Gartner IAMでの集客力から判断すれば、IDの専門家は、リスクの高いパスワードからパスワードレスの顧客認証へと、大きな溝を飛び越えた他社の話を切望しているといってよいでしょう。その行程には、実践的な経験を持つセキュリティ専門家、できれば大規模な成功を収めた専門家による戦略的なヒントや洞察が必要となります。そしてそれは、間違いなくCitigroupに当てはまります。
「160カ国、2億人の銀行顧客にパスワードレス化を展開する」という対話形式のセッションで、Transmit SecurityのSVPフィールドCTOのCraig Currimが、シティ社のID&アクセス管理エンジニアリング部門グローバル本部長であるMatt Nunn氏に話を伺いました。Gartnerの主催者によると、この講演はイベントのトップ3に入ったそうです。
Citiのようなお客様が経験を進んで共有して下さったからこそ出来たことです。Matt Nunn氏は、実際のシナリオを踏まえながら、参加者に有益で戦術的なアドバイスを行いました。セッションにおいて、CitiのMatt氏にお話いただいた内容は以下のとおりです。
- 真のパスワードレスとは何か
- ID行程全体を守る理由と方法
- 「良い」と「悪い」の間のグレーエリアを縮めるためのアドバイス
- 1つの問題点から始めて、さらに拡大する方法
- 構築か購入か:考慮すべき要素
ガートナーIAM へのオール アクセス パスを使用すると、セッション全体をご視聴できます。Gartner IAMのオールアクセスパスをお持ちの方は、セッションをフルで再生することができます。また、このまま読み進めると、二人のトークのハイライトをお読みいただけます。彼らのQ&Aから、最も価値の高い情報を抜粋したものです。
Craig Currim(Transmit Security):Mattさん、なぜパスワードレスが重要だとお考えなのでしょうか?
Matt Nunn(Citigroup):なぜパスワードやピンがあったかというと、個人が使うコンピューティング環境にはキーボードしかインターフェースがなかったからです。そして、何が起こっているのか、どのように相互作用しているのかを特定するものが必要でした。
ですから、パスワードレスを考えるというのは、その制限を越えて視野を広げるということです。デバイス、サービス、分析、そしてバックエンドと、私たちはさまざまな場所にいるようになりました。ですから、もしいまだに、もはや大規模に保護する意味がないものに制限されているとしたら、そのルーチン全体から抜け出す必要があります。
他の多くのパスワードレスソリューションでは、「ここにパスワードがあります、リセットしてください。パスワードは問題が発生したときや、アカウントへの入り方を忘れてしまったときなど、いつでも必要です。パスワードでリセットします。」といって制限しています。
Craig:また、パスワードレスはクレデンシャルを強化するための1つのピースです。アカウントの作成やKYCプロセス、継続的なリスクや分析など、他にもIDライフサイクルの様々な領域について考えておられました。それを総合的に考えるんですね。
そこで、話題のFIDO2とWebauthnを紹介しましょう。どう思われますか?それは、リスクの80%に対処するための銀の弾丸なのでしょうか?
