bok

IDPro Body of Knowledgeの日本語訳を載せていきます

View on GitHub

抄録

この記事では、IAM 実務者が認証システムのセキュリティとユーザビリティの両方のニーズを成功裏に実現できるようにする、思慮深い、消費者に優しい多要素認証(MFA)プログラムを展開する方法について説明します。このアプローチは、6つの柱からなるフレームワークに基づいています。すなわち、さまざまな形態のMFAの実行可能性を判断すること、MFAオプションのマルチモーダルな展開を可能にすること、採用を奨励すること、すべてのサービスとアクセスチャネルでMFAをサポートすること、サポートプロセスを設計すること、MFAが消費者と企業の両方に追加のセキュリティを提供できるような信頼できる環境を構築することです。

キーワード: MFA, Multifactor Authentication, 2FA, Two-Factor Authentication, Strong Authentication, SCA, Human-Centric Design, Usability, UX

引用の仕方: Kaushik N., (2020) “Designing MFA for Humans”, IDPro Body of Knowledge 1(3).

2020年10月30日発行

査読付き

ライセンス CREATIVE COMMONS ATTRIBUTION-NONCOMMERCIAL-NODERIVS 4.0

人間のためのMFAをデザインする

By Nishant Kaushik

© 2020 IDPro, Nishant Kaushik

イントロダクション - 人間のためのMFAをデザインする

毎年がPKIの年だとしたら、二要素認証の年はいつ頃だったのでしょうか?2012年は、Mat Honan氏の大規模なハッキング事件で、私たちのデジタルライフがいかに脆弱であるかが浮き彫りになった年だったでしょうか?1 , 2 , 3 , 4 有名人の写真がiCloudに流出したことにより、様々な消費者サービスが二要素認証をユーザーが利用可能なオプションとして提供することを急ぐようになった2014年だったでしょうか?5 それとも、少なくとも金融機関にとっては、PSD2が本格的な規制を提供した2018年に本当に到来したのでしょうか?6 , 7

専門用語

闘争は現実

二要素認証(2FA)は新しいものではありません。IAMの実務家は、確かにプロの生活の中でそれをよく知っていますが(ハードウェアトークンでいっぱいのキーチェーンを覚えていますか?なぜでしょうか?

携帯電話のクローズアップ 説明が自動的に生成されます。

Figure 1: これを持っているのを覚えていますか?

単純な理由は、従業員がどんな苦しくて不便なメカニズムを強制的に採用させられても(個人の携帯電話のモバイルデバイス管理を除いて)、それに従う囚われの身である一方で、顧客は別の話だからです。顧客体験は重要であり、それがうまく行われていなければ、人々はそれを有効にしようとしない(オプションである場合)か、それを回避するように努力するか、あるいは全く関与しないことを決定するだろう。

2FA の導入を始めようとしている組織にとって、2FA の導入は混乱を招き、困難なものになります。組織は、「あなたが○○すること」のカテゴリに広がる要因の広範なリストを見つけることができますが、適切な 2FA スキームを導入する方法についてのガイダンスはほとんどありません。それは、モデルキットに入っているすべての部品を手に入れるようなものですが、取扱説明書がないのです。

様々な要素のオプションを示すイメージ。あなたが知っているもの(知識):パスワード、個人情報KBA、ダイナミックKBA、PIN、セキュリティ質問KBAを含む、あなたが持っているもの(所持):TOTPハードトークン、電子メールによるOTP、SMSによるOTP、トークン/クッキー、デバイス(モバイル)、プッシュ通知、TOTPソフトトークン、コードカード、セキュリティキー、暗号化認証を含む、あなたがいるもの(継承):指紋、音声認識、顔認証を含む

Figure 2: 選べる豊富なメニュー

ほとんどの組織では、パスワード認証ステップの最後に追加の要素を追加して、その日のうちに終了させるというアプローチをとっています。残念ながら、この単純化されたアプローチでは、問題にうまく対処することができず、違反の原因となるベクトル、脆弱なインフラ、そして顧客の満足度が低い状態が続くことになります。

