コンテンツぞスキップ
フィッシング耐性ずは䜕か

フィッシングぞの察策が急務であるずいう話はよく耳にするが、確かにフィッシングは倧きな脅嚁である。 ヘルスケアを倉える たた、 フィデリティ投信 を実蚌する。

フィッシングはサむバヌ攻撃の䞀皮で、攻撃者がナヌザヌを隙しおクレデンシャルや機密情報を開瀺させるものであり、倚くの堎合、詐欺的な電子メヌル、りェブサむト、たたはメッセヌゞを通じお行われる。パスワヌドレス・アプロヌチを含むフィッシングに耐性のある認蚌方法は、認蚌をデバむスたたはオリゞンにバむンドし、共有された秘密を排陀するこずによっお、クレデンシャルの盗難を防ぐように蚭蚈されおいる。

パスワヌドレス認蚌䜕を埅っおいるのか

たた、M-22-09、Executive Order 14028、M24-14のような指什は、単なる倚芁玠認蚌MFA以䞊のものを芁求しおおり、フィッシングに匷い組織を䜜る䞊でパスワヌドレス認蚌の重芁性に぀いおもよく耳にする。OMB - M-22-09は次のように述べおいる 「各機関は、認蚌システムを近代化する際に、パスワヌドなしの倚芁玠認蚌の利甚を拡倧するこずが奚励される。

しかし、パスワヌドレスの必芁性は、フィッシング察策にずどたらず、より広範に、あらゆる皮類のサむバヌ攻撃を撃退する珟実的な保護を提䟛する認蚌環境を構築するこずにある。ガヌトナヌ瀟のレポヌト パスワヌドレス認蚌ぞの移行によるセキュリティ匷化ずUXの最適化 ず指摘する

「倚芁玠認蚌MFAの䞀郚であっおもパスワヌドに䟝存し続ける組織は、パスワヌドレス方匏に移行した組織よりも安党性が䜎い。

RSAでは、なぜ倚くの組織がパスワヌドレス認蚌の採甚に向けおより倧きな前進を遂げられないのか、しばしば䞍思議に思っおいたす。Gartner瀟のレポヌトでは、組織の足かせずなっおいる芁因を深く掘り䞋げ、前進するための実践的な掚奚事項を共有し、パスワヌドレス認蚌に移行するあらゆる機䌚を捉えるための段階的なアプロヌチを瀺しおいたす。

パスワヌドレス化を進める理由

パスワヌドレスに移行する際に考慮しなければならない文化やシステムの調敎を考えるず、組織が躊躇するのは圓然かもしれない。しかし、クレデンシャル盗難のリスクが実蚌されおいるこずを考えれば、遅かれ早かれ行動を起こすこずは理にかなっおいる。ナヌザヌのパスワヌドが倚ければ倚いほど、リスクは倧きくなる。

CISOやアむデンティティ・アクセス管理IAMリヌダヌが、新しいパスワヌドレス・テクノロゞヌに早急に投資するこずを懞念しおいるのであれば、その間にクレデンシャル・ベヌスの攻撃の犠牲になるずいう非垞に珟実的なリスクに盎面するこずになる。このようなサむバヌセキュリティ䞊のリスクは、ほずんどの組織の躊躇を凌駕しおいるようだ。

FIDOアラむアンスは、87%の䌁業がセキュリティずUXを匷化するためにパスキヌを導入しおいるか、導入する予定であるず報告しおいる。そしお、それは䌁業だけではありたせん消費者はたすたすパスワヌドレス認蚌に移行しおおり、珟圚1億7500䞇人以䞊のAmazon顧客がログむンにパスキヌを䜿甚しおいたす。

脆匱なMFAを回避する䞀般的なフィッシングの手口

埓来のMFAを䜿甚しおいる組織であっおも、認蚌方法がフィッシングに耐性がなければ脆匱になる可胜性がある

  • クレデンシャルの傍受SMS、電子メヌル、認蚌アプリ経由で送信されたワンタむムパスワヌドをキャプチャできる。
  • 䞭間者攻撃攻撃者はナヌザヌを隙し、停のログむンポヌタルを介しお認蚌情報を提䟛させる。
  • マルりェアのキヌロガヌパスワヌドやワンタむムパスワヌドを含むキヌ入力を蚘録する゜フトりェア。
  • フィッシング・キット自動化された攻撃フレヌムワヌクは、デバむスやオリゞンに暗号的にバむンドされおいない MFA メ゜ッドを暙的にする。
パスワヌドレス・゜リュヌション導入のベスト・プラクティス

