ使用事例をサポートしていない場合があるということです。しかしFIDOは使いやすく、実装コストが低い傾向にあり、オペレーションを保護するためのMFAの層を提供します利便性は認証の鍵です。このソリューションがユーザーにとって使いやすければ、ユーザーは認証回避する方法を見つけようとせずその認証方法を使う可能性が高くなります。

これらのトレードオフを判断する際には、セキュリティスペースがエコシステムであることを覚えておくのが重要です。PKIの60年間の優位性は異例です。多くの場合でほとんどの使用事例に適切に対応できないワンパターンなアプローチにつながり、レガシーインフラのメンテナンスコストが上昇しました。FIDOは検証済みアイデンティティにネイティブに関連付けられているわけではありませんが、身分証明書検証、動作ベースのユーザー検証、生体認証および同様のソリューションを含む他手法が、リモートの世界で注目を集めています。これらはいずれも、FIDOと並行して継続的なアイデンティティ検証を提供する高度な機能を備え、PKIと比較してより安全なMFAシナリオを実現しています。

FIDOは主にウェブベースのリソースのサポートから、エンドユーザーのデバイスへのログインやオンプレミスアプリへと進化してきました。私たちは、FIDOがその技術の進歩を続け、より多くのユーザーと使用事例をカバーすることを期待しています。このようなイノベーションを本質的にコスト効率の高いFIDOインフラと組み合わせ、アイデンティティのバインド、再バインド、パスワード・リセットに関連するサービスデスクのコストの排除を支援することで、FIDOがセキュリティ重視の企業にとって最も魅力的なモダンMFAになると考えています。エンタープライズIT変革イニシアチブが複数年にわたるプロジェクトであることは周知の事実です。 

MFAを義務付けることで米国政府は、私たちの多くが頼りにしている公共機関を確保する重要な第一歩を踏み出しました。しかし、複雑な組織と同様に、公的機関も投資を最大限に活用し、長期的変化に対応できるソリューションの検討が必要です。  

最近のサイバー・インシデントの増加に伴い、アイデンティティ管理インフラをモダン化する時期が来ています。さまざまなマルチプロトコル・オーセンティケーターが市場に登場したことで、企業はハイブリッド・プロトコル・アプローチから開始できます。このアプローチでは、アイデンティティ・ソリューションの総所有コストの確保および削減とともに、テクノロジーの成熟を続けるサイバーセキュリティ業界に要件を提供します。