コンテンツへスキップ
RSAクラウドセキュリティを無料でお試しください

今すぐID Plusのトライアルを始めてください。

開始する
フィッシング耐性とは何か?

フィッシングへの対策が急務であるという話はよく耳にするが、確かにフィッシングは大きな脅威である。 ヘルスケアを変える また、 フィデリティ投信 を実証する。

フィッシングはサイバー攻撃の一種で、攻撃者がユーザーを騙してクレデンシャルや機密情報を開示させるものであり、多くの場合、詐欺的な電子メール、ウェブサイト、またはメッセージを通じて行われる。パスワードレス・アプローチを含むフィッシングに耐性のある認証方法は、認証をデバイスまたはオリジンにバインドし、共有された秘密を排除することによって、クレデンシャルの盗難を防ぐように設計されている。

パスワードレス認証:何を待っているのか?

また、M-22-09、Executive Order 14028、M24-14のような指令は、単なる多要素認証(MFA)以上のものを要求しており、フィッシングに強い組織を作る上でパスワードレス認証の重要性についてもよく耳にする。OMB - M-22-09は次のように述べている: 「各機関は、認証システムを近代化する際に、パスワードなしの多要素認証の利用を拡大することが奨励される。

しかし、パスワードレスの必要性は、フィッシング対策にとどまらず、より広範に、あらゆる種類のサイバー攻撃を撃退する現実的な保護を提供する認証環境を構築することにある。ガートナー社のレポート パスワードレス認証への移行によるセキュリティ強化とUXの最適化 と指摘する:

「多要素認証(MFA)の一部であってもパスワードに依存し続ける組織は、パスワードレス方式に移行した組織よりも安全性が低い。

RSAでは、なぜ多くの組織がパスワードレス認証の採用に向けてより大きな前進を遂げられないのか、しばしば不思議に思っています。Gartner社のレポートでは、組織の足かせとなっている要因を深く掘り下げ、前進するための実践的な推奨事項を共有し、パスワードレス認証に移行するあらゆる機会を捉えるための段階的なアプローチを示しています。

パスワードレス化を進める理由

パスワードレスに移行する際に考慮しなければならない文化やシステムの調整を考えると、組織が躊躇するのは当然かもしれない。しかし、クレデンシャル盗難のリスクが実証されていることを考えれば、遅かれ早かれ行動を起こすことは理にかなっている。ユーザーのパスワードが多ければ多いほど、リスクは大きくなる。

CISOやアイデンティティ・アクセス管理(IAM)リーダーが、新しいパスワードレス・テクノロジーに早急に投資することを懸念しているのであれば、その間にクレデンシャル・ベースの攻撃の犠牲になるという非常に現実的なリスクに直面することになる。このようなサイバーセキュリティ上のリスクは、ほとんどの組織の躊躇を凌駕しているようだ。

FIDOアライアンスは、87%の企業がセキュリティとUXを強化するためにパスキーを導入しているか、導入する予定であると報告している。そして、それは企業だけではありません:消費者はますますパスワードレス認証に移行しており、現在1億7500万人以上のAmazon顧客がログインにパスキーを使用しています。

脆弱なMFAを回避する一般的なフィッシングの手口

従来のMFAを使用している組織であっても、認証方法がフィッシングに耐性がなければ脆弱になる可能性がある:

  • クレデンシャルの傍受:SMS、電子メール、認証アプリ経由で送信されたワンタイムパスワードをキャプチャできる。
  • 中間者攻撃:攻撃者はユーザーを騙し、偽のログインポータルを介して認証情報を提供させる。
  • マルウェアのキーロガー:パスワードやワンタイムパスワードを含むキー入力を記録するソフトウェア。
  • フィッシング・キット:自動化された攻撃フレームワークは、デバイスやオリジンに暗号的にバインドされていない MFA メソッドを標的にする。
パスワードレス・ソリューション導入のベスト・プラクティス

ガートナーのレポートでは、組織は管理可能な段階を踏んでパスワードレスを導入することで成功できると指摘している:「IAMリーダーは段階的なアプローチをとるべきである。

報告書は、組織が取るべき4つの具体的なステップを提案している:

  1. パスワードが使用されている場所の目録から始めて、ユースケースを特定する。
  2. セキュリティとUXの目標に基づく目標状態に合意する。
  3. さまざまな方法とフローにおける好みを確認する。
  4. 労働力と顧客の使用例に関するロードマップを作成する。

RSACカンファレンス2025, パスワードレスは、将来の計画と同じくらい、現在の認証方法とMFAの展開の監査が必要な旅であることを説明した。組織は、現在強力な認証を導入している場合、パスワードレスへの道半ばであることに気づくかもしれない。

フィッシングに強いMFAの仕組み

フィッシングに強いMFAは、認証をユーザーのデバイスとオリジンにバインドし、ネットワーク上の共有秘密を排除することで機能する。方法には以下が含まれる:

  • パスキーとアプリベースのプッシュ通知:ユーザーは、パスワードをネットワーク経由で送信することなく、モバイルデバイスから認証要求を承認または拒否することができます。
  • デバイスベースの要因:本人確認は、共有されたクレデンシャルではなく、特定のデバイスに結び付けられる。
  • ハードウェアベースの認証:RSA iShield Key 2シリーズおよびRSA DS100認証器は、FIDO2パスワードレス認証をサポートしています。
  • 生体認証:Android、iOS、Windowsデバイスでの指紋認証と顔認証。
  • スマートカード/PKI証明書:政府機関や規制の厳しい業界で一般的。

