Table of Contents

ガートナー® IAM サミット 2022 の注目トピック: CAT が ATO 詐欺の実態を追う

ガートナーの副社長アナリスト、ポール・ファータド氏は、ガートナー アイデンティティ & アクセス管理サミットが米国で最後に対面で開催されてから 948 日が経過したという現実を指摘して講演を開始しました。パンデミックの間、私たちの多くはオンラインのイベントに参加しました。ある意味、それは簡単だった(飛行機の遅延がなかった)が、見逃してしまうのではないかという恐怖(FOMO)によってバーチャルイベントはより困難になった。

実際に足を運んでみると、目を引くブースがあり、素晴らしい講演、クールなデモ、素晴らしいチャッキーについて他の人が絶賛しているのが聞こえてきます。「P@s$wordzSuck!」と書かれた私たちのTシャツは反響を呼んだようです。実際にその場にいると、全体的な状況の中で細部まで把握できるようになります。

「コンテキスト」を強調するのは、Gartner IAM で話題になったからです。この記事では、顧客アカウントの保護とユーザー エクスペリエンスの向上において、コンテキスト認識型セキュリティがなぜそれほど重要なのかを説明します。ガートナーはこの概念について 10 年間にわたって語ってきましたが、そのビジョン、用語、推奨事項は進化し続けています。その点については後で触れますが、まずは会議室の象について話しましょう。

ATO詐欺が急増

パンデミックに伴って急増したアカウント乗っ取り(ATO)詐欺の好機を狙った増加は、依然として私たちを悩ませています。結局、私たちの習慣は変わったのです。ある講演者は、オンラインで車を購入する人が増えているのに、詐欺師がフェラーリを購入するのを阻止できるものはない、と指摘した。ほとんどのセッションでは、詐欺の大胆さと複雑さが増していることが言及され、詳細に説明されました。

あるID証明ベンダーは、自社の分析によれば、個人情報詐欺の発生率は2019年以降44%上昇していると述べた。他の統計では、アカウントベースの個人情報詐欺の膨大な量が明らかになりました。IAMベンダーによると、企業は 2020 年だけでも 10 億件の ATO 試行が確認されています

別の講演者は、ATO の進化を図表にまとめました。ATO は歴史的に、月曜日から金曜日までの典型的な 1 週間の労働日を追跡し、火曜日に詐欺が顕著にピークを迎えていました。おもしろい事実: 火曜日は私たち全員にとって最も生産性の高い日です。新しい点は、詐欺師たちが今や週 7 日、1 日 24 時間「生産的」になっていることです。

認証戦略の欠陥

アカウント詐欺がそれほど成功しているのであれば、IAM セキュリティが成功していないのは当然です。ガートナーのポール・ファータド氏は、「ユーザー認証の現状、2022年」という講演の中で、認証にはセキュリティホールがたくさんあるという問題について語った。要約すると:

  1. パスワードだけでは不十分
  2. アカウント回復が大きな脆弱性として浮上
  3. メールとSMSのOTPに対する攻撃が増加
  4. 「例外的な」ユースケースには例外が設けられる

悪意のある人物は、私たちが導入したセキュリティを悪用して攻撃を仕掛けてきます。たとえば、パスワードなしの認証を使用する場合の例外として、新しいデバイスをバインドするためにパスワードにフォールバックすることがあります。パスワードを使用する場合、依然として脆弱です。

完全なコンテキスト: 継続的適応型信頼 (CAT)

より強力なアカウント保護が必要なのは明らかですが、摩擦を増やすことはビジネスにとって悪影響です。ここで「文脈」が会話に登場します。継続的適応型信頼 (CAT) には、ユーザー ジャーニー全体と私たちが知っているすべてのコンテキストで既知の良い動作と悪い動作を識別するリアルタイムのリスクと信頼の評価が必要です。

CAT に関するセッションで、ガートナーのシニア ディレクター アナリストである David Chase 氏は、「コンテキスト認識属性を使用して信号のバランスを取り、実行時にアクセス決定を行い、信頼性の向上や緩和技術を実現できます」と説明しています。摩擦を減らし、セキュリティを向上させることが目標です。

チェイス氏は、「適応型アプローチはユーザーエクスペリエンスを向上させることができます」と述べています。[ユーザーの] アイデンティティの信頼性がどんどん高まると、ユーザーの日常生活に干渉する必要がなくなり、ユーザーが行っている作業やアプリケーションへのアクセスを続行できるようになります。しかし、リスクの大きさによって必要だと判断された場合は、ユーザー ジャーニーに摩擦を加えることができます。ユーザーが新しいパスワードを入力したり、「パスワードを忘れた」フローにある場合、突然新しい IP アドレスを持つ新しい場所が表示されます…」

