最も効果的なヘルプデスク攻撃は、ソフトウェアの脆弱性を突くものではない。プロセス・ギャップを利用するのである。つまり、登録された認証子を作成できないユーザが回線上にいるのである。初日の契約社員。アクセスをリセットするために電話をかけてくるパートナー。このようなユーザは、常に ID 検証範囲の端に存在し、攻撃者は組織的にこのようなユーザを標的に してきた。.
政府機関、金融サービス、その他の保証の高い組織にとって、それは容認できないリスクだ。.
の最新アップデート RSAヘルプデスク・ライブ・ベリファイ がそのギャップを埋める。.
オリジナル RSAヘルプデスク・ライブ・ベリファイ リリースは、企業セキュリティにおいて最も危険な攻撃対象の1つであるヘルプデスク・コールに対応しました。ソーシャル・エンジニアリング、MFAバイパス攻撃、ITヘルプデスクを標的としたテクニカル・サポート詐欺により、企業は何億ドルもの損失と罰金を被っています。RSA Help Desk Live Verifyの最初のリリースでは、特許出願中の双方向検証モデルにより、これらのリスクに対応しました。このモデルでは、ユーザとエージェントの両方がPIN、パスワード、個人情報を共有することなく身元を確認できます。.
しかし、RSA 認証デバイスを登録する必要がありました。そのため、プロビジョニングされたデバイスを持たない請負業者、認証デバイスを紛失または盗難された従業員、派遣労働者、外部パートナーなど、保護モデルから完全に外れたユーザー・カテゴリが残っていた。このようなユーザーに対しては、組織は、セキュリティの質問をしたり、アカウントの詳細を読み返したり、認証を完全にスキップしたりするなど、旧来のアプローチに頼らざるを得なかった。.
RSA Help Desk Live Verifyの新機能を説明する前に、基本的なメカニズムを理解しておくとよいでしょう:
- ユーザがヘルプデスクに連絡すると、エージェントは RSA Help Desk Live Verify セッションを開始し、ユーザを会社所有の Web サイトに誘導します。
- そこでは、パスワードなしの認証オプション(パスキーを含む)がユーザーに提供される。これらのオプションは、組織の適応的なアクセス・ポリシーとユーザーのリアルタイムのリスク・シグナルに起因する。
- ユーザーは、利用可能な最も便利なオプションを使って本人確認を行う。
- 認証に成功すると、ユーザーはヘルプデスクエージェントに提供する認証コードを受け取ります。
- その後、ヘルプデスクエージェントは管理コンソールにコードを入力し、ユーザーを確認し、リクエストのサポートを続けます。
どちらの側もクレデンシャルを話すことも、個人情報を提供することもない。重要なのは、検証は設計上双方向であることで、プロセスもエージェントの身元をユーザーに確認し、古典的な「私はヘルプデスクから来ました-パスワードをリセットしましょう」スタイルの攻撃を排除する。.
機密性の高いアプリや制限されたリソースへのアクセスは、誰が、どこにいて、何にアクセスしているかに基づいて、より強力な認証を自動的にトリガーします。ユーザーの状況や行動がリスクを示すと、自動的にステップアップ認証が適用されます。.
組織はまた、次のものを重ねることもできる。 RSA® モバイルロック また、 RSA® Risk AI により、RSA Help Desk Live Verify がさらに改善されます。Mobile Lockは、モバイル認証環境を監視し、デバイスにトロイの木馬、画面共有マルウェア、その他認証フローが観察または傍受されていることを示す侵害の兆候がある場合、認証要求をブロックすることができます。Risk AIは、ユーザーの行動とリスクシグナルを動的に評価し、必要であればステップアップ認証チャレンジを自動化します。.
RSA Help Desk Live Verify は、ID Dataweb が提供する登録されたオーセンティケー タにアクセスできないユーザのための並行検証パスを導入している。これらのユーザは、RSA 認証機能で認証する代わりに、ID 検証フローを通過します。つまり、政府発行のクレデンシャル(運転免許証、パスポート、その他の ID)を提出し、リアルタイムで権威ある ID データソースと照合されます。エージェントは、同じ管理コンソール・インタフェースで検証結果を見る。クレデンシャルが声に出して共有されることはない。双方向保証モデルが適用される。.
