アイデンティティに関する様々な動向、ソリューションの紹介がなされる国際的なカンファレンスIdentiverse 2024が、5月28日~5月31日に米国ラスベガスで開催されました。本稿ではいくつかのキーノートやセッションを取り上げ、Identiverse2024の様子をお届けします。
Identiverse2024とは?
Identiverseは毎年米国で開催されているデジタルアイデンティティに関する世界的なイベントの一つであり、今年は15回目の開催となりました。
Identiverseでは様々なトピックがキーノート、パネルディスカッション、セッション等の形式で紹介され、デジタルアイデンティティに関する最新動向を確認できます。また、100社以上が各ブースで様々なデジタルアイデンティティに関連するソリューションを紹介するExpoも開催されていました。朝食やランチの提供に加え、懇親会等も数多く開催され、他の参加者ともコミュニケーションが取りやすいような配慮がなされており、ネットワーク作りにも最適なカンファレンスとなっています。
キーノート会場の様子
Identiverse2024セッション紹介
ここからは、弊社参加者が聴講したキーノートやセッションの一部を紹介します。
※各セッションの登壇者の所属は登壇時の所属になります。
①キーノート:Beyond the Surface: The Dark Side of Digital Identity
Arkose Labs Ashish Jain氏、Yahoo Inc. Anuj Batra氏、Amazon Manav Bhatia氏
概要
デジタルアイデンティティに関する脅威を多面的に解説したキーノートです。不正アクセス等の攻撃が年々増え続けている主な要因とその対策についてAmazon.com社やYahoo社における実例を交えて解説していました。
攻撃が年々増加する背景
不正アクセス等の攻撃が年々増え続けている主な要因として下記の3つが挙げられていました。
1.攻撃者の参入障壁の低下
ツールを利用することにより、新規攻撃者が不正アクセスを開始する障壁が下がっています。例えば、オンラインで限定品を早く購入することに特化したBotであるSneaker Bots、ユーザIDやパスワード情報等を不正に取得する自動フィッシングツール、フィッシング等で不正に取得した認証情報で不正ログイン試行を行うクレデンシャルスタッフィングツール、ボット対策のCAPTCHAを突破するCAPTCHA Solver等のツールが簡単に安価に手に入るようになっています。
2.攻撃のビジネスの成熟化
攻撃が一種のビジネスとして成長し、プロセスとライフライクルが形成されています。攻撃者は利益を管理し、新規参入者を引き入れつつ活動を拡大しています。例えば、攻撃者が悪徳通信事業者と結託し、高価な通信料が発生する電話番号に大量のSMSを送ることで、サービスに高額な通信料の負担を発生させ、攻撃者が通信料の一部またはすべてを利益として受け取るSMS tall fraudと呼ばれる攻撃も多く発生しています。不正に送信されたSMSは1通あたりの被害額も高額となるため、収益性が高く、多くの被害をもたらしています。
3.攻撃に利用するツールの複雑化や高度化
非常に大まかなレベルで攻撃を分類すると、攻撃は2つのタイプに分類できます。大量の攻撃試行に焦点を当てたボリューム攻撃とソーシャルエンジニアリングのような低速で時間をかける攻撃です。ボリューム攻撃では、例えば大量のユーザIDパスワードを不正に取得し、それを利用して他サイトで不正ログインを試行した場合、1%でも攻撃の成功率を得られれば、攻撃者は大きな収益を得ることができます。
また、ソーシャルエンジニアリングではオレオレ詐欺、ロマンス詐欺、ビジネスメール詐欺等が主要な攻撃として挙げられます。AIにより、ボリューム攻撃の規模と量、ソーシャルエンジニアリングの質を兼ね備えた攻撃を実現できるようになってきています。例えば、ビジネスメール詐欺に加え、ビデオ会議にディープフェイク(AIを用いた偽写真、動画、音声)を利用することにより、不正に送金させられる被害が実際に発生しています。
高度化する攻撃を防ぐために有効な方法
Ashish Jain氏は高度化する攻撃に対応するための方法を以下のようにまとめていました。まず守るべきポイントは「アカウント登録」、「ログイン」、「アカウント復旧」の三つです。これらは相互に関連しており、エンドユーザが最初に接触する三つのエンドポイントであり、最も攻撃対象として狙われるエンドポイントでもあります。各エンドポイントを包括的に守ることが重要です。
また、包括的なアカウントセキュリティシステムを構築するためには認証、身元確認、不正検知の考慮が重要になります。次々と新たな攻撃が発生する中で、アカウントセキュリティの対策を進めていくためには、組織内で共有できるKPIを設定すること、最初から完璧を目指さず、まずは少しずつ対策を始めて、定期的に改善を続けることが重要であると解説されました。
②セッション:Thinking Differently About Passkeys - Threat Model 2.0
AWS Identity Dean Saxe氏
概要
パスキーの有用性と正しい使い方の重要性を解説したセッションです。パスキーによる認証はユーザビリティも高く、導入すべき技術でありますが、他の技術と同様にリスクを正しく理解して利用することの重要性が強調されました。
パスキーの特徴と種類
パスキーとは、パスワードレス認証のための規格FIDOのクレデンシャルです。パスキーはデバイス固定パスキーと同期パスキーに大別されます。いずれもフィッシング耐性があり、素早く安全なパスワードレスの認証を実現することができます。デバイス固定パスキーでは、パスキーはパスキーを登録したデバイスのみに保存されているため、パスキーが保存されているデバイスを紛失すると、当該パスキーによる認証ができなくなってしまいます。