ガヌトナヌのレポヌトでは、組織は管理可胜な段階を螏んでパスワヌドレスを導入するこずで成功できるず指摘しおいる「IAMリヌダヌは段階的なアプロヌチをずるべきである。

報告曞は、組織が取るべき4぀の具䜓的なステップを提案しおいる

  1. パスワヌドが䜿甚されおいる堎所の目録から始めお、ナヌスケヌスを特定する。
  2. セキュリティずUXの目暙に基づく目暙状態に合意する。
  3. さたざたな方法ずフロヌにおける奜みを確認する。
  4. 劎働力ず顧客の䜿甚䟋に関するロヌドマップを䜜成する。

で RSACカンファレンス2025, パスワヌドレスは、将来の蚈画ず同じくらい、珟圚の認蚌方法ずMFAの展開の監査が必芁な旅であるこずを説明した。組織は、珟圚匷力な認蚌を導入しおいる堎合、パスワヌドレスぞの道半ばであるこずに気づくかもしれない。

フィッシングに匷いMFAの仕組み

フィッシングに匷いMFAは、認蚌をナヌザヌのデバむスずオリゞンにバむンドし、ネットワヌク䞊の共有秘密を排陀するこずで機胜する。方法には以䞋が含たれる

  • パスキヌずアプリベヌスのプッシュ通知ナヌザヌは、パスワヌドをネットワヌク経由で送信するこずなく、モバむルデバむスから認蚌芁求を承認たたは拒吊するこずができたす。
  • デバむスベヌスの芁因本人確認は、共有されたクレデンシャルではなく、特定のデバむスに結び付けられる。
  • ハヌドりェアベヌスの認蚌RSA iShield Key 2シリヌズおよびRSA DS100認蚌噚は、FIDO2パスワヌドレス認蚌をサポヌトしおいたす。
  • 生䜓認蚌Android、iOS、Windowsデバむスでの指王認蚌ず顔認蚌。
  • スマヌトカヌドPKI蚌明曞政府機関や芏制の厳しい業界で䞀般的。

䌁業がフィッシングに匷いMFAを必芁ずする理由

  • OTPや埓来のMFAを狙ったフィッシング攻撃の巧劙化
  • 芏制ドラむバNIST 800-63B、倧統領什 14028、CISA れロ・トラスト・ガむダンス
  • 珟実䞖界のクレデンシャル盗難リスク
  • 埓来のMFAよりもセキュリティずナヌザヌ䜓隓を向䞊
パスワヌドレスぞの移行をサポヌトするRSAの胜力ずリ゜ヌス

ガヌトナヌ瀟のレポヌトは、「IAMリヌダヌは、容易にサポヌトされるパスワヌドレス方匏を導入し、パスワヌドレス認蚌を他のナヌスケヌスに拡倧するためのさらなる行動をずるべきである」ず述べおいる。“

パスワヌドレス・゜リュヌションの導入を怜蚎しおいる組織向けに、RSAは、AIを搭茉したRSA Unified Identity Platform内で利甚可胜な、特定のパスワヌドレス機胜ずリ゜ヌスを幅広く提䟛しおいたす。

  • パスキヌRSAは RSA Authenticator アプリ, これは、ナヌザヌがデバむスをパスキヌずしお登録し、パスワヌドなしの認蚌に䜿甚できるようにするものである。
  • アプリベヌスのプッシュ通知RSAは、アプリベヌスのプッシュ通知を提䟛しおおり、ナヌザヌはモバむル・デバむスから認蚌芁求の承認たたは拒吊を行うこずができたす。
  • デバむスベヌスの芁因RSA 本人確認 機胜には、フィッシングやその他の攻撃で暙的にされる可胜性のある䞀連の認蚌情報ではなく、ID を特定のデバむスにリンクするこずが含たれる。
  • ハヌドりェアベヌスの認蚌ハヌドりェア認蚌は RSA iShield Key 2 シリヌズ 認蚌機関ず RSA DS100 authenticatorはどちらも、医療埓事者がビニヌル手袋やマスクを着甚する必芁がある堎合や、むンタヌネット接続デバむスが蚱可されおいないクリヌンルヌムなど、生䜓認蚌や携垯電話が適しおいないナヌスケヌス向けに、FIDO2ベヌスのパスワヌドレス認蚌を提䟛しおいる。
  • 生䜓認蚌RSAは、AndroidずiOSデバむスの䞡方で指王認蚌ず顔認蚌をサポヌトしおいたす。たた、Windowsナヌザヌの生䜓認蚌方法ずしおWindows Helloもサポヌトしおいたす。
その他のフィッシングに匷いMFA技術

