最近、米行政管理予算局(OMB)は次のような発表を行った。 覚書 M-22-09 これは、2024会計年度末までに特定のゼロトラスト・セキュリティ目標を達成することを各省庁に要求するものである。ゼロトラストへの前進は、政府サイバーセキュリティの主要な近代化目標の1つである。 2021 国のサイバーセキュリティ向上に関する大統領令.
国防総省のゼロ・トラスト・リファレンス・アーキテクチャに記述されているように、「ゼロ・トラスト・モデルの基本的な考え方は、セキュリティ境界の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼されないということである」。その代わり、アクセスを確立しようとするあらゆるものは検証されなければならない。
ゼロ・トラストへの移行は、「多要素認証(MFA)を含む、より強力な企業IDおよびアクセス制御」を強調している。なぜなら、「安全で企業管理されたIDシステム」がなければ、敵対者はユーザー・アカウントを乗っ取り、データを盗んだり攻撃を仕掛けたりするための足がかりを機関内で得ることができるからである。認証プロセスは、「正当なシステムを装ったウェブサイトやアプリケーションへの認証秘 密や出力の開示を検出し、防止」できなければならない。この覚書はまた、MFA は、仮想プライベート・ネットワーク(VPN)のようなネット ワーク認証ではなく、エンタープライズ・アイデンティティ・サービスのようなアプ リケーション・レイヤで統合されるべきだと述べている。
RSAは、ゼロトラストモデルへの移行をサポートします。RSAは、ID/アクセス管理(IAM)に対する完全かつ最新のアプローチを通じて、世界中の組織や機関がこの新たな課題に対応できるよう支援しています。RSAは、さまざまなユーザーやユースケースのニーズに対応するために、さまざまな多要素認証(MFA)方式を提供しています。RSAは、信頼できるユーザーIDを再確立すると同時に、機械学習とリスクベースのアナリティクスを採用して、フィッシング攻撃の可能性を含む異常なアクティビティを検出します。また、組織の攻撃対象領域を縮小するように設計されたインテリジェントなガバナンスとライフサイクル機能も提供します。外部と内部の両方の脅威から組織を保護するために、当社の製品は、脅威行為者によって悪用される可能性のある過剰な権限を排除します。
私たちは、政府機関がゼロ・トラストに移行し、M-22-09と大統領令に備えるのを支援する中で、これらの新しい要件にどのように対応すべきかについて、顧客がさまざまな質問に答えるのを支援してきました:
RSAは、強力なMFAオプションを幅広く提供し、連邦政府機関が次世代システムとレガシーシステムの両方を含め、どこからでも何でもユーザーを安全に認証できるよう支援します。クラウドへの移行、リモートワーク、デジタル・イニシアティブによってネットワークは変化し、これまでリソースを保護してきた境界は解消され続けています。現在では、あらゆる機関の人々がさまざまな場所から接続する必要があり、中にはインターネットにアクセスせずにログインする必要さえある。このような多様な環境とユーザは、さまざまな認証の課題を提 供するが、政府機関は、人やデバイスがどこにいても、安全で便利な認証を確実に提供でき る必要がある。
RSAのソリューションは、あらゆるユーザーを、どこからでも、何にでも接続します。当社は、FIDOのサポートを含め、さまざまな機関の要件やユーザーの嗜好に対応する複数の認証機能を提供しています。 FIDOアライアンスのボードメンバーであり、エンタープライズ・ワーキンググループの共同議長である当社は、流行になるずっと前からパスワードの廃止を推進してきました。 プラットフォーム も同様の措置を講じている。我々のアイデンティティ・プラットフォームは以下をサポートしている。 パスワードレス認証 99.95%の可用性を誇り、ネットワーク接続なしで認証が可能なノーフェイル機能を備えています。 接続が遮断されても安全に認証できる, あるいはインターネットが使えない場合だ。
RSAはさまざまなIAM機能を提供しています。 当社は、ゼロトラスト、クラウドセキュリティ、認証に関連する連邦政府の要件をサポートするため、FedRAMPの認可を受けており、最も機密性の高い政府機関から信頼されています。現時点では、FIDOをサポートしていないアプリケーションを使用している政府機関もあり、FIDOをサポートするためにインフラやアプリケーションを移行するソリューションや企業として、顧客の支援に取り組んでいます。その間、政府機関はワンタイムパスワード(OTP)ソリューションを必要とし続けるかもしれませんが、すべてのOTPソリューションが同じように作られているわけではないことを認識することが重要です。
