顧客ID・アクセス管理(CIAM:Customer Identity and Access Management)における自分のキャリアを振り返ってみると、特にここ数年は多くの変化がありました。クラウドネイティブサービスやプライバシー関連規制から、暗号化や安全なメッセージングプロトコルに至るまで、現代においてIDをうまく運用するためには何層ものセキュリティ設計、アーキテクチャ、プロセスを正しく行うことが必要です。
絶えず性質を変え続けるデジタルIDのリスクと詐欺に立ち向かうために、CIAMは必然的に進化してきました。今も急速に成長しています。Juniper Researchによると、米国におけるアカウント乗っ取り(ATO)のコストは2017年に比べ500%上昇しています。同じく懸念されるのは、2022年のJavelinの調査によると口座開設詐欺の件数が前年比109%も急増したことです。
IDとサイバーセキュリティへの投資が2桁以上も伸びている理由は容易に推測できます。PWCは同じ報告書で、経営幹部の75%が、組織やシステムが複雑すぎるとサイバーセキュリティやプライバシーのリスクにつながると述べていることを明らかにしています。これらすべてを管理するために、サイバー分野の専門家は需要が高く、供給が不足しており、現在世界で300万人の人材が不足しているといわれます。このことと、私たち誰もが今日利用しているデジタルサービスやアプリの爆発的な増加とを考え合わせると、ハッカーは広大な熟した狩猟場を楽しんでいることが分かります。
本記事では、詐欺師が既存のCIAM手法を破ったり回避したりする方法と、IDに対する最新のアプローチがセキュリティの成果をどのように向上させるかについて説明します。この記事を読み終える頃には、今日の複雑なATO詐欺を防ぐために必要なものと、より効果的なCIAM技術を導入する方法について、明確にイメージできるようになるでしょう。また、このトピックを別のプルーフポイントから扱った最近のウェビナーにもリンクを張っておきます。併せてご参考下さい。
IDとサイバーのギャップ
IDとサイバーセキュリティは表裏一体だと言う人は多いでしょうが、その境界線は曖昧になってきています。結局、IDに含まれるのは強力な暗号的信頼、安全なメッセージングプロトコル、および高度なデータ共有とプライバシーへの影響の履歴です。それならば、ID はサイバー機能として認識され、実装されるべきでしょうか。そのように見えるかもしれませんが、CIAMへのアプローチを再考しなければならないことを示すIDのセキュリティギャップが容易に指摘できます。
まずはCIAMの中核機能である認証について見てみましょう。Verizonの2021年版データ漏洩調査報告書(DBIR)によると、サイバー侵害の61%は最も広く使われている認証方式を標的にしています。これはもちろん、フィッシング、漏洩、傍受、推測、キーロギングの可能な、簡素なパスワードのことです。より優れた安全な代替手段があるにもかかわらず、このような非効率的なアクセス管理機能が終焉を迎えていないのは不思議だと思いませんか?
もちろん、防衛手段をさらに追加して安全でないパスワードを強化します。二要素認証(2FA)方式は、登場した当初は強力な対抗手段でしたが、今や力を失いました。従来の2FA、SMS-OTP、ハードウェアベースのOTP、認証アプリはすべて、高度かつ非常に汎用性の高い傍受攻撃やフィッシング攻撃にさらされています。自動化されたサイバー犯罪サービスプラットフォームは、今やそれ自体が産業となっています。2FAがいかに簡単に完全無効化されるか、読んでいて恐ろしくなります。
実例:EvilProxyは、現在メディアで話題になっているフィッシングサービスのプラットフォームです。最も注目すべきは、このターンキーリバースプロキシサービスにより、リバースプロキシの設定方法を知らない低スキルのハッカーでも、高度なATO詐欺を非常に簡単に行えることです。わずかな手間で、認証トークンを含むセッションCookieを傍受し、2FAを回避して、正規の顧客のふりをしてアカウントにログインすることができるのです。
パスワードレスは始まりに過ぎない
フィッシングに強い特性と使いやすさを備えたパスワードレスMFAは、認証方式の新たなゴールドスタンダードとして急成長しています。FIDO2プロトコルに基づくオンデバイス生体認証は、パスワードやOTPといった共有の秘密を標的とする大多数の攻撃を無効化します。しかしどんなに強力な認証方式でも、例えばセッションハイジャックを止めることはできません。
それでは、認証という行為の枠を超えて、アプリケーションアクセスという広い視点で見てみましょう。CIAMは、IDライフサイクル全体を通じて顧客アカウントを保護するためにどのような役割を果たすことができるでしょうか。顧客がログインし、アプリケーションを使い始めた瞬間のことを考えてみましょう。すべてのアプリケーションは異なった作られ方をしていますが、多くのCIAMシステムではまさにこの瞬間に手掛かりを失います。
認証後の空白期間におけるリスクと信用
まず、認証が特定の時点でのイベントであることに注意しましょう。認証後、ユーザーは、ログイン時点での一回きりの信頼イベントのコンテキストを持つ、期限付きの拡張セッションで操作します。では、これ以降、セッションの信頼性はどうなるでしょうか。当然、信頼のレベルは低下します。1秒ごとにリスクが生じる可能性があるからです。
EvilProxyの例から分かるとおり、詐欺師はログイン時だけでなく、アクティブセッション中にも顧客アカウントに侵入することができます。だからこそ、デジタルID詐欺をいかなる時点でも、つまりIDの全行程において食い止めるために、リスクをリアルタイムに評価し、阻止できるアカウント保護機能が組み込まれた最新のCIAMシステムが必要なのです。
