Cisco レポート:パスワード依存から MFA/Biometric への移行が進んでいる

Cisco Report Shows Shift Away from Traditional Passwords

2021/10/15 SecurityBoulevard — 今週に Cisco の Duo Security Unit が発表したレポートによると、パスワードに代わる多要素認証 (MFA) とバイオメトリック認証の利用が増加していることが分かった。本レポートでは、3,600万台以上のデバイスで、40万以上のアプリケーションが実行され、月間で8億回の認証が行われた結果として、多要素認証とバイオメトリック認証の利用が、前年比でそれぞれ 39% 増と 48% 増となったことが報告されている。

Cisco の Global Advisory CISO である Dave Lewis は、アプリケーションへのアクセスのためにパスワードは広く使われているが、MFA とバイオメトリック認証の使用率が急激に増加しているように見えると述べている。実際のところ、このレポートでは、Duo Software を使用している顧客の 71% 以上が、モバイルデバイスの生体認証を有効にしていることが分かった。また、認証情報をローカル・デバイスに安全に保存する Web 認証 (WebAuthn) も5倍に増加していることが分かった。この方式は、World Wide Web Consortium (W3C) により、2019年4月にオープン・スタンダードとして発表されている。

また、Cisco が実施した、3,419人の IT 意思決定者を対象としたグローバル調査では、パスワードからの移行が始まっていることが示唆される。調査回答者の半数以上 (52%) は、自分の組織がパスワードレス戦略の導入を計画していると答えている。また、半数近く (46%) の回答者は、認証情報の漏洩に関連するセキュリティ問題が、パスワードを扱う上で最も苛立たしく気になる点だと答えている。

さらに、Cisco Hybrid Work Index レポートでは、このような懸念は正当なものであることが示唆されている。不正アクセスの試みは、COVID-19 パンデミック後に 2.4倍に増加し、18ヶ月後も増加したままとなっている。

Dave Lewis は、現時点においてユーザー企業は、パスワード依存から脱却することが非常に容易になったと述べている。実際のところ、主な問題は、MFA や生体認証のプラットフォームの導入に伴う固有の複雑さよりも、文化や惰性にあると彼は言う。

パンデミックの発生により始まった在宅勤務への移行が、サイバー犯罪者にとって容易に盗み出せるパスワードからの脱却につながったことは間違いない。多くのセキュリティ・リーダーたちは、単純なパスワードを使っているエンド・ユーザーを非難するのではなく、生産性への影響を最小限に抑えながら、より強固なセキュリティ管理を実施することが、組織の責務であることに気づくようになったという。
セキュリティ管理が面倒だと思われると、エンド・ユーザーは可能な限り、セキュリティ管理を回避しようとするだろうと、Lewis は付け加えている。

今後、COVID-19 パンデミックが徐々に収まっていくとしても、より多くの従業員がオフィスと自宅で働くようになるのは明らかだ。このように、常に場所を移動していると、どんなに頻繁にパスワードを変更していても、パスワード・ベースの認証情報が漏洩する可能性が高くなる。現在、エンドユーザーのパスワードのほとんどは、コアフレーズのバリエーションに基づき、また、ダークウェブで簡単に見つけることが可能だとされる。

ユーザー企業が、パスワードの交換に積極的に取り組む度合いは定かではないが、盗まれたパスワードが関係する事件が増え続ける中で、より安全な選択肢として、パスワード依存が終わる日も近いかもしれない。

9月に「Microsoft のパスワードレス・ログインが始まったらしい」という記事をポストしましたが、それに Cisco も続くという展開ですね。カテゴリ authNauthZ を見てもらえると、この領域が活発に動いていることが分かります。その中でも、「CISA スバラシイ:一要素認証をバッド・プラクティスと認定する」や、「加速する二要素認証:セキュリティ侵害とリモートワーク対応が要因」は、お勧めの記事です。

%d bloggers like this: