Gartner IAM に人が集まっていることがその証拠であるならば、アイデンティティ専門家は、危険なパスワードからパスワードレスの顧客認証まで、この溝を越えた他の企業の話を聞きたがっていると結論付けるのは妥当でしょう。これは、実践的な経験を持つセキュリティ専門家、できれば大規模な成功を収めた専門家からの戦略的なヒントや洞察が必要な旅です。そしてそれはまさにシティグループのケースです。
「160 か国 2 億の銀行顧客にパスワードレスを展開」という対談セッションでは、Transmit Security の SVP フィールド CTO である Craig Currim が、Citi のディレクター兼 ID およびアクセス管理エンジニアリングのグローバル ヘッドである Matt Nunn と対談しました。ガートナーの主催者は、この講演はイベントでトップ3の講演だったと語った。
ストーリーを共有してくれるシティのような顧客がいなければ、私たちは確かにそれを成し遂げることはできなかったでしょう。マット・ナン氏は、参加者に、現実世界のシナリオを盛り込んだ啓発的で戦略的なアドバイスを提供しました。セッションでは、シティのマットが以下のことを説明しました。
- 本当のパスワードレスとは
- アイデンティティ管理の完全なセキュリティを確保する理由と方法
- 「良い」と「悪い」の間のグレーゾーンを縮小するためのアドバイス
- 1つの問題点から始めて、さらに拡大する方法
- 構築 vs. 購入: 考慮すべき要素
Gartner IAM へのオールアクセス パスをお持ちの場合は、セッション全体を再再生できます。または、読み続けてハイライトをご覧ください 彼らの話の。Q&A から最も価値のある情報を抜粋してお届けします。
Transmit Security の Craig Currim: Matt、パスワードレスがなぜ重要だとお考えですか?
シティグループのマット・ナン氏:パスワードや PIN がなぜ必要だったかを考えてみると、その理由は、コンピューティング環境で個人が使用できる唯一のインターフェースがキーボードだったからですよね?そして、何が起こっているのか、そして彼らがどのように相互作用しているのかを特定しようとする何かが必要でした。
したがって、パスワードレスについて考える場合、その制限を超えて範囲を拡大することが目的です。現在、デバイス、サービス、分析、バックエンドの面で私たちは異なる立場にあります。したがって、大規模に保護することがもはや意味をなさないものにまだ自分自身を制限している場合は、そのルーチン全体から抜け出してください。
他の多くのパスワードレス ソリューションでは、「パスワードはここにあります。リセットしてください。問題が発生した場合、これが代替手段になります。アカウントにログインする方法を忘れた場合は、パスワードをリセットします」と言ってユーザーを誘い込みます。
クレイグ: また、パスワードレスは認証情報の強化にもつながります。アカウントの発行や KYC プロセスから継続的なリスクと分析まで、アイデンティティ ライフサイクルには検討すべき領域がまだたくさんあります。あなたはそれを総合的に考えています。
それでは、みんなが話題にしている FIDO2 と Webauthn を紹介しましょう。それをどう思いますか?それはリスクの 80% に対処するのに役立つ特効薬でしょうか?
マット:何かが危険であるかどうかを判断する唯一の基準が資格情報であるという考えを限定することはできません。リスクの姿勢を把握しようとすると、「これは問題ない。それはわかっている」と言うことになります。これは赤です。それはわかっています。この中間層については私たちは十分にはわかっておらず、それはグレーです。そこで、そのスペース内でどのように運営したいかを検討します。そして今、私たちはそれをシフトさせています。さらに多くの分析と情報が得られます。
つまり、玄関に緑色のものをただ置いておくのではなく、ゼロ トラスト ID がそこに存在するのです。つまり、個人の行動に沿って継続的に情報を見ていることになります。彼らがいつ入ってきて、いつリセットして、何をしようとしているのかがわかります。プロファイリングとバックエンドでのすべてのデータ分析を備えた受動的な行動バイオメトリクスが実現します。
これらのサービスが本当に適切な判断を下せるようになり、グレーゾーンの考えが全体的に軽減されます。緑と赤についてはよりよく理解していますが、方程式のバランスを取ろうとする中間については、あまり理解していません。
それは、互いに通信するためのシステムをどれだけうまく構築したと思うかによって決まるのではありません。多くのシステムは1対1で構築されました。また、個人が他のデバイス上のバックエンド サーバーとインターフェイスできるというアイデアを除外すると、貴重な部分を見逃すことになります。
クレイグ:ユーザーベースについてはどうお考えですか?FIDO またはより強力なレベルの認証 (定義上は多要素認証) を導入することで、通常は別の形式のステップアップでチャレンジしなければならないような、ジャーニーの他の部分にもユーザーを連れて行くことができるようになりますか。
マット: それは良い点です。なぜなら、OTP を使用する場合でも、キーボードのインターフェースを通じてユーザーと対話することになるからです。代わりに、バックエンドで連動するデバイスがあり、チャネルを介して情報を提供したり、チャレンジをポップアップ表示したり、それを証明して署名し、送り返したりすることができます。
ご存知のとおり、セキュリティは水のようなものです。攻撃者は、自分たちの前に自分たちを阻止する何かを見つけた場合、それを迂回するでしょう。彼らはあなたがこれを確保したことを確認するでしょう。そして、それは少し難しく、彼らはプロセス全体の他の領域に目を向けて、他にどうすれば参加できるか、どうすれば良い人間に見えるかを判断し始めるでしょう。それらを継続的に評価しなければ、ここに攻撃が来ていることに気付かないでしょう。
クレイグ:非デジタル チャネルでのアプローチについて教えてください。コールセンターはどうですか?この方法論をどのように実行しますか?そこでのあなたのアプローチは何ですか?
