今月、2022 RSA カンファレンスに参加したとき、現実とは思えない気分になりました。2020年に会議を去った私たちの誰も、約2年半後に再び直接会うことはないだろうとは想像もしていませんでした。今年のテーマは「変革」という考えに焦点を当てました。前回の対面式 RSA カンファレンス以来、世界は変化しているため、「変革」は適切なトピックです。その期間に、サイバーセキュリティの状況は劇的に変化しました。新たな脅威ベクトル、ユーザー エクスペリエンスへの重点的な取り組み、そして古くからの問題を解決するための新たなアプローチが存在します。変革という包括的な概念を念頭に置き、今年のイベントから私が得た重要な 4 つの教訓を以下に示します。
パスワードレス MFA はあれば良いというものではなく、必須の要件です
多要素認証 (MFA) は、ほぼすべてのセッションと顧客との会話で話題になりました。MFA の欠如が Colonial Pipeline の侵害を引き起こした例はよく知られています。FIDO が主催したセッションで、講演者は 2023 年までに MFA バイパス攻撃が主流になると予測しました。従来の MFA は広く理解されていますが、課題は、ワンタイム パスコード (OTP) が依然としてアカウント乗っ取り (ATO) 攻撃の影響を受けやすく、摩擦が多いことです。この摩擦により、顧客が MFA を有効にしなくなり、組織がリスクにさらされたり、顧客がより直接的なログイン エクスペリエンスを提供する競合他社へ移行したりすることがあります。パスワードレスMFA ATO 攻撃を防ぎながら、顧客の行動を中断させることのないシームレスな MFA エクスペリエンスを提供する唯一の方法です。
顧客体験は競争上の優位性
認証に焦点を当てたほぼすべてのセッションで、「認証を便利にするにはどうすればよいか」という基本的な疑問が生じました。より強力な顧客認証を追加することはリスクを軽減する明らかな方法ですが、摩擦が増加すると最終的には顧客が離れてしまいます。セキュリティとエクスペリエンスの議論については双方で議論があったが、 より強固なセキュリティとよりシンプルな顧客体験 可能だ。顧客体験が競争優位性の主な原動力であることが証明されています。選択肢が豊富な市場では、顧客は自分にとって最も簡単なビジネスを選択するでしょう。複雑なパスワード要件と従来の MFA を組み合わせると、顧客はアカウントを作成しにくくなりますが、チャネル全体で顧客を認証するパスワードレス認証では、顧客は何度もログインすることになります。
パスワードレスだと言っている人は多い
多数のベンダーブースとセッションでは、パスワードの終焉とパスワードレス認証の台頭について議論されました。私はその予測に同意します。しかし、 パスワードなしと「less-passwords」の違い。パスワードレスとは、どこにもパスワードが存在しないことを意味します。フォールバック認証メカニズムとして使用せず、顧客がアカウントを登録または作成する場合でも同様です。パスワードの削減とは、パスワードが環境内にまだ存在するものの、生体認証によって単純にマスクされることを意味します。これらは変装したパスワードだと考えてください。パスワードに関する議論がますます重要になる中、ソリューションがパスワードレスなのか、それともパスワードを偽装したものなのかを理解することが重要です。答えが真のパスワードレスではない場合、根本的なセキュリティ上の懸念、ユーザー エクスペリエンスの苦痛、およびパスワードのオーバーヘッドは依然として存在します。私たちの 購入者ガイド ソリューションが本当にパスワードレスであるかどうかをベンダーに尋ねるのに役立つ質問を提供します。
市場は情報過多に陥っている
今年の RSA カンファレンスは、情報の混乱について検討するパネル ディスカッションで終了しました。パネリストには、ジャーナリストで Katie Couric Media の創設者である Katie Couric 氏、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) の創設ディレクターである Chris Krebs 氏、Color of Change の社長である Rashad Robinson 氏、および RSA カンファレンスのプログラム委員会委員長である Hugh Thompson 氏が含まれていました。議論はフェイクニュースと、一般の人々がどのニュースが真実でどのニュースがそうでないかを判断することがいかに難しいかということに焦点が当てられました。情報過多によりサイバーセキュリティの状況がどのように変化したかを考慮すると、この議論はタイムリーなものでした。さまざまな主張をするサイバーセキュリティベンダーが増えており、サイバーセキュリティの専門家がそれぞれの主張を区別することがますます困難になっています。パスワードレスは、この好例です。パスワードレスだと主張する人が多いが、本当にパスワードレスとは パスワードを100%排除します。今年の RSA カンファレンスは素晴らしいもので、変革というテーマはまさにぴったりでした。私は Transmit Security チームと一緒に、パスワードを減らすのではなく、完全にパスワードを使わないようにすることで、最も重大なセキュリティ リスクを排除できることを参加者に説明しながら、楽しい時間を過ごしました。来年がもう楽しみです(ありがたいことに、今回は2年半も待つ必要はありません!)