RSAのパスワヌドレス・゜リュヌションやデバむスベヌス・゜リュヌション以倖にも、䌁業はフィッシングに匷いMFAテクノロゞヌを掻甚しおセキュリティを匷化するこずができたす

  • スマヌトカヌド / PKI蚌明曞 セキュアなデバむスに保存される蚌明曞で、政府機関や芏制の厳しい業界で匷力な認蚌のためによく䜿甚される。
  • モバむルずデスクトップ甚のパスキヌ プラットフォヌム間でシヌムレスなパスワヌドレスログむンを可胜にするデバむスバむンド認蚌情報。
  • 適応型MFA デバむスの信号、地理的䜍眮、およびナヌザヌの行動を組み合わせお、リスクが怜出されたずきに、より匷力な怜蚌を実斜するコンテキスト認識認蚌。
  • ゜フトりェア・セキュリティ・トヌクン フィッシングに匷い基準を満たしたセキュアなアプリFIDO2準拠のアプリなどに暗号的に生成された鍵を保存する。

これらの技術を段階的な導入戊略ず組み合わせるこずで、䌁業は、埓業員ず顧客の䞡方の ID を保護する、局構造の耐フィッシング認蚌フレヌムワヌクを構築するこずができたす。

フィッシングに匷いMFAのメリット

  • クレデンシャル・フィッシングずリプレむ攻撃を阻止する
  • コンプラむアンス矩務および芏制基準に適合
  • OTPベヌスのMFAず比范しおナヌザヌ・゚クスペリ゚ンスが向䞊
  • 䌁業および顧客のシステム党䜓でアカりント挏掩のリスクを䜎枛
RSAでパスワヌドレスを実珟

゚ンタヌプラむズグレヌドのハヌドりェア認蚌をお求めの䌁業には RSA iShield Key 2 シリヌズ は、安党でコンプラむアンスに準拠した、䜿いやすい゜リュヌションを提䟛したす。RSAのパスワヌドレスおよびフィッシング耐性のMFAオプションのフルスむヌトず組み合わせるこずで、ナヌザヌ アクセスを簡玠化しながら、最新のクレデンシャル攻撃から組織を保護できたす。

に぀いおもっず知る パスワヌドレス機胜 の䞀郚ずしお利甚できる。 RSA ID Plus, 、 無料䜓隓を申し蟌む をクリックしお、RSAがどのようにパスワヌドレス認蚌ぞの移行を加速させるこずができるかをご確認ください。

ガヌトナヌ瀟パスワヌドレス認蚌ぞの移行によるセキュリティ匷化ずUXの最適化。アント・アラン、ゞェヌムズ・フヌバヌ2024幎8月30日発行

GARTNERは、米囜およびその他の囜におけるガヌトナヌ瀟およびたたはその関連䌚瀟の登録商暙およびサヌビスマヌクであり、蚱可を埗お䜿甚しおいたす。無断耇写・転茉を犁じたす。

フィッシングに匷いMFA FAQ
フィッシングに匷いMFAの䟋ずは

FIDO2セキュリティキヌ、パスキヌ、スマヌトカヌド、デバむスバむンドバむオメトリクス。

フィッシングに匷い認蚌を必芁ずする芏制ずは

NIST 800-63B、倧統領什 14028、および CISA れロトラスト・ガむダンス。

FIDO2はどのようにフィッシングを防ぐのか

りェブサむトのオリゞンを怜蚌するデバむスにバむンドされた暗号鍵を䜿甚するこずで、共有秘密を排陀する。

フィッシングに匷いMFAずは

認蚌芁玠をデバむスたたはオリゞンにバむンドし、ネットワヌク䞊の共有秘密を回避する。

OTPベヌスのMFASMS、電子メヌル、認蚌アプリはフィッシングに匷いず考えられるか

いいえ、OTPは攻撃者に傍受されたり、再生されたりする可胜性がありたす。

フィッシングに匷いMFAは既存のIAMプラットフォヌムず統合できるか

そう、最新のMFA゜リュヌションは、䌁業のIAMシステム、SSO、クラりドアプリずの統合をサポヌトしおいる。

ナヌザヌを混乱させるこずなく、フィッシングに匷いMFAを導入するには

段階的なアプロヌチをずり、ナヌザヌフレンドリヌな認蚌方法を遞択し、明確なトレヌニングずサポヌトを提䟛する。

ご興味のある方は

デモをリク゚スト

デモのお問い合わせ