しかし気をつけてください。これが、サイバーとIDの境界線が曖昧になるところです。リスクと信頼のシグナルを探し、マルウェアやトロイの木馬、悪意のあるペイロードを検出するセキュリティは導入済みかもしれません。しかし、ほとんどの場合、こうしたツールはアプリケーションを保護するように設計されており、IDプロファイルや顧客アカウントを保護するものではありません。もちろん複数のベンダーのソリューションを統合しようと試みることはできますが、うまくいくとは思えません。バラバラの技術では、IDライフサイクル全体を保護するために必要な相互運用性と可視性が欠けています。
コンテキストはあらゆる時点で重要
エンドツーエンドのIDプラットフォームにコンテキストを考慮したセキュリティが織り込まれている場合に限り、CIAM はこの問題を解決できます。例えば、ユーザーがアカウントの詳細を変更した場合、ボットの動作を示した場合、新しいIPアドレスや新しいデバイス、いつもと異なるブラウザで利用した場合、またはアカウントの回復を開始した場合などに、リスクを確認し対応できる必要があります。
これを実現するには、何百ものシグナルを関連付け、最新の脅威インテリジェンスとともにデータを評価し、機械学習を適用し、リスクと信頼のレベルをスコア化することで、実行時に正確なアクセス決定を行うことができる、強力なオーケストレーションエンジンが必要です。
理論的な観点に立ち返ると、このコンセプトは大きく言えばGartnerが提唱する「Continuous Adaptive Trust (CAT)」というアプローチの傘下に入るものです。CATは、ユーザーセッション全体と顧客について知っているすべての情報を考慮して、既知の良い行動と悪い行動を識別するためにリアルタイムのリスクと信頼の評価を必要とします。信頼できるユーザーにはストレスの少ないアクセスというメリットがあり、一方で疑わしい行動やリスクの兆候は破るのが難しい認証チャレンジやアクセス拒否の引き金になるという考え方です。
最終的に目指すのは、より良い顧客体験(CX)とより強固なセキュリティです。
アダプティブトラスト:言うは易く行なうは難し
これは確かに正しい理論であり、良さそうに見えます。しかし残念ながら、このコンセプトは現実の世界ではほとんど注目されていません。理由は単純で、脅威と不正のインテリジェンスシステムをID・アクセス管理の構造内に組み込む能力が、複雑で断絶しているからです。情報の欠片がこちらに、ユーザーの行動があちらにと散在しており、すべての断片をまとめることができる総合的なソリューションがなければ、このようなデータはほとんど役に立ちません。
ユーザーセッションの完全なコンテキスト内で起こっていることすべてに動的に対応するためには、CIAMの機能が協調して動作する必要があります。異なるベンダーのサイバーソリューションとIDソリューションをつなぎ合わせようとしても、簡単ではなく、成功の保証もありません。これらのコンセプトを統合し、脅威の状況の変化に応じて継続的に改善するには、設計、エンジニアリング、時間、費用がかかります。この事実を認識することが、CIAMの重要な変曲点となります。
ここで、次のことを確認してみてください。御社のID・アクセス管理システムは、進行中のセキュリティ侵害をすぐに検知することができますか?また、サイバー防御の機能を備えていますか?露呈したギャップを埋めるためにさらなるセキュリティソリューションを購入したり、すべてを統合するためにより多くのサイバー専門家や開発者を雇用する必要があると感じるなら、すべてを備えた最新のCIAMソリューションを評価するべき時です。
徹底した新たな防御
サイバーセキュリティとIDの融合は、顧客ID・アクセス管理における新しい時代の幕開けを告げるものです。全体的な単一のCIAMコンテキスト内に、セキュリティ侵害を検知する能力と積極的な阻止能力を備え、詐欺師との戦いに挑みます。
Transmit Securityは設立当初からサイバー防御に重点を置いており、セキュリティは当社のCIAMプラットフォームに深く根付いた基盤です。最新のIDオーケストレーションの発明者として、当社は強力なリスクと信頼のエンジンをIDの構造そのものに組み込み、CATを活用したCIAMを現実のものとしました。当社はサイバーセキュリティとCIAMの概念を取り入れ、その組み合わせを実現します。
その上で、リスクを考慮したセキュリティをベストプラクティスのオーケストレーションや最小限のユーザー行程と組み合わせれば、オンボーディングや認証からアカウント回復、継続的なアカウント保護まで、IDライフサイクル全体をカバーする強力なCIAM機能を実現できます。コンテキストに応じたセキュリティ対策は、自動的でそのまますぐに導入できます。しかし、それで終わりではありません。当社のクラウドネイティブサービスは、トップクラスのサイバーセキュリティ専門家からなるチームによって継続的に強化され、微調整されています。
ここで、サイバーセキュリティ専門家が業界全体で不足しているという先ほどの話に戻りましょう。アカウント保護が自動化されると、対応にかかる時間が短くなり、手動処理の必要性が減ります。エンドツーエンドのCIAMプラットフォームを利用すれば、サイバーセキュリティ専門家をより多く雇う必要性を減らしながらも、詐欺を未然に防ぎ、ブランドへのダメージを最小限に抑え、顧客と自社の両方を金銭的損失から守ることができます。
このトピックについてより詳しくは、私のオンデマンドウェビナー「How Modern CIAM Defeats Complex ATOs」をご覧ください。
