Table of Contents

Transmit Security によるパスキーのユーザーライフサイクルの保護

データ侵害やアカウント乗っ取り攻撃の増加に伴い、フィッシング、クレデンシャルスタッフィング、MFA ベースの攻撃を防ぐ認証方法の必要性が高まっています。FIDO ベースの認証情報の実装を簡素化する新しいテクノロジーである Passkeys は、認証のセキュリティを向上させるだけでなく、従来の認証方法よりもスムーズなユーザー エクスペリエンスを実現する強力な認証情報を提供することで、このニーズに応えます。

ただし、パスキーはパスワードのセキュリティを大幅に向上させますが、単一のユーザー デバイスにバインドされる従来の FIDO2 パスワードレス認証情報と同じセキュリティのメリットは得られません。これらのリスクを軽減するために、Transmit Security は、セキュリティを損なうことなく企業がパスキーのメリットを享受できるようにする追加機能を開発しました。

このブログ投稿では、パスキーとは何か、パスキーがビジネスにどのようなメリットをもたらすか、さまざまなリスクの瞬間にパスキーがもたらすプロセスとセキュリティ上の課題、そして、CISO とセキュリティの意思決定者がユーザーのライフサイクル全体にわたってパスキーのセキュリティを強化するために Transmit Security がどのように役立つかについて説明します。

パスキーとは何ですか? パスキーの利点は何ですか?

パスキーは FIDO 認証情報の拡張バージョンであり、すべてのユーザー デバイスでアプリケーションや Web サイトに高速、簡単、かつ安全にサインインできます。共有秘密ではなく強力な暗号化に基づいているため、フィッシング攻撃に耐性があり、プロンプト疲労や不正アクセスを含むさまざまな認証ベースの攻撃から保護するMFA方式を提供することで、ユーザー認証に関する多くの課題を解決できます。 SIMスワッピング。より詳しい概要については、 パスキーの紹介ブログ

パスキー登録

ユーザーはどのようにしてパスキーを登録するのでしょうか?

パスキーを登録するには、ユーザーはまず、パスキーを作成するアプリケーションまたは Web サイトに登録する必要があります。ユーザーは、パスワードやユーザー名などの従来の方法で認証してサインインした後、現在のデバイスまたは自分が所有する別のデバイスでパスキーを登録できます。ユーザーが iCloud や Google パスワード マネージャーなどのクラウド アカウントに接続している場合、パスキーはクラウド プロバイダーのエコシステム内のすべてのユーザーのデバイス間で同期されます。

しかし、パスワードやその他の従来の認証方法を狙った攻撃が増加しているため、ユーザー アカウントが悪意のある人物によって侵害されるリスクがあります。悪意のあるユーザーによってユーザー アカウントが侵害されると、詐欺師は正当なユーザーのアカウントへのアクセスを利用してパスキーを登録できます。

新しいパスキーを登録すると、アカウントがハッキングされたことを知ったユーザーがパスワードをリセットした後でも、詐欺師は引き続きそのパスキーを使用してユーザーのアカウントにアクセスできます。パスキーはユーザーのクラウド プロバイダー エコシステム内の他のデバイス間で同期されるため、ユーザーは新しいデバイスの登録と承認を制御する方法がありません。

Transmit Security はパスキー登録時のリスクをどのように軽減しますか?

チャレンジ: パスキーがアカウント所有者によって登録されたかどうかはどうすればわかりますか?

パスキー登録時のリスクを防ぐために、企業は登録デバイスと、登録時にパスワードやその他の弱い認証方法を使用して認証するユーザーに対して高いレベルの信頼を獲得する必要があります。

Transmit Security は、アプリケーションの利用過程全体を通じてユーザーの信頼度を評価し、パスキーによる登録要求を信頼、許可、拒否、またはチャレンジするかどうかについて、リスク スコアと透明性が高く実用的な推奨事項を提供することで、この課題に対応します。

リスクスコアと推奨事項は、当社のクラス最高のリスクエンジンによって生成され、 異常検出機能を備えた機械学習(ML)データを収集、集約、強化、分析する 100 を超えるテレメトリ ストリームから。このデータは、すべてのユーザー セッションで使用され、時間の経過とともにユーザー アクティビティ プロファイルが構築されます。これにより、当社のサービスでは、リクエストがアカウント所有者によって行われたのか、またはアカウント所有者になりすました詐欺師によって行われたのかを高い確度で判断できます。

Transmit Security Platform では、信頼または許可の推奨を受け取ったユーザーのみが登録を完了できるように、独自のビジネス ロジックを構築できます。拒否または異議申し立ての推奨を受けた登録リクエストは、拡張されたID 検証またはデータ検証プロセスによって拒否または異議申し立てされる可能性があります。

パスキーでログイン

ユーザーはパスキーを使用してどのようにログインするのでしょうか?