Matt:リスクがあるかないかを決めるのは、クレデンシャルだけだと考えることはできません。リスク体制を把握しようとすると、「これはグリーン、安全だ」となります。それはわかっています。これはレッド、安全じゃない。それもわかっています。私たちにはその真ん中についての十分な知識がなく、それはグレーなんです。だから、その空間の中でどう運用したいかを考えてみるのです。そして今、私たちはそれをシフトしているのです。より多くの分析結果や情報を得られるようになりました。
だから、玄関にあるのは安全領域だけではなく、ゼロトラストのIDなのです。つまり、個人の行程に沿った情報を継続的に見ていくということです。いつ入ってきて、いつリセットして、何をしようとしているのかがわかるのです。プロファイリングとバックエンドのすべてのデータ分析による受動的な行動バイオメトリクスです。
そのようなサービスによって本当に適切な判断ができるようになり、グレーという概念を減らすことができるのです。グリーンとレッドという概念がさらに的確となり、バランスを取ろうとする中間が少なくなるんですね。
互いにやりとりするシステムをどれだけうまく構築できたと思っているかで決まるわけではありません。多くのシステムが1対1で構築されました。また、個人が他のデバイスであなたのバックエンドサーバーと接続できるという概念が抜けていると、貴重なピースを見失うことになります。
Craig:では、ユーザーベースはどうでしょうか?FIDOやより強力なレベルの認証、つまり定義上、多要素とすることができる認証が伴うのですから、通常は別の方法でステップアップさせなければならない行程の他の部分にも、ユーザーを誘導できますね。
Matt:そうですね。OTPを使っても、キーボードというインターフェイスを通してユーザーと対話することになります。その代わりに、バックエンドで連動しているこれらのデバイスが、チャネルを越えて情報を提供でき、ユーザーに課題をポップアップ表示できます。ユーザーはそれを証明し、署名して送り返します。
セキュリティは水のようなものです。攻撃側は、目の前に自分を止めるものがあれば、それを避けて進みます。あなたがこれを保護したことを、攻撃者は知ることになります。そして、少し難しくなったので、他にどうすれば入れるか、どうすれば怪しまれないかを判断するために、プロセス全体を取り巻く他のエリアに目を向け始めるでしょう。それらを継続的に一緒に評価していかないと、攻撃されていることに気付けません。
Craig:非デジタルチャネルでのアプローチについて教えてください。コールセンターはどうですか?この方法論をどのように適用しますか?そこではどのようなアプローチをとられていますか?
Matt:コールセンターでは、知識ベースの質問やセキュリティの質問など、漏洩リスクの高いことを行っていますね。では、他の分野で使っている機能でセキュリティを高めるために、そのような人たちとどのように関わっていけばいいのでしょうか?
FIDOを見て、多くの人がパスワードレスと思うでしょう?そして、その下にある核となる機能を見れば、それはもっと強固です。しかし、その登録をパスワードベースで行うべきではありません。そのために、プラグを差し込み、登録し、リセットする必要があります。
あなたのデバイスで、あなたのインターフェイスで安全に行うため、煩わしさが軽減されると顧客に伝えることになります。定期的にインターフェイスを使い、これらのチャネルを通じてやりとりするのですが、その裏で、リセットしてパスワード認証に戻すのであればそれがはるかに速く、パスワードが依然として問題になります。
Craig:だから、段階的なプロセスもあるんです。IDは何層にもわたるので、このような総合的なソリューションの構築を検討する際には、考慮すべきことがたくさんあります。構築か購入かを判断する際に考えなければならなかったことは何ですか?
Matt:Citiは間違いなく大企業で、非常に複雑な組織です。構築か購入かを考えるとき、私はビジネス的な観点から考えます。市場にソリューションがある以上、一点物の独自ソリューションを構築することは正当化しがたいものです。なぜ、独自に構築する必要があるほど市販品では不十分なのでしょうか?独自に構築できないわけではありませんが、通常は非常に高くつき、しかも、それを維持し、変更や新しい規格に対応し、更新を繰り返していかなければならないのです。
しかし、実際の損失とは、自分がこうあるべきと信じるソリューションに限定されてしまうことです。それ以外のインプットがないのです。そう、構築はできます。コストがかかります。維持するのは非常に困難です。そして、市販の製品を改善するインプットを見逃してしまうのです。なぜなら、製品を使用している他の企業がインプットを行い、あなたが考えもしなかったようなアイデアが盛り込まれることもあるからです。そして、製品には新しい機能が搭載され、それを導入するだけでビジネスを強化できます。それを一企業が行うのは無理な話です。
Craig:パスワードレス化の障壁は何だとお考えですか?おっしゃるとおり、パスワードレスが常にFIDOとは限らないという点は重要です。チャネルやデバイスがFIDOに対応していない場合はどうすればよいでしょうか?人々はこれらの規格に注目しています。彼らは、「自分でやってみよう」と考えます。では、パスワードレスを導入する際の障壁は何でしょうか?そして、ユーザーが導入する際の障壁となるものは何でしょうか?