一方で、同期パスキーの場合、パスキーはクラウドを介して他デバイスにも同期されるため複数のデバイスでパスキーによる認証が可能です。このため、デバイスの紛失時でもパスキーによる認証が継続可能です。
NIST SP 800-63B-3用の補足文書に言及されたパスキー
米国立標準技術研究所(NIST)により公開されている、電子的な本人確認に係るデジタルアイデンティティガイドラインの現行版である第3版(NIST SP 800-63B-3)用の補足文書[i]中では、パスキーは条件を満たせばAAL2(Authenticator Assurance Level 2)の認証手段として利用できることが記載されました。
例えば、AAL2を満たすためには、パスキーを利用する際にローカル認証が必須であり、これはW3C Web Authenticationの仕様ではユーザの確認結果を表すUser Verificationフラグ[ii]の値によって示されるとの記載があります。また、パスキーの作成と管理を担当するサービスであるパスキープロバイダーによって管理されているパスキーにユーザ自身がアクセスする場合にはAAL2相当の多要素認証で保護される必要があるとの記載もあります。
しかし、パスワード認証のみでユーザが自身のパスキーにアクセスできるようなパスキープロバイダーも存在します。このようにセキュリティ強度はパスキープロバイダー毎に異なる可能性があることに留意する必要があります。
パスキーの課題と今後の取り組み
NIST SP 800-63B-3用の補足文書には、デバイスから同期やエクスポートされるパスキーは暗号化されて保存される必要があるとの記載があります。しかし、現状ではいくつかのパスキープロバイダーは暗号化されていないパスキーのエクスポートを許可しています。このような状況も踏まえて現在FIDO Allianceではパスキーを含めたクレデンシャルの移行の標準化に取り組んでいます。(2024年10月にこの仕様の草案が公開されました。
[iii])この仕様では、ユーザがパスキーを暗号化した状態で、パスキープロバイダー間でパスキーを移行することが可能になります。また、セキュリティ強度が低いパスキープロバイダーからインポートされたパスキーの利用をサービス側が識別できないという課題があり、この課題についても継続して議論や検討がなされています。
③パネルディスカッション: Global Trends & 2024 Strategy: OpenID Foundation Board Insights
OpenID Foundation John Bradley氏・ Gail Hodges氏・ Nat Sakimura氏・ Nancy Cam-Winget氏
概要
OpenID Foundation[iv](以下OIDF)のボードメンバーによる、デジタルアイデンティティのトレンドの解説と OIDFの戦略的アプローチに関するセッションです。デジタル社会の基盤として、デジタルアイデンティティの役割と重要性が増していることが強調されました。こういった背景から、セキュリティ強化のための新たな標準仕様の策定状況や、相互運用の必要性に対応するためのOIDFの新しい取り組みが紹介されました。
1)セキュリティ強化のための新たな標準仕様の策定状況
Shared Signals Framework (共有シグナルフレームワーク)
ゼロトラストセキュリティを目指し、信頼関係のあるシステム間でセキュリティイベントや状態変更のシグナルを継続的に共有する新しい標準仕様です [v]。この仕様は、OIDFのShared Signals Working Group (SSFG)によって策定が進められ、エンタープライズシステムに採用された事例も発表され始めています[vi]。現在、SSFの主要な利点を理解しやすくし、採用時の課題を解消するためのホワイトペーパーの作成が進められています。
2) デジタルアイデンティティの相互運用性の実現に向けた取り組み
Sustainable and Interoperable Digital Identity Hub (SIDI Hub)
現在デジタルアイデンティティは、それぞれのエコシステムに閉じており、グローバルに相互運用可能ではありません。クレジットカードが国境を越えて支払いを可能にするように、デジタルアイデンティティも簡単に相互運用可能とすることを目指し、SIDI Hubという取り組みが2023年から開始されています。
このプロジェクトには、OIDFを含む複数の標準化団体、非営利団体、政府機関が参加しています。2023年11月に開催されたSIDI Hubイベントでは、参加者の92%がこの活動の継続を望んでおり、現在も活動が続いています(2024年10月25日には東京でも開催されました)[vii]。
「デジタル公共インフラ」の中心要素としての役割
世界的なトレンドとして、「デジタルアイデンティ」および「オープンデータ/バンキング」「即時送金システム 」といった分野の統合が進んでいます。ブラジルでは政府主導でこれらが統合され、大きな進展が見られます。上記の3要素に加え、「デジタル政府サービス」を結びつけると、G20などでグローバルに議論されている「デジタル公共インフラ」[viii]となり、デジタルアイデンティティはその中心的な要素となります。
OIDFでは、オープンデータ/バンキング向けの仕様であるFAPI[ix]やOpenID for Verifiable Credential, OpenID Connectなどの標準に基づき、これらの議論に関与し、政府が相互運用可能かつセキュアな方法で展開できるよう支援していると述べられました。
④キーノート: The Future of Authorization
Amazon Web Services Sarah Cecchetti氏・Microsoft Pieter Kasselman 氏・McDonald's George Roberts 氏
概要