パスキーを持つユーザーは、ユーザーの身元(Face ID または指紋を使用)と所有物の組み合わせを活用する、本質的に 2 要素である簡素化されたログイン プロセスの恩恵を受けます。これにより、面倒なパスワードを覚える必要性が減り、ソーシャル エンジニアリングによって侵害される可能性のあるワンタイム パスワード (OTP) による 2 要素認証とは対照的に、1 回のアクションで実行できるようになります。

ユーザーが Web サイトやアプリを参照してサインインする場合、ユーザー名を入力するだけで、デバイス上の既存のパスキー、またはパスキーが登録されている別のデバイスを選択できます。パスキーに登録されていないデバイスの場合、ユーザーは、デバイスのロックを解除するために使用したのと同じ生体認証、PIN、またはセキュリティ キーを使用して、登録済みのデバイスへのサインインを承認します。Transmit Security Platformでこれがどのように機能するかについての詳細は、 認証サービスの概要

新しいデバイスでリクエストを承認する場合、そのデバイスが近くにあり、ユーザーが登録済みデバイスでのサインインを承認している限り、ユーザーは元のデバイスで作成または同期されたパスキーを使用して認証する必要はありません。リクエストが承認されると、ユーザーは今後のログイン試行時に新しいデバイスでパスキーを使用して認証できるようになります。

ログイン時に Transmit Security によってパスキーのリスクはどのように軽減されますか?

チャレンジ: ユーザーは、自分のアカウントに実際にアクセスしているデバイスを制御するために、最後に認証された日時と場所をどのように知るのでしょうか?

ユーザーがログイン時にパスキーで認証できない場合、パスキーの前に使用されていた従来の方法 (電子メール OTP、パスワードなど) にフォールバックすることになり、従来の認証方法のセキュリティ リスクすべてにさらされることになります。さらに、ハッカーはソーシャル エンジニアリングを使用してユーザーの Apple、Google、または Microsoft アカウントにアクセスし、そのアクセスを使用してユーザーのすべてのパスキーを取得することができます (特にユーザーがデバイス アカウントに対して MFA を有効にしていない場合)。

ユーザーをこのようなリスクにさらすアカウント乗っ取りから保護するために、Transmit Security は、使用パターンを効果的に分析してアカウント乗っ取りの兆候を検出できる斬新な検出アプローチにヒントを得た検出および対応サービスの ML モデルを活用しています。これはトランスミットセキュリティの 最先端のデバイス フィンガープリンティングにより、真の承認率は 97%、真の拒否率は 99.97% です。

新しいデバイスからの回復とログイン

新しいデバイスを使用したパスキーの回復とログインプロセス

パスキーを使用すると、ユーザーは、すでに作成したパスキーを選択して、クラウド アカウントに同期された新しいデバイスから認証できるため、新しいデバイスを登録する際の手間が軽減されます。さらに、ユーザーは、パスキーがすでに登録されているデバイスを活用して、クラウド アカウントに同期されていないデバイスで認証できます。

元のデバイスを紛失し、パスキーがクラウド アカウントに同期されていない場合は、新しいデバイスで動作させるためにパスキーを再度登録する必要があります。ただし、このシナリオでは、ユーザーが認証に使用しているデバイスを考慮することが重要です。単純な PIN コードでロック解除できるデバイスは簡単にハッキングされ、デバイスに保存されているすべてのパスキーにアクセスできる可能性があるからです。

Transmit Security は、回復と新しいデバイスのログインのリスクをどのように軽減しますか?