企業がフィッシングに強いMFAを必要とする理由

  • OTPや従来のMFAを狙ったフィッシング攻撃の巧妙化
  • 規制ドライバ(NIST 800-63B、大統領令 14028、CISA ゼロ・トラスト・ガイダンス)
  • 現実世界のクレデンシャル盗難リスク
  • 従来のMFAよりもセキュリティとユーザー体験を向上
パスワードレスへの移行をサポートするRSAの能力とリソース

ガートナー社のレポートは、「IAMリーダーは、容易にサポートされるパスワードレス方式を導入し、パスワードレス認証を他のユースケースに拡大するためのさらなる行動をとるべきである」と述べている。“

パスワードレス・ソリューションの導入を検討している組織向けに、RSAは、AIを搭載したRSA Unified Identity Platform内で利用可能な、特定のパスワードレス機能とリソースを幅広く提供しています。

  • パスキー:RSAは RSA Authenticator アプリ, これは、ユーザーがデバイスをパスキーとして登録し、パスワードなしの認証に使用できるようにするものである。
  • アプリベースのプッシュ通知:RSAは、アプリベースのプッシュ通知を提供しており、ユーザーはモバイル・デバイスから認証要求の承認または拒否を行うことができます。
  • デバイスベースの要因RSA 本人確認 機能には、フィッシングやその他の攻撃で標的にされる可能性のある一連の認証情報ではなく、ID を特定のデバイスにリンクすることが含まれる。
  • ハードウェアベースの認証:ハードウェア認証は RSA iShield Key 2 シリーズ 認証機関と RSA DS100 authenticatorはどちらも、医療従事者がビニール手袋やマスクを着用する必要がある場合や、インターネット接続デバイスが許可されていないクリーンルームなど、生体認証や携帯電話が適していないユースケース向けに、FIDO2ベースのパスワードレス認証を提供している。
  • 生体認証:RSAは、AndroidとiOSデバイスの両方で指紋認証と顔認証をサポートしています。また、Windowsユーザーの生体認証方法としてWindows Helloもサポートしています。
その他のフィッシングに強いMFA技術

RSAのパスワードレス・ソリューションやデバイスベース・ソリューション以外にも、企業はフィッシングに強いMFAテクノロジーを活用してセキュリティを強化することができます:

  • スマートカード / PKI証明書: セキュアなデバイスに保存される証明書で、政府機関や規制の厳しい業界で強力な認証のためによく使用される。
  • モバイルとデスクトップ用のパスキー: プラットフォーム間でシームレスなパスワードレスログインを可能にするデバイスバインド認証情報。
  • 適応型MFA: デバイスの信号、地理的位置、およびユーザーの行動を組み合わせて、リスクが検出されたときに、より強力な検証を実施するコンテキスト認識認証。
  • ソフトウェア・セキュリティ・トークン: フィッシングに強い基準を満たしたセキュアなアプリ(FIDO2準拠のアプリなど)に暗号的に生成された鍵を保存する。

これらの技術を段階的な導入戦略と組み合わせることで、企業は、従業員と顧客の両方の ID を保護する、層構造の耐フィッシング認証フレームワークを構築することができます。

フィッシングに強いMFAのメリット

  • クレデンシャル・フィッシングとリプレイ攻撃を阻止する
  • コンプライアンス義務および規制基準に適合
  • OTPベースのMFAと比較してユーザー・エクスペリエンスが向上
  • 企業および顧客のシステム全体でアカウント漏洩のリスクを低減
RSAでパスワードレスを実現

エンタープライズグレードのハードウェア認証をお求めの企業には RSA iShield Key 2 シリーズ は、安全でコンプライアンスに準拠した、使いやすいソリューションを提供します。RSAのパスワードレスおよびフィッシング耐性のMFAオプションのフルスイートと組み合わせることで、ユーザー アクセスを簡素化しながら、最新のクレデンシャル攻撃から組織を保護できます。

についてもっと知る パスワードレス機能 の一部として利用できる。 RSA ID Plus, 、 無料体験を申し込む をクリックして、RSAがどのようにパスワードレス認証への移行を加速させることができるかをご確認ください。

ガートナー社パスワードレス認証への移行によるセキュリティ強化とUXの最適化。アント・アラン、ジェームズ・フーバー2024年8月30日発行

GARTNERは、米国およびその他の国におけるガートナー社および/またはその関連会社の登録商標およびサービスマークであり、許可を得て使用しています。無断複写・転載を禁じます。

フィッシングに強いMFA FAQ
フィッシングに強いMFAの例とは?

FIDO2セキュリティキー、パスキー、スマートカード、デバイスバインドバイオメトリクス。

フィッシングに強い認証を必要とする規制とは?

NIST 800-63B、大統領令 14028、および CISA ゼロトラスト・ガイダンス。

FIDO2はどのようにフィッシングを防ぐのか?

ウェブサイトのオリジンを検証するデバイスにバインドされた暗号鍵を使用することで、共有秘密を排除する。

フィッシングに強いMFAとは?

認証要素をデバイスまたはオリジンにバインドし、ネットワーク上の共有秘密を回避する。

OTPベースのMFA(SMS、電子メール、認証アプリ)はフィッシングに強いと考えられるか?

いいえ、OTPは攻撃者に傍受されたり、再生されたりする可能性があります。

フィッシングに強いMFAは既存のIAMプラットフォームと統合できるか?

そう、最新のMFAソリューションは、企業のIAMシステム、SSO、クラウドアプリとの統合をサポートしている。

ユーザーを混乱させることなく、フィッシングに強いMFAを導入するには?

段階的なアプローチをとり、ユーザーフレンドリーな認証方法を選択し、明確なトレーニングとサポートを提供する。

ご興味のある方は

デモをリクエスト

デモのお問い合わせ