認可技術の現状と今後の展望に関するキーノートです。ここでは、マクドナルド社のGlobal Identity and Access Engineering DirectorであるGeorge Roberts氏により、マクドナルドのような大企業が実際に抱える認可の課題が紹介され、複雑化するシステム環境でのアクセス管理の標準化・簡素化の重要性について説明されました。また、多様な意見や多くのユースケースを取り入れるために、オープンソースコミュニティやワーキンググループへの参加が推奨されました。
認可技術の現状の課題
現時点では、認可に関して広くサポートされる標準仕様は存在していません。George Roberts氏によると、マクドナルドのような大規模企業には数千のアプリケーション(おそらく業務アプリケーションを意味する)が存在し、その認可方法も統一されておらず、サポートおよび運用面での非効率性が重大な課題となっています。
したがって、各アプリケーションがIGA( Identity Governance & Administration )システムに対して「これが統合方法です。これがAPIエンドポイントです。これがAPIスキーマです。これがサポートするロール、権限です」と明確に伝達できる共通の言語や標準規格の確立が不可欠であるとRoberts氏は述べました。
また、Microsoft社のPieter Kasselman氏は、認可管理におけるポイントとして、以下の3つを挙げており、AIの台頭や、IOTデバイスの増加等による非人間的なアクターの急増により、これらを適切に管理し続けることの重要性が一層増していることを述べました。
- このプリンシパルやデバイスは、このリソースにアクセスする権限があるか。
- このプリンシパルやデバイスは、どのリソースにアクセス可能か。
- このリソースにアクセスできるすべてのプリンシパル、デバイスは何か。
さらに、セキュリティとアイデンティティ管理の分野の専門家が依然として不足しているため、複雑なシステム実行環境下であっても、専門知識なしで適切な権限管理を可能とする標準化されたインターフェースの必要性を改めて強調していました。
認可技術の標準化に向けた取り組み
標準化を進めるうえでは、実際の実装とのギャップを考慮する必要があります。
Pieter Kasselman氏やSarah Cecchetti氏によると、現在、Cloud Native Compute Foundation[ix]、OpenID Foundation[x]、Internet Engineering Task Force [xi]などの、各ワーキンググループと認可の標準に関するエコシステムの構築に注力しているとのことです。また、ワーキンググループの他にも、AWS Ceder[xii], OpenFGA[xiii]などのOSSプロジェクトも紹介され、積極的なコミュニティへの参加が呼びかけられていました。
まとめ
Identiverse2024ついて紹介してきましたが、カンファレンス全体を通じて、デジタルアイデンティティの仕様や技術が更新されるスピードの早さを改めて実感しました。
また、新しい技術やソリューションにより、セキュリティやユーザビリティが向上する一方で、脅威も日々高度化するため、脅威動向の確認や対策を継続することの重要性は変わらないことも再確認できました。
弊社では今後もカンファレンスの参加等を通じてデジタルアイデンティティの動向について情報を収集していきます。
[i] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63Bsup1.pdf
[ii] https://www.w3.org/TR/webauthn-3/#user-verification
[iii] https://fidoalliance.org/fido-alliance-publishes-new-specifications-to-promote-user-choice-and-enhanced-ux-for-passkeys/
[iv] https://openid.net/foundation/
[v] https://openid.net/wg/sharedsignals/
[vi] https://nat.sakimura.org/2023/06/11/use-your-own-domain-for-managed-apple-id-by-supporting-openid-connect-scim-and-ssf-even-if-you-are-not-using-azure-ad-or-google-workspace/
[vii] https://sidi-hub.community/
[viii] 下記文書にて、デジタル公共インフラとは「安全で相互運用可能であるべきであり、オープンなスタンダードと仕様に 基づいて構築され、社会規模で公共サービスや民間サービスへの公平なアクセスを提 供し、開発、包摂、革新、信頼、競争を促進し、人権と基本的自由を尊重するため に、適用可能な法的枠組みと実現可能なルールによって管理される一連の共有デジタ ルシステムである」とされている。
https://www.digital.go.jp/assets/contents/node/information/field_ref_resources/99e515db-ce8e-43bf-ac5d-7ee1ce96ea8e/176dd6ed/20230822_news_g20_results_japanese_01.pdf
[ix] https://www.cncf.io/
[x] https://openid.net/wg/authzen/
[xi] https://datatracker.ietf.org/wg/wimse/about/
[xii] https://aws.amazon.com/jp/about-aws/whats-new/2023/05/cedar-open-source-language-access-control/
[xiii] https://openfga.dev/