要因で考える

多要素認証 (MFA) はさておき、認証フレームワークの目的は、戻ってきた人 (または物) が前回システムが見たものと同じものであることを、必要なレベルの保証で検証することです。この最後の部分が、認証の実装を難しくしています。認証の保証を評価する上で重要な要素は、敵対者が認証を回避するのがどれだけ簡単か、あるいはその可能性が高いかを判断することであるため、認証の保証を測定することは主観的なものであり、組織、業界、またはエンドユーザ・コミュニティの間で正規化することはできません。これを正しく判断するには、脅威のモデル化とリスク分析(これについては後述)を行い、これをさまざまな文脈での認証方法に変換する必要があります。

この保証への要求は、認証の要因が関係してくるところです。要因は、認証フレームワークに、評価、呼び出し、測定するための具体的なものを与えることで、抽象的なものを具体的なものにします。起こった重要な進化は、すべての要因が同じように作られるわけではないという認識です。この実現により、使用できる要因の種類が拡大されただけでなく、数値的に同じではない異なる要因のセットを使用しても、同じレベルの認証保証を達成できるという理解が生まれました(例えば、2 つの要因の 1 セットでは、4 つの要因の異なるセットと同じレベルの保証を達成することができます)。保証に関する要件は、議論を 2FA から MFA に向けて推進するのに役立っています。

これらすべての要素の影に隠れている重要な考慮事項の1つは、要素の性質とユーザー・エクスペリエンスへの影響です。認証要因がエンドユーザーが関与しなければならない明確な課題(または「能動的」要因)に変換された場合(バックグラウンドで静かに動作する「受動的」要因とは対照的)、ユーザビリティへの影響を考慮して、認証プロセスで使用される要因の数を削減しようとする組織が出てきます。これを補う方法の 1 つは、アクセス要求に関連するリスクが高まった場合に、追加の(能動的な)要因を呼び出すことです(ステップアップ認証または適応認証と呼ばれることが多い)。認証の保証とリスクを評価するためのさらに洗練されたアプローチとして、継続的認証があります。これは、セッション中に ID やアクセス情報がどのように変化するかを考慮して、保証レベルがユーザセッションの期間中に低下することを認識し、受動的な要因を使用して保証レベルの変化や低下を常に測定し、保証レベルを元に戻すためにステップアップ認証が必要かどうかを判断することができます。

これらのアプローチのすべてにおいて、認証の要因は、認証フレームワークが、ビジネスが要求する認証セッションの保証レベルを測定し、達成し、維持することを可能にする制御ベクトルである。

MFAスキーマをデザインするためのフレームワーク

MFA は、業界、ユーザベース、脅威モデルを問わず必須のものとなっており、以下に説明する課題と実践は、小規模な組織にも大規模な組織にも等しく適用されます。本書は、製品チーム、従業員、および顧客にとって有用であることを証明するべき MFA プログラムを構築するための基本的なフレームワークを示しています。このフレームワークは、セキュリティ、ユーザビリティ、およびプライバシーのバランスをとるという課題に取り組む 6 つの柱に基づいています。

1. 実行可能性

このフレームワークの第一の柱は、「実行可能性」である。実施者や意思決定者は、可能性のある要因の長いリストを検討する際に、その中のどの要因が MFA スキームにとって実行可能であるかを評価しなければならない。実行可能性の評価には、複数の考慮事項がある。:

2. マルチモーダル

フレームワークの 2 番目の柱は、Multimodal である。2FA を実装する場合、目標は、各ユーザが認証時に少なくとも 2 つの要素を採用することである。しかし、それは、ビジネスが2つの要因だけをサポートすべきであるという意味ではありません。すべての要因がすべてのユーザーに対応するわけではなく、ビジネスが MFA を利用する顧客の数を増やそうとしている場合、膨大で多様なユーザーベースに対応するオプションを提供しなければなりません(すなわち、マルチモーダルでなければなりません)。誰にでも通用する2つの要素を見つけることができるという考えは、最小公約数アプローチにつながり、多くの業界がSMS OTPをMFAの事実上の「標準」とし、セキュリティモデルを弱体化させることになっています。8

携帯電話を持つ手 説明 自動生成

Figure 3: 人それぞれ筆が違う

選択肢を提供することで、ビジネスはエンドユーザーの様々な能力、嗜好、および状況に対応することができ、顧客を疎外し、しばしばセキュリティを弱める「ワンサイズ・フィット・オール」のアプローチを避けることができます。

