加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因

Security Fears & Remote Work Drive Continued 2FA Adoption

2021/09/14 DarkReading — Cisco System の Duo Labs が隔年で実施している調査によると、2年前には二要素認証 (2FA : Two Factor Authentication) に触れたことのなかった、米国と英国の人口の4分の1に相当する人々が、2021年には少なくとも1回は、同技術を使用していることが分かった。

この、国勢調査とも言える調査によると、2021年には (インターネット?) 人口の 4分の3以上 (79%) が 2FA を利用し、この技術を定期的に利用するというケースが 72% に達していることが分かった。この増加を牽引しているのは企業であり、労働者の 79% が 2FA を定期的に使用し、失業者の場合でも 60% に達するという。

Cisco の Chief Information Security Officer である Wolfgang Goerlich は、「パンデミックでのリモートワークへの移行や、認証情報に依存するリモートワーカーおよび、多様なサービス使い始めた消費者の存在などが、2FA の力強い成長の原動力になった。eコマースや SNS のサイトが、簡単に 2FA は簡単に使えるようするための、すばらしい働きをした。ハイブリッドワークと eコマースの成長と、パスワードからの脱却への意欲を組み合わせると、いま以上に 2FA は採用されるようになるだろう」と述べている。

認証情報の窃取や再利用に関連するサイバー攻撃の増加に伴い、企業や消費者にとって 2FA は必須の技術となっている。2017年には、2FA について聞いたことがある人は半数以下であり、この技術を使ったことがある人は 28% に過ぎなかった。しかし、2021年のレポートによると、ほぼ全ての人々が、この技術について聞いたことがあり、79% の人々が、少なくとも一度は使用したことがあるという。企業の方針と政府の規制が、この技術の導入を促進しているが、中でも英国は規制の枠組みが厳しいため、導入率が高くなっている。英国では 77% の人が 2FA を導入しているのに対し、米国では 67% に留まっている。

研究者たちは「国による違いは、2FA 導入に関する規制や基準の違いによる、説明できるかもしれない。今回の調査では、「ハッカーなどの悪意のある人物が自分のアカウントにアクセスされることを心配しているか」という問に対して、英国の回答者は同意するという傾向が強いと分かった」とレポートで述べている。当然のことながら、2FA を用いてセキュリティを確保すべき、最も重要な資産のトップは金融口座であり、また、93% のユーザーが金融サービスをセキュリティの最優先事項として挙げている。2位は電子メールアカウントで、58%のユーザがセキュリティを確保するための重要なアカウントとしている。それに続くのが、SNS と健康関連のアカウントであり、約40%という同率になっている。

2FA の方式としては、引き続き SMS が最も多く用いられ、85% の人がSMSを利用している。2番目に多いのは認証メールの 74% で、3番目はモバイル認証アプリで発行されるパスコードの 44% だった。Goerlich は、「ただし企業は、セカンドファクターとしての SMS テキストメッセージの落とし穴について、消費者をもっと教育する必要がある」と述べている。

今回の調査では、半数以上の人々が新規アカウントのセカンドファクターとして SMS を選択しており、モバイルパスコード・アプリを選択する人々 10% 以下、プッシュ通知を利用する人々は 7% だった。SMSは、YubiKeyなどのセキュリティキーと同数で、セキュリティに対する認知度が最も高く、使い勝手の良さでもトップでした。SMS を YubiKey などのセキュリティキーと連携することで、セキュリティへの理解が進み、使いやすさでもトップになっている。

Goerlich は、「調査の回答者が使用している 2FA と、研究者が発見/特定した 2FA との間には、明らかなミスマッチがありる。ユーザビリティの面で、SMS が高く評価されているのは理にかなっており、強い親近感が存在するが、研究者たちは多くの問題を指摘している。SMS のセキュリティ上の問題点を、人々に教えようとする試みは重要だ。しかし、2FAの利用を躊躇させないように注意する必要がある」と強調している。

アプリケーション全体を眺めてみると、依然として 2FA の利用は遅れている。すべてのアプリケーションで 2FA を利用している回答者は、全体の3分の1に満たないが、一部のアプリケーションで利用している回答者は 38% だった。

彼は、「私たちは、意識と採用における大幅な進歩を遂げた。いくつかの異なる分野で、継続して成長していくだろう。つまり、保護対象となるアプリケーションの、数と種類を増やすことだ。続いて、より強力な MFA (Multi Factor Authentication) への移行である」と述べている。同社の調査によると、回答者の約3分の1が、パスワード・マネージャーを定期的に使用し、また、42% の人々が、何らかの生体認証を使用しているという。

冒頭の、米国と英国での二要素認証の浸透率には驚きました。なにかの間違いではと思い、何度も原文を読み直しましたが、人口の 79% としか書いてありません。老人や子供を計算に入れると、やなりおかしい数字なので、インターネット人口だと解釈しています。でも、それにしても高い数字です。ただ、オンライン・バンキングの普及率が高ければ、このくらいの数字に届くのかと思えてきます。また、英国の場合は、政府が 2FA を強く推しているようですね。とても、素晴らしいことだと思います。また、米国でも、「CISA スバラシイ:一要素認証をバッド・プラクティスと認定する」とう動きが始まりました。日本も、デジタル庁の初仕事として、イイんじゃないかと思ってしまいます。

%d bloggers like this: