セキュリティ分析の送信: 顧客認証を改善するための 7 つの目標
Transmit Security の製品管理チームは、顧客認証の課題と問題点を理解するために、終わりのない探求を続けています。この取り組みの中で、私たちは CISO、CIO、CDO、アイデンティティ管理のリーダーとほぼ毎日会うことができ、幸運です。彼らは、スマートなソリューションを開発するのに役立つ貴重な洞察を与えてくれます。時間が経つにつれて、CxO たちが同じ根深い問題に関して同様の問題を繰り返すことに気づきました。その結果、顧客認証を改善するための 7 つの目標を特定しました。この記事では、企業が主要な目標を設定し、達成するのに役立つガイドとしてこれらを紹介します。
以下の詳細では、パスワードなしの顧客認証に関する一般的だが誤った想定について説明します。まず、パスワードレスは生体認証をはるかに超えたもので、生体認証を使用する場合、パスワードや共有秘密のようには扱われません。覚えておくべきもう 1 つの事実は、顧客認証の最新化は、エンドツーエンドの総合的なアプローチを必要とする、より大規模な顧客 ID およびアクセス管理 (CIAM) プログラムの一部であるということです。
1) 顧客のIDとアカウントアクセスを強力に保護する
CISO と話をすると、CIAM に対する彼らの責任が増していることがわかります。特に、彼らは顧客のパスワードが大きなリスクをもたらすことを認識しており、パスワードの使用をやめたいと考えています。彼らは世界的な傾向を追跡し、詐欺の増加を認識しているだけでなく、パンデミックが始まって以来、より多くのアカウント乗っ取り(ATO)を直接経験しています。セキュリティ侵害はすべて収益と顧客の信頼を損なうため、それを防ぐことが急務となっています。顧客アカウントのセキュリティを確保し、機密情報を保護することは最優先事項です。
最初の、そして最も影響力のあるステップとして、CISO は、アカウント登録から回復プロセスに至るまで、顧客体験のあらゆる段階からパスワードを削除する必要性をますます認識しています。パスワードは負債としてみなされます。選択肢を検討しているセキュリティリーダーは、ほとんどの「パスワードレス」ソリューションが依然として特定の機能にパスワードに依存しており、多くの場合、パスワードがバックグラウンドに隠されていることに気づいています。これが、金融機関がパスワードを完全に排除するために Transmit Security と提携することを選択する主な理由です。口座や高リスク取引を保護するという明確な必要性から、銀行やその他のセキュリティ意識の高い組織が先頭に立っています。
CISO や CIO も業界アナリストに注目しています。ガートナー社が、セキュリティに関する「新興技術とトレンドの影響レーダー」の「現在」の範囲にパスワードレス認証を位置付けていることは、多くの人が知っています。最近ロンドンで開催された Gartner IAM サミットで、アナリストは、アクセス管理がサイバーセキュリティ市場で 2 番目に急成長しており、その中で CIAM の成長が従業員の IAM の成長を上回っていることを明らかにしました。
パスワードレス認証方法の全範囲について議論する際、ビジネスリーダーは、ユーザー名とパスワードを盗むために使用されるのと同じ種類の攻撃に対して生体認証が脆弱である可能性があるという懸念を表明することがあります。これは私たちが説明する機会です FIDO ベースのパスワードレス MFA の利点。公開鍵暗号化を活用することで、指紋や顔の生体認証が顧客のデバイスから外に出ることはありません。代わりに、認証チャレンジはデバイス上でローカルに秘密鍵によって署名され、署名されたチャレンジのみが Web 経由で送信されます。FIDO 認定のパスワードレス認証により、共有秘密が排除され、資格情報の盗難が防止されます。
2) アイデンティティアーキテクチャのコストと複雑さを軽減
特に経済が不安定な時期には、コスト削減はあらゆる企業にとって最優先事項です。サイバーセキュリティの観点では、これは侵害や、資産の損失、顧客の信頼の喪失、コンプライアンス違反による罰金などの経済的損害を防ぐことを意味します。コスト削減には、開発者や IT 管理者の生産性を阻害する可能性のある複雑さを最小限に抑えるセキュリティとデジタル ソリューションも必要です。
SMS OTP サービスによる従来のパスワード認証の複雑さ、SMS、電子メール、プッシュ ゲートウェイへの通信統合、パスワード ハッシュと OTP シードの保存、ステップアップ禁止、3 つのオペレーティング システム用の UI エンジニアリング、アカウント ロック ルールなどの認証ロジック、パスワード リセットに関連するコール センターのコストを考慮してください。それは複雑で、コストがかかり、サイバー攻撃の影響を受けないわけではありません。
場合によっては、開発者は既存の従業員 IAM ソリューションを拡張して顧客のユースケースを解決することで、この問題に対処しようとします。これを試してみたものの、うまくいかなかったと気づいた企業からの報告もあります。沢山あります IAM と CIAM の重要な違い 従業員と顧客のニーズは大きく異なるからです。ここではこのトピックについて詳しく説明しません。間違った方向に進まないようにするためだけに言及しています。
では、正しいアプローチは何でしょうか?セキュリティおよびデジタルリーダーの多くは、統合された管理と統合された顧客エクスペリエンスを提供する統合 CIAM ソリューションを求めています。すべての顧客チャネルに対して 1 つのソリューションを利用できるようになると、誰にとっても生活が楽になります。オムニチャネルおよびクロスチャネル エクスペリエンスを実現する完全な顧客 ID ソリューションを見つけるのは難しい場合がありますが、これが業界の方向性であり、Transmit Security が先頭に立つことになります。
現時点では、パスワードレスの顧客認証だけで複雑さとコストを削減できる例が数多くあります。当社には金融サービス業界のお客様がおり、そのお客様は顧客ベースの 20% をパスワードレスに移行し、SMS OTP への依存を減らすことで年間 150 万ドルを節約できると予測しています。それだけでも意義深いことです。
3) 新機能で市場投入までの時間を短縮
困難な統合や複雑な開発ほど進歩を妨げるものはなく、その結果、最終製品に欠陥が生じる可能性が高まります。ほぼすべてのプロジェクト リーダーはこれを経験し、これを回避しようとします。これは、クラウド ネイティブ ソリューションが非常に魅力的である多くの理由の 1 つです。最高経営責任者は新しい機能を迅速に市場に投入したいと考えていますが、クラウド ソリューションは最も速くて簡単なルートです。これは、他のデジタル機能と同様に CIAM にも当てはまります。クラウド ネイティブ CIAM は、業界で 10 年以上にわたって議論されてきたアーキテクチャの最新化に向けた一歩です。
より具体的には、企業には使いやすいソリューションが必要です。 開発者に優しいAPI および SDK。すべてが簡単であるべきであり、アーキテクチャは IT 管理者が心配する必要のないものであるべきです。アイデンティティ サービスはスピードとシンプルさを重視して設計する必要があり、企業は短期間でセキュリティと顧客エクスペリエンス (CX) をすぐに向上させることができます。
適切な認証ソリューションは、何千もの顧客フローと考えられるあらゆるシナリオをすぐに処理できるものでなければなりません。これにより、開発者は収益に同様に結びつく他のプロジェクトに集中できます。時間の経過とともに、企業は最新のアイデンティティイノベーションを継続的に提供するサービスを通じて、顧客にさらなる価値を提供できるようになります。
4) 大量生産や需要の急増に対応できる規模
CIAM ソリューションは、増え続ける大規模な顧客数に必要なスケーラビリティを実現するために、クラウドで設計する必要があります。たとえば、当社の顧客である世界有数の小売業者は、1 日に 10 億件の顧客ログインをサポートする必要があります。これは、比較的少数かつ静的な数のユーザーをサポートするように設計された従業員 IAM ソリューションと比較した場合の重要な違いです。従来のオンプレミスおよびクラウドに移行したソリューションは、拡張性を考慮して構築されていません。また、従業員とは異なり、顧客は遅延を許容しません。読み込み時間が 2 ~ 3 秒であっても、Web サイトを放棄する原因となります。CIAM に必要な拡張性と信頼性を実現するには、クラウド ネイティブ ソリューションが不可欠です。これは譲れないものです。
クラウドベースの ID ソリューションでは、トラフィックが 1 分以内に 10 倍に急増する可能性があるため、需要の急増にも対応する必要があります。企業は、顧客が世界中のあらゆる場所からログインする可能性があるという事実も考慮する必要があります。24 時間 365 日の可用性を確保するには、アイデンティティ サービスをグローバルに分散し、フォールト トレラントにする必要があります。ダウンタイムや顕著な遅延が発生すると、コンバージョン率が低下し、収益が失われます。
5) 常に変化するプライバシー規制に対応する
厳しい EU の一般データ保護規則 (GDPR) などのプライバシー基準では、顧客の個人データの安全な管理、保管、取り扱いが求められています。課題は、顧客が管理されていない環境で取引を行ったり、商品を購入したり、サービスにアクセスしたりするために、公開チャネルにアクセスすることです。パブリックドメインでは、企業は顧客が使用するデバイスやソフトウェアを制御できません。このため、データ プライバシーは設計時に CIAM に組み込む必要があります。
当社では、世界中のプライバシー規制にすぐに準拠できる、パスワード不要の顧客認証を推奨しています。これは決して簡単な仕事ではありません。GDPR は世界で最も厳しい消費者プライバシー法とされており、非常に詳細です。消費者が同意し、データの不正確さを訂正し、「忘れられる権利」でオプトアウトするための適切なツールが必要です。コンプライアンス違反には重い罰則が科せられ、多くの場合、公表が必要となり、悪い評判を生み出します。結局のところ、規制当局と顧客は、企業が個人データを保護することを期待しています。アイデンティティ ソリューションはコンプライアンスを容易にするはずです。
6) カスタマイズと制御をさらに強化
