RSAモバイルFIDOパスワードレス・ソリューション最適化のプレビュー

RSAの使命は、デジタル・セキュリティの弱点をなくすことです。本日、この旅の重要なマイルストーンを発表できることを嬉しく思います。 RSA AuthenticatorアプリV4.4 iOSおよびAndroid向け。 RSA ID Plus はFIDO2認証サーバーであり、今回のマイルストーンにより、私たちのiOSおよびAndroid向けの認証アプリもFIDO2認証を受けた認証器となりました。

これは、安全で直感的でシームレスなユーザ体験のパイオニアであり、パスワードに依存しないという私たちの目標へのコミットメントを示しています。

パスワードは長い間、サイバーセキュリティにおける重大な脆弱性であり、人間の記憶と裁量に依存しているため、しばしば脆弱なパスワードが再利用されてしまう。私たちは長い間 パスワードレス・ソリューション QRコード、バイオメトリクス、ワンタイムパスコード、またはFIDO2認定ハードウェア認証のようなものです。 RSA DS100 など、パスワードレスソリューションをサポートしてきました。

この最新のマイルストーンは、RSA Authenticatorアプリにデバイス・バウンド・パスキー・サポート（モバイルFIDO）を追加することで、企業にセキュアなパスワードレスをもたらし、サイバー犯罪者が好む脆弱性を取り除き、組織のセキュリティを強化し、ユーザーの接続と生産性を維持する、セキュアでユーザーフレンドリーな代替手段を提供します。

パスキー は、Facebook、Apple、Amazonの消費者向けソリューションへのコミットメントに加えて、 FIDOアライアンス は、あらゆるタイプの FIDO クレデンシャルに対して「パスキー」という用語を採用しました。そのため、ある組織が「パスキー」という言葉を使うとき、具体的に何を意味するのかについて混乱が生じています。 （こちらのブログもお読みください）.

私たちが見つけた最も重要な違いは、デバイスバウンドパスキーと同期パスキーの違いです：

• デバイス・バインド・パスキー：このタイプのパスキーは安全に作成され、1台のデバイスに保存されます。秘密鍵がデバイスから離れることがないため、高度なセキュリティが保証されます。デバイス・バウンド・パスキーは、鍵の漏洩リスクを最小限に抑え、次のような脅威から強固に保護します。 フィッシング やその他のサイバー脅威から保護されます。つまり、手動で登録し直さなければ、パスキーを別のデバイスで使用することができないため、企業や公共機関にとって理想的な選択肢となります。これらのソリューションはフィッシングに強く、より高度なセキュリティを提供します。
• 同期パスキー：同期パスキーは、クラウドサービスを介して複数のデバイス間で保存・同期され、各デバイスを個別に登録することなく、異なるデバイス間でサービスにアクセスできる利便性を提供します。また、ホスト・デバイスを紛失、盗難、交換した場合でもパスキーの復元が可能で、特にユーザーは携帯電話を数年ごとにアップグレードすることが多いため、非常に便利です。このようにユーザーの利便性が向上する一方で、クラウド上で同期されたパスキーを保護するための強固なセキュリティ対策が必要になります。同期されたパスキーは、消費者向けの使用には適しているかもしれませんが、連邦政府や企業環境で必要とされるのと同じレベルのセキュリティを提供できない可能性があります。

iOSおよびAndroid用のRSA Authenticatorアプリにデバイスバウンド・パスキー・ソリューションを実装することで、クライアントのセキュリティ強化を支援します。 ゼロトラスト フレームワークにより、フィッシングに強いパスワードレス認証への深く統合されたわかりやすいパスが確保されます。このテクノロジーは、従来のパスワードの弱点を排除し、シームレスで直感的なユーザー体験を提供します。

RSAのUX担当ヘッドであるフィリップ・コリヴォーは、この開発の重要性について次のように強調しています：「RSAでは、セキュリティは障壁であるべきではなく、ユーザエクスペリエンスの一部であるべきだと考えています。RSA Authenticatorアプリにおけるデバイスバウンドパスキーのサポートにより、私たちはセキュリティを向上させるだけでなく、ユーザがデジタルアイデンティティとどのように対話するかを変革しています。」