マット:コール センターでは、ナレッジ ベースの質問やセキュリティに関する質問など、危険にさらされる可能性のあることを行っていますよね?では、他の領域で使用する機能を使用してセキュリティを強化するために、これらの個人とどのようにやり取りするのでしょうか?
FIDO を見ると、パスワードレスを思い浮かべる人が多いのではないでしょうか。そして、その下にあるコア機能を見てみると、それよりも強力であることがわかります。ただし、パスワードに基づいて登録を行うべきではありません。したがって、プラグインして、登録し、リセットする必要があります。
お客様とやり取りする際に、お客様のデバイス間のインターフェースで安全に処理が行われるため、摩擦が少なくなるとお伝えしています。お客様がこれを定期的に使用していることは承知しており、当社はこれらのチャネルを通じて裏でお客様とやり取りします。パスワードをリセットすれば、はるかに高速になりますが、パスワードは依然として問題となります。
クレイグ:それで 段階的なプロセスもあります。アイデンティティは階層化されているため、このような総合的なソリューションを構築する場合には考慮すべき点が数多くあります。構築するか購入するかを決定する際に、どのような点を考慮する必要がありましたか?
マット:シティは間違いなく大企業であり、非常に複雑です。構築か買収かを考えるときは、ビジネスの観点から考えます。市場にソリューションが存在する場合、一度限りの独自のソリューションを構築することは正当化が困難です。なぜそれらは十分ではないので、自分で構築する必要があるのでしょうか?できないわけではない。通常、これは非常に高価であり、変更や新しい標準に合わせてそれを維持して繰り返し更新する必要があります。
しかし、実際に失うものは、解決策がどうあるべきかとあなたが信じているものだけに限定されることです。他に入力するものはありません。だから、あなたはそれができます。高くつきますよ。維持するのは非常に困難になるでしょう。また、市場で製品をより良くするためのインプットを逃してしまいます。なぜなら、それを使用している他の企業がインプットを提供しており、その企業には、あなたが考えもしなかった製品に盛り込まれるアイデアがあるかもしれないからです。そして、その製品には、展開したばかりの新しい機能があり、それがビジネスを強化します。一つの企業でそれを実現するのは非常に困難です。
クレイグ:パスワードレス導入の障壁は何だとお考えですか?あなたが言ったように、パスワードレスは必ずしも FIDO と同じではないというのは、本当に素晴らしい点だと思います。チャネルまたはデバイスが FIDO をサポートしていない場合はどうなりますか?人々はこれらの基準に注目しています。彼らは「自分でやろう」と考えます。では、パスワードレスを実装する上での障壁は何だとお考えですか?それでは、ユーザーの採用を妨げる障壁は何でしょうか?