安全に実装された SecurID OTP は、攻撃者が時間ベースの OTP(TOTP)にアクセスできないように、複数の制御を採用しています。また、万が一攻撃者がアクセスした場合でも、TOTP を使用できないようにします。通常 10~15 分のタイムウィンドウを持つ SMS TOTP と異なり、当社のタイムウィンドウはわずか 60 秒です。さらに、SMS OTPは、不正行為の常習的な標的である安全でないチャネルで送信されます。
OTP の有効期限をわずか 1 分に制限することで、RSA は悪質な行為者が認証要素を保存して後で使用することを防いでいます。また、悪質な行為者がこの 60 秒の枠内で OTP を再利用しようとしても、RSA の認証サーバは既に見た OTP を受け付けません。この拒否は、実際のユーザがアクセスするために2回目の認証を行う必要があるか、ユーザが単にアクセスを拒否されるため、監査可能なイベントを作成します。OTP を使用して認証できるのは 1 回のみであるため、フィッシャーは正規ユーザの認証試行をミラーリングしたり、保存したりすることができません。SecurID OTPは1回しか使用できず、その寿命は非常に短い。
RSAの機械学習ベースのリスクエンジンは、行動異常も検出します。RSAリスクベース認証は、アクセス要求が組織にもたらすリスクを評価する技術とテクノロジーを使用します。機械学習を使用して、リスクベース認証は評価から学習し、その知識を今後のリクエストに適用します。
RSAは、認証だけでなく、セルフサービスのパスワード管理、簡単なアクセス認証、自動化された参加者、移動者、離脱者(JML)プロセスにより、IDライフサイクル全体を保護し、ユーザーのライフサイクル全体を通じて適切でコンプライアンスに準拠したアクセスを保証します。RSAは、認証者のプロビジョニングとデプロビジョニングを管理し、トークンの紛失や緊急アクセスなどの状況に対処するためのヘルプデスク・ツールを提供します。
RSA はまた、認証の試行を処理するために必要なすべての通信を保護するために、標準ベースの暗号化手法を使用しています。RSA は、PIN と OTP の両方にエンドツーエンドの暗号化を採用しています。これは、トランスポート層の暗号化を超えるもので、プロキシによって OTP が復号化されることはありません。これらの方法は、OTP と PIN がネットワークの内外およびネットワーク間で伝送される際に保護されるだけでなく、さまざまなソフトウェア・コンポーネントが自分自身を認証できることも保証します。
フィッシングはなくならない問題である, しかし、テクノロジーは単独で作動するものではないことを忘れてはならない。フィッシング攻撃が成功するかどうかは、テクノロジーと同様に人間の心理に左右されることもあるのです。教育された従業員は、あなたの防衛の第一線であるべきです。フィッシングメールを警戒している従業員は、攻撃者に足がかりを与えるような不審なリンクをクリックすることはありません。
認証オプションの選択肢を提供し、行動モデルを構築することで、政府機関は、特定の認証要素を超えた徹底的な防御を提供するフィッシングに強い認証ソリューションを実現することができる。
また、どのような技術であれ、実装してこそその良さが発揮されることを忘れてはならない。優れた認証ソリューションは、潜在的なフィッシングの脅威に対処するだけでは不十分である。適切なプロビジョニングと クレデンシャル・ライフサイクル管理 は、認証ソリューションの全体的な一部でなければならない。RSA は、以下のような業界標準のプラクティスを開拓し、確立してきました。 OTP ベースの認証について、以下の目標を達成する。.
RSAは数十年にわたり、イノベーションと実用的な認証ソリューションを提供してきました。RSAの実証済みのテクノロジは、世界中の最もセキュリティに敏感な政府機関や企業のお客様から信頼されています。RSAのIAMは、国家の重要なサイバーセキュリティ目標を達成するために組織が必要とする機能を提供します。私たちの認証ソリューションは、長い時間をかけて実証されており、脅威の状況が進化するにつれて、私たちの実装を革新し、改良し続けています。