検証フローは、RSA のアダプティブ・アクセス・ポリシーによって制御できる。管理者は、どのユーザー集団を認証子ベースの検証または ID 検証にルーティングするかを設定し、Risk AI と Identity Confidence を組み込んで、その判断にコンテキストに基づくリスクシグナルを追加することができます。リスクの高いリクエスト、たとえば、通常とは異なる場所からのログイン、勤務時間外のログイン、特定のワークフローのリクエスト、その他の行動異常がある場合、より厳格な検証パスをトリガーすることができます。.
RSA Help Desk Live Verify アップデートは、ヘルプデスク・コールだけでなく、あらゆる機密性の高いワークフローをカバーするように設計されています。クレデンシャルのリセットを保護する同じ検証エンジンは、電信送金の承認、特権のエスカレーション要求、VPN回復ワークフロー、または機密性の高い従業員データを含む人事アクションを保護することができます。金融サービスでは、これはリアルタイムの支払承認や高価値取引の承認に重要であり、そこでは ID 保証要件はオプションではなく規制である。政府機関や防衛機関では、アクセス境界における ID 検証の要件に対処する。この要件は、政府機関が管理する認証機 能が発行されることのない請負業者やパートナーにまで及ぶ。.
組織が機密性の高いアクションを実行する前に、相手が誰であるかを確認する必要があるワークフローでは、RSA Help Desk Live Verifyを使用することができます。.
導入の観点からは、RSA Help Desk Live Verifyは既存のRSA ID Plus環境へのアドオンです。既存のデプロイメントに変更はありません。すでに RSA Help Desk Live Verify を使用している組織は、ID Dataweb を通じて ID Verification アドオンを有効にすることで、認証機能を持たないユーザーにも適用範囲を広げることができます。管理者は、どのワークフローとユーザー集団が以下を使用できるかを設定します。 ID認証 の他の部分に使われているのと同じ政策的枠組みを通じて、そのような政策的枠組みを構築することができるのである。 RSA® ID Plus 環境だ。.
カバレッジを評価するセキュリティ・チームにとって、RSA Help Desk Live Verify の導入に関 する重要な質問は、ユーザが認証機能にアクセスできない場合にどうするかということです。この最新のアップデートが適用される前は、ほとんどの組織にとって、検証の失敗が正直な答えでした。ID Verification を導入することで、このシナリオは構造化され、監査可能で、フィッシングに耐性のある検証フローに変わります。認証機能または政府発行の ID のいずれを介したものであっても、検証のやり取りはすべてログに記録され、監査やコンプライアンス・レポートに利用できる。.
RSA Help Desk Live Verifyは、特定の環境と使用ケースに対応しています。次のような場合に最適です:
- 労働力を拡大した組織。. 請負業者、パートナー、臨時従業員がヘルプデスクとやり取りしたり、機密性の高いワークフローに関与したりする場合、従来は検証ギャップがありました。RSA Help Desk Live Verifyは、このような問題を解決します。.
- 金融機関。. 電信送金の承認、リアルタイムの支払承認、および口座へのアクセス要求はすべて、ID の保証が不正行為のリスクを直接的に低減する、機密性の高いやり取りを伴う。.
- 政府機関や保証の高い環境. 厳格な ID 保証要件がある環境で業務を行う機関や請負業者は、政府が管理するデバイスを使用する ユーザだけでなく、ID バウンダリ全体にわたってユーザに機能する検証モデルから恩恵を受ける。.
- RSA Help Desk Live Verifyを使用している組織であれば、今すぐご利用いただけます。. RSA Help Desk Live Verify を認証機能付きのユーザー用にすでに導入している場合、このリリースでは、既存の構成を変更することなく、同じ保護を現在対象外のユーザーにも拡張することができます。.
RSA Help Desk Live Verify with ID Verificationは、2026年6月リリースの一部としてPrivate Previewに入り、一般提供は2026年夏の終わりを予定しています。プライベート・プレビューは現在、一部の地域で利用可能で、6月中旬にかけてより広範に展開される。更新されたワークフローをRSA ID Plus環境に統合するには、ID Verificationを有効にする必要があります。.
登録済みの認証機能を持たない請負業者、パートナー、または従業員がいる組織で、GA前に検証ギャップを埋めたい場合、プライベート プレビューを今すぐ開始できます。RSAアカウント マネージャに連絡して、お使いの環境を有効にしてください。.
まだRSAのお客様でない場合、, デモを申し込む をクリックして、RSA Help Desk Live Verifyの動作をご覧ください。.