チャレンジ: 詐欺師が正当なユーザーになりすまして新しいデバイスにパスキーを悪意を持って登録するのを阻止したり、侵害されたデバイスや盗まれたデバイスを使用してパスキーへのアクセスを回復したりするにはどうすればよいでしょうか?

紛失または盗難にあったデバイスがユーザーのパスキーにアクセスできないようにするための手順を踏まない場合、新しいデバイスを登録すると、パスキーのセキュリティにリスクが生じる可能性があります。ユーザーがパスキーを再登録する必要がある場合や、ユーザーが所有していないデバイスからの回復を防止する必要がある場合、企業は、パスワードなどの従来の方法を使用して、これらのシナリオでユーザーを認証するための複雑なロジックを構築する必要がありますが、これにより、ユーザーは従来の方法と同じリスクと摩擦にさらされることになります。

この課題に対処するために、Transmit Security は次の 2 つの主要な機能を活用します。

  • 回復中のデバイスが以前に登録されていたかどうかを判断する強力なデバイス フィンガープリント。
  • ユーザーが以前に知られている出所からログインしているかどうかを判別し、紛失または盗難にあったデバイスからのログインを防止するユーザー異常検出。

パスキーは認証を強化して信頼性を高めます

パスキーで認証を強化

ウェブサイトやアプリケーションは、アプリケーションやリクエストに必要なセキュリティとプライバシーのレベルに基づいて、ユーザーのさまざまな瞬間に異なる認証オプションを使用する傾向があります。したがって、場合によっては、企業は保証レベルの低い認証システムを使用してアプリケーションへのログインを許可することがあります。

このような場合、アカウントがすでに不正なユーザーによって乗っ取られていると、リスクが生じる可能性があります。金融取引や口座変更の際に、詐欺師が口座所有者の資金にアクセスしたり、口座から締め出したりできるリスクを防ぐために、ユーザーにステップアップ認証方法を提示することができます。ステップアップ認証方法では、多くの場合パスキーを使用して、ユーザー セッション全体を通じて保証と信頼のレベルを高めます。

Transmit Security はステップアップ認証のリスクをどのように軽減しますか?

チャレンジ: 不正な行為者が侵害されたアカウントで高リスクの行動をとれないようにする安全なステップアップを提供する

Transmit Security は、一般に継続的適応型リスクおよび信頼性評価 (CARTA) と呼ばれる手法を通じて、ユーザーのライフサイクル全体にわたってユーザーの信頼性を評価します。これにより、以前のユーザー アクションの完全なコンテキストが集約され、履歴とセッション全体の両方でユーザーの過去の行動に関する情報を失うことなく、ステップアップ中にリスクを再評価するために使用されるようになります。

このような状況において、企業は Transmit Security の強力なデバイス フィンガープリンティングを活用して、信頼できるユーザーのログインやセッションの延長を行うことで、正当なユーザーの摩擦を継続的に軽減できます。

Transmit Security によるパスキーのセキュリティ強化

パスキーは従来の認証方法に比べて優れたユーザー エクスペリエンスと大幅なセキュリティ上の利点を提供するため、アナリストは、FIDO2 WebAuthn プラス CTAP 認証をすでに提供している Stripe、Vanguard、Yahoo などの大規模コミュニティ サイトが、まもなくパスワードレス機能を拡張してパスキーのサポートを提供すると予測しています。

これにより、企業は OTP フィッシングやプロンプト爆撃などの MFA 攻撃を軽減できるようになりますが、パスキーには、特に登録、フォールバック認証、回復、ステップアップ、デバイス間の登録などのリスクの瞬間に脆弱性がないわけではありません。そのため、パスキーを導入する企業は、ユーザーのライフサイクル全体にわたって可能な限り最高レベルの保証を提供するために、パスキーと追加のセキュリティ対策を組み合わせる必要があります。Transmit Security は、クラス最高のリスク エンジンと最先端のデバイス フィンガープリンティングとパスキーを組み合わせることで、企業がパスキーが約束するセキュリティとユーザー エクスペリエンスのメリットを実現できるよう支援します。パスキーがビジネスにどのようなメリットをもたらすかについて詳しくは、 検出と対応 そして 認証サービス概要 または、営業担当者に連絡して、無料の個別デモをスケジュールしてください。

Authors