Paul Furtado 氏の講演でも、CAT が素晴らしい成果をもたらす究極のソリューションであると紹介されました。「2025 年までに、CAT アプローチを採用する組織は、ATO やその他の ID リスクを 30% 削減し、プロンプトを 20 分の 1 に減らすことで認証 UX を向上させることができます。」

オーケストレーション:要

CAT は万能薬のように聞こえますか?このコンセプトの初期のバージョンである継続的適応型リスクおよび信頼評価 (CARTA) も同様に素晴らしいものでした。さあ、始めましょう!しかし、すべての要素をまとめて実行時に決定を下すには、高度なオーケストレーションが必要であるため、CAT はまだ「野心的」であると述べる専門家もいます。

しかし待ってください、Transmit Security はそれを実現します!私たちは 2016 年からオーケストレーションとコンテキスト認識型セキュリティに取り組んでいます。唯一欠けているのは、流行語である CARTA と CAT です。率直に言って、私たちは、野心的な部分を除いて、CAT に関する彼らの評価に強く同意しています。今日は可能です!

では、オーケストレーションとは何でしょうか。また、なぜ CAT にとって重要なのでしょうか。発生しているすべての状況の完全なコンテキスト内で信頼を評価するには、機械学習を適用してデータを評価し、リスクのレベルをスコア化し、ユーザー セッション全体のアクティビティに動的に応答する必要があります。

「現実はちょっと複雑だ」とチェイス氏は語った。「現在、そこにはさまざまなコンポーネントがリストされていますが、それを可能にするのはオーケストレーションです。私たちには、これらのことをまとめて、次に何をすべきかについて何らかのインテリジェンスを適用できるものが必要です。」

「それで、ここでの重要なポイントは何ですか?」とチェイスは尋ねます。「私たちは、この継続的な適応型信頼のバランスをとるために、エコシステム内でオーケストレーションやユーザー オーケストレーション ツールを作成できるようにする分析への投資を検討したいと考えています。さらに、1 回限りの認証イベントではなく実行時に決定を挿入できるように、アプリケーションのアーキテクチャを変更する必要があるでしょうか。」

Chase 氏は次のように説明しています。「したがって、これらをリアルタイム プロセスで管理するのに役立つツールをさらに検討することがますます重要になります。これは通常、ツリーのように簡単に構成できるものではないためです。ネットワーク上の正しいデバイス上にありますか?それはそれほど直線的ではありません。」

パスワードレスはCATへの第一歩です

フルタド氏は力説してこう述べた。「[パスワードレス]がロードマップに載っていないのであれば、なぜそうしないのか自問してみるといいでしょう。」強固な信頼の基盤を構築するには、まず自信を持って顧客を認証する必要があります。これを行う唯一の方法は、パスワードを排除することです。

ほとんどの IAM プロフェッショナルはこれを知っています。そのため、パスワードレスに関する当社の講演は、Gartner IAM でトップ 3 の人気講演にランクインしたのかもしれません。Citigroup との「160 か国 2 億人の銀行顧客にパスワードレスを展開」という講演を聞きたい人がいるでしょうか。直接見逃してしまった場合でも、オールアクセス パスをお持ちの場合は、オンデマンドで視聴できます。または、ハイライトを確認するにはブログをお読みください

顧客向けCIAMを最新化

顧客 ID およびアクセス管理 (CIAM) を検討するときは、それを 1 回限りのイベントとして考えないでください。登録、ID 検証、認証、アカウント回復、常時リスク評価から始まる ID ライフサイクル全体を考慮して、プロセス全体にわたって継続的な適応型信頼 (CAT) を実現します。Transmit Securityアカウント保護の仕組みをご覧ください 組み込みオーケストレーションによりこれらすべてが統合されます

 

GARTNER 免責事項: GARTNER は、Gartner Inc. および/または米国および/または国際的にその関連会社の登録商標であり、ここでは許可を得て使用されています。無断転載を禁じます。

Author

  • Brooks Flanders, Marketing Content Manager

    米国が全国的なサイバーアラートシステムを立ち上げた2004年、世界最大級のサイバーセキュリティ企業で執筆活動を開始。当時は、企業におけるセキュリティや、通常の防御を迂回することを意図した非常に巧妙な脅威について論じていました。それから16年が経ちますが、複雑なセキュリティ問題の解決に取り組む企業を支援することへの熱意は、一向に衰えを見せません。

    View all posts