今年も（そしてもう10年も）終わり、私の思考は2020年へと向かい、来年は何に気を配りながら計画を立てる必要があるのか、考えている。先週のTrueDialogueの失態のような大きなデータ流出から、ウェアラブルのための史上初の標準ベースの認証のような画期的な新技術まで、2019年は記憶に残る年だった。

昨年、多くの人々を悩ませた数え切れないほどのデータ流出や情報漏洩は、ユーザーデータの価値がこれまで以上に高まるにつれ、個人のプライバシーへの関心を高めることになる。消費者や規制機関からの要求が高まる中、組織は生き残り、成功するために認証のやり方を進化させる必要がある。ここでは、強力な認証プロトコルへの依存の次の波に近づく2020年に向けて、私が考えるトップ3の「真実」を紹介する。

サイバー政策とデータ・プライバシーは、今選挙シーズンでは16年と比べて2倍の放送時間が割かれるだろう。

2020年の選挙に近づくにつれ、候補者は、ヘルスケア、税制改革などのより伝統的な話題のトピックと並んで、データ・プライバシーとサイバーセキュリティをより積極的かつ徹底的に自分たちのプラットフォームに組み込むことになるでしょう。立候補を正当化するためには、日常市民に影響を与えるサイバーとプライバシーに対する深い理解を示す必要がある。有権者は、これらの差し迫った課題に取り組む能力が候補者にどれだけ備わっているかを精査し、その上で投票することになる。

データの価値は上昇し続け、かつて銀だったものは今やプラチナだ：プライバシーへの報奨金は高騰する

デジタル化が進む2020年、データの価値はこれまで以上に高まるだろう。これまで一般消費者にとっては些細なことに思えた情報でも、実はさまざまなステークホルダーやハッカーにとっては重要な価値を持つようになる。敵対者や現実の「データ賞金稼ぎ」はそれを悪用する新しい方法を探し、政府はそれにアクセスするためのより良い方法を模索し、企業はそれを保護するためにより強力なセキュリティ対策を採用し、エンドユーザーは個人情報を保護するためにより良いプライバシーを求めるようになるだろう。さらに、AIと機械学習の台頭により、医療上の意思決定、自律走行車の移動場所や方法などに影響を与える重要なデータは、ますます主流になり、情報を欲しがる脅威行為者にとってますます有利になるだろう。

世界全体が認証を強化する必要がある

デジタルトランスフォーメーションの先駆者である先進国から、導入の初期段階にある発展途上国に至るまで、ますます多くの人々がオンライン取引を行い、不本意ながらアイデンティティを公開している。あらゆるデバイスが重要な個人情報、金融情報、医療情報にアクセスできるようになることで、リスクは増大し、認証に世界的に焦点を当てる必要性が高まっている。PSD2やGDPRのような欧州の規制が先導しているが、2020年には標準ベースのプロトコルと認証の革新がより切実に求められるようになるだろう。セキュリティを強化し、より多くの商取引を可能にし、新技術の世界的な普及を可能にするために、製造、エネルギー、ヘルスケアなどの新しい主要部門は、それらに依存する市民に安全性とセキュリティを提供するために、堅牢な認証プロトコルを採用することになる。

近年、認証業界は大きな進歩を遂げたが、アイデンティティが真に安全であることを保証するには、まだ長い道のりがある。2020年には、この戦いに大きな進展がもたらされると信じています。皆様お一人おひとりにとりまして、幸多きホリデーシーズンとなりますよう、そして2020年が大きな成功を収める年となりますよう、心よりお祈り申し上げます。

決済サービス指令2（PSD2）指令（Directive2015/2366/EU）は、113の序文から始まることをご存知ですか？ ご自身で確認してみてください。

などの逸品が含まれている：

#29：「認証」とは、ペイメントサービスプロバイダがペイメントサービス利用者の身元または特定のペイメント機器の使用の妥当性を確認できる手順を意味し、これには利用者の個人用セキュリティ認証情報の使用も含まれる。

 #強力な顧客認証」とは、知識（利用者だけが知っていること）、所有（利用者だけが所有 していること）、内在（利用者が存在すること）に分類される 2 つ以上の要素の使用に基づ く認証を意味する。