Matt:そうです。実装となると、本当にうまくやるには、たくさんのことが必要なのです。現行のアーキテクチャがどのようなものかを確認し、これを展開する際には、最初の反復を極めて戦略的に行うことが望まれます。セキュリティを強化し、顧客が受ける煩わしさを軽減しようとしているのか?問題点は何か?解決しようとする攻撃ベクトルがすでにあるのか?SMS-OTPによってすでに損失が発生していないか?どこから手をつけて、どこに移行すべきかという具体的なターゲットを定める必要があります。
そして、自分でやる場合は、1つの用途があります。そして、ライフサイクル全体で、そういった他の用途にも展開できるような構造にすることが非常に難しいのです。だから、それを自分でデザインしようとするよりも、もともとこのデザインの中で柔軟性と移行性に優れたものを使った方がいいのです。
Craig:チャネルやアプリケーションを横断して統合し、同じ顧客体験を実現するための統一された方法もあります。一緒に仕事をさせていただく中で、それぞれ機能の異なる貴社のさまざまなアプリに対応する必要がありました。では、顧客体験はどうでしょうか?どのように思われますか?
Matt:そう、1つのチャネルだけを強化したわけではありません。[私たちは、]各チャネルを独自の方法で設計するために、開発者のライフサイクルと経費を削減する製品を模索していました。開発者の負担を減らすだけでなく、お客様にも直感的に理解してもらえるからです。携帯電話やパソコン、ウェブでやりとりしていようが、それは同じです。全体に統一感を持たせたいものです。
つまり、ユーザーが自分で仕組みを選べるようにするということです。ユーザーはどのような方法のやりとりを好むのか?制限をかけたくはありません。選択肢を与えたい、「自分の旅を変える」本みたいなものですね。生体認証が好きか?プッシュ通知が好みか?ユーザーは、自分たちがどのようにやりとりしたいかを判断していくのです。そして、すべてのチャネルに適用することで使いやすくなるだけでなく、セキュリティも高まります。だから、デメリットはないんです。また、ユーザーがパスワード、つまりIDを構築する安全ではない要素を管理する必要はありません。
Craig:この計画に着手しようと考えている、聴衆の中のID専門家にアドバイスをお願いします。
Matt:大切なのは、自分の置かれた環境と、本当に実現したいことを理解することです。IDのゼロトラストは、極めて重要です。ですから、特定のポイントでの統合を考えているのであれば、視野を狭めてはいけません。もっと広く考えてください。他のグループが使っている他のツールで、あなたのデータを使って、より詳細な不正情報や分析情報を入手してエクスペリエンスを向上させることができるかを考えてみてください。行程全体が本当に重要です。そして、たとえ成功したとしても、何らかの形で協力し合い、範囲を広げることができれば、会社全体でのビジネス全体にとって、より良いストーリーが生まれ、向かうべき道がわかります。
Craig:Transmit Securityの顧客としてもう7年来のお付き合いになりますね。私たちは、これまで多くのプロジェクトでご一緒させていただきました。Transmit Securityと一緒に仕事をした経験について皆さんにお話いただけますでしょうか?
Matt:世の中には、さまざまな素晴らしいことをやっているベンダーが数多くあります。私はいつも、アーキテクチャを理解し、市場にある製品を理解し、目指す方向性が一致していることを確認することが重要だと言っています。そして、Transmitのように、当社が様々な規制のある複数の国で運営しているような複雑で大規模なアーキテクチャを理解し、それに沿っているパートナーを持つことが重要です。情報やアイデアを共有し、製品の進むべき方向を見定め、その旅路を共に歩む真のパートナーを得ることができます。
まさに第一線に立ち、この分野において共に継続的に製品を向上させ、あなたが直面する課題を理解できる誰かが必要です。
Gartner IAMでのCraigの言葉を使って要約すると
私たちがIDを考えるとき、それを二元的で一回限りの出来事として捉えることはしません。私たちは、ユーザーが初めて組織と接するときから、何が起こるのか、そのライフサイクル全体を見ます。これらのさまざまな構成要素について、本当に考える必要があるのです。登録、オンボーディング、本人確認、復元、そしてこの行程全体にわたる継続的な評価により、より高いレベルの保証を得ることができます。顧客のことをよく知ることで、最終的にはより安全な体験、そしてより良い顧客体験を提供することができます。
最新のCIAMサービス
CIAMプロジェクトを開始するにあたっては、パスワード不要のログイン、リアルタイムのリスク評価、統一された可視性など、IDのあらゆる側面を考慮する必要があります。クラウドネイティブなTransmit Security CIAMサービスは、企業の拡張性に特化して構築されています。開発者向けのAPIを使用することで、パスワードレスやCIAMイニシアチブの市場投入までの時間を短縮することができます。