マルチモーダルであることは、認証プラットフォームがリスクだけでなく、ユーザの能力にも適応できるようになることを必然的に必要とします。この適応能力を高めるためには、認証サービス/プラットフォーム/プロバイダがインテリジェントなユーザーフローを作成する必要があります。9

3. 養子縁組

3 つ目の柱は、最も誤解されているもの、つまり「採用」です。現実には、ビジネスが MFA を義務付けることができる企業環境とは異なり、顧客環境では、エンドユーザに MFA の使用を開始するように説得する必要があります。このパターンの受け入れは増加していますが、一般的には、これは言うは易く行うは難しです。10

組織は、特にMFAスキームを設計する際には、UXリサーチをIAMプログラムの中核的な要素とする必要があります。これは、ビジネスが採用を促進するためにロールアウト計画に組み込まなければならない適切なメッセージング、トレーニング、インセンティブのコンポーネントのセットを作成するための重要かつ基礎的な要素です。11

4. オムニチャネル

MFA を設計する際に見落とされがちな柱は、オムニチャネルです。企業は、MFAがウェブやモバイルチャネルだけに適用されるべきではなく、顧客に接するすべてのチャネルに展開されなければならないことを認識していないことがよくあります。これは、マルチモーダリティの柱に関連しています。企業は、ウェブ、モバイル、コールセンター、対面、チャット、スマートホームアシスタントなど、多くのチャネルで顧客やパートナーと関わっていますが、各チャネルは通常、エンドユーザーを認証するための全く異なる方法をもたらします。

この一貫性のなさは、エンドユーザーをイライラさせ、顧客担当者やIT担当者の頭痛の種となり、悪者を喜ばせます。攻撃者は、これらのチャネルの中で最も弱いリンクを探し、そのチャネルの弱点だけでなく、顧客や従業員が感じるフラストレーションを利用して、そのチャネルを狙うのです。その結果、アカウント乗っ取り攻撃や詐欺が横行します。このビデオでは、カスタマーサービスの認証プロセスの弱点を突いてアカウントを乗っ取る典型的なソーシャル・エンジニアリング攻撃をご覧ください。

今日のビジネスには、さまざまな認証モデルが混在する一貫性のないごった煮状態から脱却し、さまざまなチャネルでセキュリティレベルの一貫性と平等性を実現することが急務となっています。

5. プロセス

frameworkの第5柱はほとんどの組織がに十分な注意を払わない1つである。プロセスです。個々の顧客のためのMFAを可能にし、維持することは多くの異なったプロセスを含み、それぞれが適切に設計される必要がある。:

重要なことは、脱出経路と回復フローは、それらに関連したより高いリスクを伴う例外として扱われる必要があるということである。それは、それらのフローのリスク評価とセキュリティを高めることを意味し、多くの場合、摩擦を追加することを意味します。このような状況では、顧客は(ビジネスが適切な説明を提供していれば)これらのパスの精査の増加を理解していることが多いことを覚えておくことが重要である。これらの例外フローのために出現した技術の 1 つは、これらのシナリオで ID 検証ツール(文書ベースの ID 証明など)を使用することである。

6. 信頼できる環境

フレームワークの 6 番目の最後の柱は、MFA を実行するための信頼された環境を確立することです。これらの要素が受け入れられ、保存され、送信され、評価されている環境が危殆化され、盗まれたり、操作されたり、再生されたりしては、ビジネスの認証要素がどれだけ優れていても、強力であっても意味がありません。秘密をキャプチャするキーロガー、SMS コードを傍受したりキーを盗んだりするマルウェアアプリ、悪意のある WiFi、リバースプロキシ、認証情報やトークンをキャプチャして再生する不正なセルタワーなどの脅威は、MFA の有効性を低下させ、これらの要因に対する組織の信頼性を低下させます。すべての多要素認証プロジェクトは、認証の要素を活用するだけでなく、使用されているデバイスやハードウェアの健全性、信頼されているネットワーク、その他のリスクのシグナルにも目を向け、(できれば)顧客を認証するという単純な行為に対する信頼を構築するために、徹底した防御(業界用語では、ゼロトラスト・セキュリティ)を実施する大規模なセキュリティ・プログラムの一部でなければなりません。

