ここに、誰もが気になる2つの数字がある: 92% の組織がパスワードレスを導入している。わずか 7% は完全にパスワードレスになった。.
このギャップはテクノロジーの問題ではない。ツールは存在する。標準は成熟している。意図はそこにある。ビジネスケースは明確だ:脆弱性の減少、コストの削減、ユーザー・エクスペリエンスの向上。それにもかかわらず、ほとんどの組織はいまだに毎日パスワードを入力している。.
では、なぜギャップがあるのか?
もしかしたら採用のパラドックスが存在するのは、レガシーシステム、多様なユーザー、一貫性のない現実世界といった複雑な環境を理解するのに十分なデータがないと組織が考えているからかもしれない。.
アイデンティティ・プラットフォームは、認証イベント、アクセス・パターン、障害率、行動シグ ナルなど、すでに毎日膨大な量の遠隔測定を生成している。ほとんどのセキュリティ・チームはそのデータを利用している。それを調査するチームはほとんどない。.
実際には、ID テレメトリは監査やコンプライアンス・レポートに使用されることが多く、そこで止まってしまう。そのため、組織がパスワードレス化に苦慮している理由など、最も重要な疑問が未解決のままになっている:
- ユーザーが実際に苦労しているのはどこで、なぜなのか?
- 実際のところ、信頼関係はどこで崩れるのか?
- どのコントロールが本当にアウトカムを改善するのか?
この1年で、IDデータはそれだけでは価値がないことに気づいた。データに価値があるのは、それが行動に結びついたときだけだ。そして、組織が行動を起こすために必要な正しいシグナルを浮かび上がらせるのは、正しい質問なのだ。.
パスワードレスの採用を例にとろう。それは3つの質問に集約される:
1つ目:パスワードレスは誰でも使えるのか?
理論上ではなく、実際には。デプロイされたものとユーザーが実際に使えるものとのギャップは、ダッシュボードが示唆するよりもはるかに大きいことが多い。そのギャップのシグナルは通常、チームが積極的に探していないところに現れる。.
つ目:ユーザーはどこでもパスワードなしでアクセスできるのか?
ユーザーは、必要なときにどこでもセキュアなパスにアクセスできるか?一つのワークフロー、システム、あるいは例外によって回避策を余儀なくされると、パスワードレスの導入が遅れる可能性がある。ユーザーはシステムで考えるのではなく、経験で考える。.
3つ目:パスワードレスは毎回機能するのか?
オフィスでも、天気の良い日でもなく、常に、ユーザーが実際に操作するあらゆる環境で。ユーザーがパスワードに頼るのは、パスワードが好きだからではない。彼らは、最も重要なときに安全なパスが失敗したから後退するのだ。.
Identiverseでは、このような質問をすることで、何を測定するのか、どこでシグナルがチームを惑わせるのか、そして何が構築されるのか、どのように再構築されるのかを説明する。.
RSAでは、この仮説を自分たちでテストしました。すべての従業員、すべてのログイン、すべてのユースケースでパスワードレスを展開しました。企業がテストベッドとなったのです。.
目標はシンプルだった:100%のパスワードレス化だ。そして、私たちはそれが正しいと信じていました。.
それからテレメトリーを見た。.
ユーザーはまだパスワードを入力していた。毎日。配備、トレーニング、ポリシーにもかかわらず。.
なぜか?
唯一の正直な答えは、推測をやめてデータに従うことだった。.
その結果、私たちの決定、方針、製品設計は再構築され、最終的に私たちは、多様な環境におけるグローバルな従業員のためのパスワードレスという、あるべき姿にたどり着いたのです。FIDOアライアンスは、その道のりを以下の文書にまとめました。 ケーススタディ, その過程で得られた技術、課題、教訓を説明する。.
ここで話は変わります。私たちは、12ヶ月間でグローバル従業員全体で94%のパスワードレス化を達成しました。.
最初は、大変なことは終わったように感じた。.
しかし、現代の侵害のほとんどは、認証のクラッキングを伴うものではない。認証のバイパスである。MFA疲労攻撃、ヘルプデスクのソーシャル・エンジニアリング、システムではなく人間のプロセスをターゲットにしたAIを駆使したスピア・フィッシングなどだ。最近のインシデントの多くでは、攻撃者は認証に触れていない。迂回するのだ。.
データ侵害 シーザーズ・エンターテインメント・グループにて, MGMリゾーツ, マークス&スペンサー, などの組織は、IDの旅において実際に信頼がどこで崩れるのかを再考する必要に迫られた。.
強力なクレデンシャルは必要だが、十分ではない。.
そこで私たちは、認証にとどまらず、クレデンシャルのライフサイクル全体、特にリカバリーとアカウント・アクセスのワークフローにまで遠隔測定を拡大した。.
そして、ひとつの疑問が決定的となった:
回復はログインより簡単か?
そして、そのギャップを埋めることで、継続的な信頼に対する私たちの見方がどのように変わったかをお話しします。.
Identiverseでは、これらのアイデアをさらに深く掘り下げていく。パスワードレスは私たちの実験場でしたが、IDテレメトリに適切な質問をすることは、パスワードレスのことではありません。 だけ パスワードレス。これは、MFA疲れやゼロ・トラスト・ギャップ、あるいはあなたが推進しようとしているあらゆるセキュリティ・イニシアチブにも同様に当てはまる。.
私の仲間入り セッション 6月18日(木)午前10時15分から。.
その後、RSAにお立ち寄りください。 Identiverseブース #1001 RSAがどのようにして、あらゆるユーザー、あらゆる環境、あらゆるユースケースにパスワードレスを提供するのか、また、どのようにパスワードレスを提供するのか、デモをご覧ください。 RSA Live Verify これまで議論してきた回復のギャップを埋めるのに役立つ。.