デバイスにバインドされたパスキーは、一般的な攻撃を無効化する複数のセキュリティレイヤーを提供します。

• フィッシング: プライベートキーはデバイスから外に出ることがないため、攻撃者はフィッシングの試みを通じてキーを傍受したり盗んだりすることができません。パスキーを直接ユーザのデバイスからフィッシングすることは技術的に不可能です。悪意のある者がクラウドへのアクセスをフィッシングしキーのコピーをダウンロードしようとする可能性はありますが、プライベートキー自体はデバイス上に安全に保たれており、大部分の攻撃を防ぎます。
• ソーシャルエンジニアリング: デバイスバウンドパスキーでは、プライベートキーは共有可能でも抽出可能でもありません。ユーザがプライベートキーにアクセスしたり覚えたり扱ったりする必要がないため、ソーシャルエンジニアリング攻撃のリスクが大幅に低減します。攻撃者はユーザが持っていない情報を暴露させるような手口を使うことができません。
• 中間者攻撃: 攻撃者がサービスと認証器間の通信を傍受しても、公開鍵だけではアクセスを取得することはできません。

ほぼすべての組織がモバイルFIDOの恩恵を受けることができますが、このソリューションは特に大統領のサイバーセキュリティ命令 エグゼクティブオーダー14028 に従い、2024会計年度末までに実施する必要がある政府機関にとって価値があります。

Executive Order 14028（EO14028）は、政府機関に対してパスワードレスでフィッシングに強い認証ソリューションを使用するよう求めています。これは、重要なインフラストラクチャの近代化と防御の重要な要素ですが、政府機関は迅速に行動し、実証済みのソリューションを実施する必要があります。

高保証環境またはモバイル制限環境で活動する機関および企業にとって、 RSA iShield Key 2 シリーズ FIDO2認証のフィッシング耐性認証を、連邦政府のコンプライアンス要件およびゼロトラスト要件を満たすハードウェア形態に拡張します。.

RSA連邦担当プレジデントのケビン・オール氏は次のように述べています：「RSAのFIDO2認証を受けたデバイスバウンドパスキーは、大統領命令および2024会計年度の締切を満たすために努力している連邦機関にとって重要な資産です。単にチェックボックスを満たすだけでなく、RSAは数十年にわたるセキュリティ重視の実績と、協力を強化できる統一されたスケーラブルでユーザフレンドリーなソリューションを提供します。」

当社のモバイルFIDOソリューションは、最初から最後まで一貫したシームレスなパスワードレス体験を提供するための重要なステップです。iOSおよびAndroid向けRSA AuthenticatorアプリV4.4は、テクニカル・プレビューとしてモバイルFIDOをサポートしています。モバイルFIDO機能は、iOSおよびAndroid向けのRSA AuthenticatorアプリV4.5で一般的に利用可能になる予定です。このバージョンでは、さらなる機能拡張と合理化されたユーザーエクスペリエンスが提供される予定です。

RSAモバイルFIDOソリューションは、安全なパスワードレスアクセスが重要なゼロトラスト環境に強力に適合します。デバイス・バウンド・パスキーは、フィッシングやクレデンシャルの盗難に脆弱なパスワードに依存することなく、各アクセスの試行を検証することで、ゼロ・トラストの原則に沿います。デバイス・バウンド・パスキーの場合、秘密鍵は元のデバイスに安全に保管されるため、アクセスは認証されたデバイスのみに制限され、リモート・ワークやハイブリッド・ワークの保護に最適です。

セキュリティの強化に加え、RSAモバイルFIDOソリューションは、職場環境全体への容易なアクセスを可能にすることで柔軟性を向上させ、機密データのセキュリティを維持しながら中断を減らします。フィッシングに強い認証が政府によって義務付けられる中、RSAモバイルFIDOソリューションは、組織が今日のニーズを保護するだけでなく、明日の標準に備えるのに役立ちます。

RSAでは、パスワードレス技術の最前線に立っています。私たちの革新への執念は、デジタルセキュリティを再定義するソリューションの創出を推進します。私たちは、より安全でユーザーフレンドリーな世界を目指し、パスワードレス環境への移行を進めています。

私たちは、皆様とともにこの旅を続け、私たちのモバイルFIDOソリューションがV4.5の一部として一般的に利用可能になることを楽しみにしています。私たちは共に、業界に新たな基準を打ち立て、セキュリティが安全かつ直感的である未来へと導くことができるのです。

パスワードレスな未来に向けた取り組みを引き続きリードしていく中で、さらなる更新と洞察にご期待ください。

###
RSAは2024年12月に4.5 Authenticator Appを発表しました。イノベーションの詳細はこちら 耐フィッシング、パスワードレス、FIDO2認証 をユーザーのモバイルデバイスに直接送信することができます。あるいは、あなたが管理者なら RSA ID Plusで機能を有効にする方法を学ぶ.