結論

このフレームワークは、ユーザーにとって強力で使い勝手の良い MFA サービスを展開するためのガイダンスを提供する。要因の実行可能性、マルチモーダルサポート、採用率、オムニチャネルの適用可能性、信頼された環境を保証するインフラストラクチャの検討は、どのセクターのどの組織にも適用され、MFAプログラムの設計、構築、ロールアウトのすべての段階で考慮されるべきである。

すべての認証が強力であり、すべての顧客が幸せで、従事し、保護されますように。

[この記事はEIC、Identiverse、Identiverse、Identity Weekでの私の講演を基にしています。Identiverseの講演はこちらからご覧いただけます。]

著者バイオ

Nishant Kaushik氏は、アイデンティティ、認証、チャネルセキュリティを強固に統合した初のセキュリティプラットフォームであるUnikenのCTOです。彼は、Thor Technologies、Oracle、SCUID、CA Technologiesでの経験を生かし、15年以上のID管理業界でのアーキテクトと市場をリードする製品の提供の経験を持っています。現在は、アイデンティティを活用して優れたセキュリティを提供する上で、ユーザー体験の問題を解決することに情熱を注いでいます。Nishant は、著名な思想的リーダーであり、アイデンティティのフォトショッパーとして知られており、定期的にカンファレンスで講演を行い、ブログ(blog.talkingidentity.com)やツイッター(@NishantK)で議論を喚起しています。

Nishant Kaushik

CTO, Uniken Inc.

  1. Berinato, Scott, “Only Mostly Dead,” CSO Online, 23 May 2002, https://www.csoonline.com/article/2113027/only-mostly-dead.html. ↩
  2. Stiennon, Richard, “The new Entrust: is 2011 the year of PKI?” Forbes, 9 May 2011, https://www.forbes.com/sites/richardstiennon/2011/05/09/the-new-entrust-is-2011-the-year-of-pki/#2bdb8f5a171e. ↩
  3. Hils, Adam, “2015 Network Security Predictions: 8 Things That Won’t Happen,” blog, Gartner, 29 December 2014, https://blogs.gartner.com/adam-hils/2015-8-network-security-trends-that-wont-gain-t-raction/. ↩
  4. Honan, Matt, “How Apple and Amazon Security Flas Led to My Epic Hacking,” Wired, 6 August 2012, https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/. ↩ 5.Wikipedia contributors, “ICloud leaks of celebrity photos,” Wikipedia, The Free Encyclopedia, https://en.wikipedia.org/w/index.php?title=ICloud_leaks_of_celebrity_photos&oldid=974755004 (accessed September 21, 2020). ↩
  5. Directive 2015/2366/EU of the European Parliament and of the Council of 25 November 2015 on payment services in the internal market, amending Directives 2002/65/EC, 2009/110/EC and 2013/36/EU and Regulation (EU) No 1093/2010, and repealing Directive 2007/64/EC, European Commission, 12 January 2016, https://ec.europa.eu/info/law/payment-services-psd-2-directive-eu-2015-2366/law-details_en. ↩
  6. Constantin, Lucian, “What is PSD2? And how will it impact the payments processing industry,” CSO Online, 13 September 2019, https://www.csoonline.com/article/3390538/what-is-psd2-and-how-it-will-impact-the-payments-processing-industry.html. ↩
  7. Suau, Roxanne, “SMS OTP Authentication: Not As Safe As You May Think,” blog, Pradeo, 17 February 2020, https://blog.pradeo.com/sms-otp-authentication-not-safe. ↩
  8. Goldberg, Joel, “Workflow Orchestration: An Introduction,” DevOps Blog, BMC, 15 October 2019, https://www.bmc.com/blogs/workflow-orchestration/ . ↩
  9. Camp, L. Jean, Sanchari Das, “Studies of 2FA, Why Johnny Can’t Use 2FA and How We Can Change That,” RSA Conference2019, video session, 12 February 2020, https://www.youtube.com/watch?v=UH9yWvvp4k8 . ↩
  10. Das, Sianchari, Andrew Dingman, L. Jean Camp, “Why Johnny Doesn’t Use Two Factor: A Two-Phase Usability Study of the FIDO U2F Security Key,”in 2018 International Conference on Financial Cryptography and Data Security (FC), 2018, https://fc18.ifca.ai/preproceedings/111.pdf . ↩