ほとんどの企業が当社に依頼するのは、複雑なオーケストレーションの課題を解決し、何千もの既成のユーザー フローを提供できる、メンテナンスの手間が少ないパスワードレス認証サービスを求めているからです。しかし同時に、最高経営責任者は、ビジネス ニーズの変化に応じて制御およびカスタマイズできる ID ソリューションを求めています。今日のクラウド環境では、柔軟な API ファーストのアプローチが必要であり、これにより、レガシー システムを簡単に接続し、現在および将来にわたって最新の ID ソリューションを展開する際にプロセスを合理化できます。
適切に実行された API により、開発者は複数のアプリケーションや Web サイトにわたってシームレスなエクスペリエンスを作成できます。さらに、これらのソリューションをより簡単にカスタマイズして、常に変化する独自のビジネス ニーズを満たすことができます。開発者に優しいソリューションにより、開発者は継続的に革新、適応、進化することができます。
7) 顧客体験から摩擦を取り除く
最新の CIAM ソリューション、特にパスワードレスの顧客認証により、顧客エクスペリエンスが大幅に向上します。すべてのパスワードを排除すると、明確な競争上の優位性が得られます。顧客は資格情報を作成したり、記憶したり、管理したりする必要がなくなるため、パスワードを忘れたり、ログインに失敗したりすることがなくなります。最後に、顧客は、何層もの摩擦で顧客を迎えるのではなく、スムーズで一貫したログインを体験し、アカウント、アプリ、リソースに簡単にアクセスできます。CDO にとって、これは認証された顧客の増加とコンバージョンの向上につながります。
パスワードの摩擦が最も高くなるのは、1) 新規アカウント登録時と、2) ユーザーがパスワードを忘れた場合 (またはアカウントがロックアウトされた場合) のアカウント回復時です。つまり、顧客はアカウント作成中や、取引を完了するためにログインしようとしたときに、Web サイトを放棄する可能性が高くなります。顧客の離脱は、コンバージョン率と収益に直接影響を及ぼします。
重要な推奨事項の 1 つは、デジタル プロパティだけでなく、たとえばロイヤルティ クラブの特典にアクセスするために認証が必要になる可能性のある店舗やキオスクなど、顧客がアクセスする必要のあるすべてのチャネルを考慮することです。同じ顧客が別のブラウザに移動したり、スマートフォンからラップトップに切り替えたりする可能性もあります。彼らは複数のデバイスを持ち、多くのチャネルにアクセスできるため、包括的な戦略でこれを考慮することが不可欠です。
ロンドンで開催されたガートナー IAM サミットで、ガートナーのシニア ディレクター アナリストであるナット クリシュナン氏は、「複数のチャネルとデジタル プロパティにわたって顧客を識別し、把握し、関与する能力が不可欠である」と述べました。これは、パスワードレスの顧客認証ではすべて不可能ですが、セキュリティ リーダーには、シームレスなクロスチャネルおよびオムニチャネル エクスペリエンスとマルチデバイス サポートを提供するソリューションが必要です。
最後に、CX の向上と採用率の向上に最も効果を発揮する、パスワードレス認証オプションの全範囲を検討することが重要です。パスワードレスは、指紋や顔 ID を使用する FIDO ベースの生体認証よりもはるかに優れています。企業は、生体認証を使用する準備ができていない、または使用できない人のために、適応型顧客認証を提供する必要があります。マジックリンク、時間ベースのワンタイムパスコード (TOTP)、SMS OTP、アプリケーション間のプッシュ通知、ソーシャルログインなど、これらはすべてパスワードレス認証の形式です。これらの方法は、セキュリティの保証レベルはさまざまですが、いずれもパスワードよりも強力であり、企業が最大のセキュリティ リスクを排除することを可能にします。これらすべては(認知的負担のため)パスワードよりも簡単に使用できますが、FIDO 認証が最も簡単です。
パスワードレスの取り組みを開始する
複数のユースケースと多くのチャネルに対応するパスワードレス ソリューションを選択する場合は、不正防止、スケーラビリティ、プライバシー、カスタマイズ、CX を考慮してください。適切なクラウドネイティブ サービスを使用することで、企業はコストと複雑さを軽減し、市場投入までの時間を短縮できます。
顧客認証の改善に関する最終的な考察
最新のCIAMソリューションは、真のオムニチャネル エクスペリエンスを実現し、顧客が企業が提供するすべてのものに安全かつ予測どおりに関与できるようにする必要があります。Transmit Security CIAM プラットフォームは、簡単に実装できる包括的なエンドツーエンドの顧客 ID およびアクセス管理サービスを提供します。完全なプラットフォームにより、企業はパスワードを完全に排除する世界初のパスワードレス顧客認証ソリューションから始めて、360 度のデジタル ID 信頼を獲得できます。
脚注:
[1] ガートナー、「レーダーに影響を及ぼす新興技術とトレンド:セキュリティ」、ルッジェーロ・コントゥ、マーク・ドライバー他、2021年10月12日。
GARTNER は、米国および国際的に Gartner, Inc. および/またはその関連会社の登録商標およびサービス マークであり、ここでは許可を得て使用されています。無断転載を禁じます。