マット:ですから、実装の部分については、実際に正しく行うには多くの時間がかかります。現在のアーキテクチャがどのようになっているかを確認し、これを展開する際には、最初の反復で非常に戦略的に行う必要があります。セキュリティを強化し、顧客に対する摩擦を軽減しようとしていますか?問題点は何ですか?解決しようとしている攻撃ベクトルはすでにありますか?SMS OTP による損失はすでに発生していますか?どこから始めて、どこから移行する必要があるかを具体的にターゲットにする必要があります。
自分で行う場合は、1 つのユースケースを採用します。そして、ライフサイクル全体にわたって他のケースに拡張できるように構造を正しく構築するのは非常に困難です。したがって、自分で設計しようとするよりも、この設計内で本質的に柔軟かつシフトできるものを用意する方がよいでしょう。
クレイグ:チャネルやアプリケーション間で統合し、同じユーザー エクスペリエンスを実現する統一された方法もあります。私たちが協力していたとき、お客様のさまざまなアプリに対応する必要があり、それぞれのアプリは機能が異なっていました。それで、ユーザーエクスペリエンスはどうなるのでしょうか?それはどう見えるでしょうか?
Matt:ええ、1 つのチャネルを強化するだけではありませんでした。[私たちは] 開発者のライフサイクルとオーバーヘッドを削減し、各チャネルを独自の方法で設計する製品を検討していました。そのため、開発者の手間が省けるだけでなく、クライアントにとっても直感的に操作できます。モバイル、コンピューター、または Web のいずれでやり取りしているかに関係なく。それは同じだ。全体的に一貫性を持たせたいのです。
私がよく言うのは、ユーザーに独自のメカニズムを選択する能力を与えたいということです。彼らはあなたとどのように交流するのが好きですか?制限したくありません。彼らに選択肢を与えたいのです。いわば「自分の旅を変える」本のような感じです。生体認証は好きですか?プッシュ通知は好きですか?彼らはどのように交流したいかを決めることになります。そして、それをすべてのチャネルを通じて実行すれば、良い体験が得られるだけでなく、セキュリティも向上します。だから欠点はない。そして、私たちがアイデンティティを構築する上での安全でない要素であるパスワードの管理者になる必要はもうありません。
クレイグ: この旅に乗り出したいと考えている聴衆の中のアイデンティティ専門家に、何かアドバイスはありますか?
マット:重要なのは、自分の環境を理解し、本当に何を達成したいのかを理解することです。アイデンティティに対するゼロトラストは非常に重要です。したがって、特定の時点での統合を検討している場合は、範囲を制限しないでください。もっと広く考えましょう。他のグループが使用している他のツールについて考えてみましょう。これらのツールは、あなたのデータを使用して不正行為や分析情報を改善し、エクスペリエンスを向上させることができます。旅全体が本当に重要です。たとえ成功したとしても、協力して範囲を拡大することができれば、会社全体、ビジネス全体、そして進むべき方向について、より良い物語が生まれます。
クレイグ: お客様として、あなたはこれまで 7 年間 Transmit Security とお取引をいただいています。私たちは数多くのプロジェクトで一緒に働いてきました。弊社で働いた経験についてお話しいただけますか?
マット:世の中には素晴らしいものを作っているベンダーがたくさんいます。私はいつも、自分が進みたい方向に向けて一致していることを確認するために、アーキテクチャを理解し、市場にある製品を理解することが重要だと言っています。そして、さまざまな規制のある複数の国で実行しているような複雑で大規模なアーキテクチャを理解し、それに適応してくれる Transmit のようなパートナーを持つことが鍵となります。情報やアイデアを共有し、製品の方向性を見極め、その道のりを共に歩む真のパートナーを持つ能力。
この分野では、実際に現場で働き、あなたと一緒に製品を継続的に改善し、あなたが直面している課題を理解してくれる人が必要です。
ガートナーIAMのクレイグの言葉でまとめると
アイデンティティについて考えるとき、私たちはそれを二元的な一回限りの出来事として捉えません。私たちは、ユーザーが初めて組織とやり取りするところから始まり、ライフサイクル全体で何が起こるかを検討します。これらすべての異なるコンポーネントについて本当に考える必要があります。登録、オンボーディング、本人確認、回復、そしてプロセス全体にわたる継続的な評価により、より高いレベルの保証が得られます。顧客をより深く理解することで、最終的にはより安全な体験とより良いユーザー エクスペリエンスを提供できるようになります。
最新のCIAMサービス
CIAM プロジェクトを開始する際には、パスワード不要のログインやリアルタイムのリスク評価から統合された可視性まで、アイデンティティのあらゆる側面を考慮してください。Transmit Security CIAM サービスはクラウドネイティブであり、エンタープライズのスケーラビリティを目的として構築されています。開発者向けの API を使用すると、パスワードレスまたは CIAM イニシアチブの市場投入までの時間を短縮できます。