#72：「決済サービスプロバイダは、決済取引が認証され、正確に記録され、口座に入力され、決済サービスプロバイダが提供するサービスの技術的な故障やその他の欠陥によって影響を受けていないことを証明しなければならない。

特に、再犯の危険性がある場合、または消費者の集団的利益に対するその他の懸念がある場合、管轄当局には、本指令に規定された権利および義務をペイメントサービスプロバイダーが遵守していない場合、罰則を課す権限を含む必要な権限が付与される。

電子決済と非現金決済を管理することに重点を置くPSD2の原動力は、強固な顧客認証（SCA）の推進である。 

3Dセキュア2（3DS2）は、オンライン購入時に加盟店がPSD2 SCAに準拠したフローを実装する簡単な方法を提供します。これにより、加盟店は、顧客の身元と、顧客が購入を完了するために使用するクレジットカードの有効な所有者であることの両方を「認証」することができます。

このため、加盟店は、PSD2が発効した後も取引を処理し続けるために、チェックアウトフローに追加の認証機能を組み込む必要がある。そして、その日はすぐそこまで来ている。PSD2は以前、今月2019年9月に開始される予定だったが、準備不足のサービス・プロバイダーに対応するため、そしておそらくブレグジットを後景の鏡に映すため、2020年初めに延期された。

PSD2が加盟店にまもなく影響を与え始めることは、当然の結論です。 問題は、カード発行会社がSCAを必要としながらも3DSで認証されていない支払いを拒否し始めたら、どれだけの加盟店が被害を受けるのか、どの程度深刻なのか、そして英国の加盟店に何が起こるのかという点である。

プレッシャーを感じていますか？ 2020年にPSD2に対応するために、2019年第4四半期に取るべき3つのステップをご紹介します。

加盟店は、簡素化するか、構築する必要がある。

良いニュースは、PayPalやStripeのような主要な決済サービスプロバイダで運営できる場合、すでにエンジニアリングに力を入れているため、コンプライアンスに準拠できるということです。悪いニュースは、取引量の多いほとんどの加盟店は、完全なチェックアウトプロセスにこれらの決済サービスプロバイダー（PSP）を使用していないということです。  

そのような加盟店は、チェックアウトフローに認証を組み込む必要があります。チェックアウトエクスペリエンスを直接管理するにしても、別のPSPを使用するにしても、3Dセキュア2.0を決済フローに導入する必要があります。しかし、そうすれば、コンプライアンスに準拠することができます。

銀行はPSD2による混乱を捉え、それを自社の強みに変える必要がある。

PSD2は表向きには認証に関するものだが、銀行業界にとっては大きな挑戦でもある。銀行は現在、（ノンバンクの）PSPに顧客口座データへの直接接続を提供することが求められている。これは、EUの銀行セクターにおけるコモディティ化への大きな一歩であるように思われるが、銀行にとっては、独自のデータセットからの洞察を収益化する潜在的に有利な機会を開くものでもある。  

マッキンゼーの最近のレポートによると、移動の速い銀行は、「顧客が自分のデータや口座へのアクセスを第三者に提供することに魅力を感じないため、信頼される金融機関としての役割を維持することができる」という。

テクノロジー・プラットフォームとSCAサービスを加盟店や他のあまり洗練されていない銀行に提供できる銀行は、PSD2後の世界におけるビジネスチャンスで際立つことができる。

加盟店と銀行はFIDOでSCAコンプライアンスを加速できる

意外かもしれないが、PSD2準拠のための簡単なボタンがある。それはFIDO（ファスト・アイデンティティ・オンライン）と呼ばれるものだ。FIDOは企業ではなく、SCA準拠のためのオープンな業界標準である。

FIDO 認証は、どのような組織でも自由に導入することができ、導入後は、銀行や PSP は、PSD2 の SCA 要件を満たす様々なFIDO 準拠の認証機関を受け入れることができる。FIDO アーキテクチャーは、多要素認証の要件を生み出す原動力となった問題に対して、真の 「ベスト・オブ・ワールド」ソリューションを提供する。

非対称暗号、バイオメトリクス、暗号プライバシーにより、シングル・ジェスチャーの多要素認証イベントが消費者向けにパッケージ化され、非常にシンプルなユーザー・エクスペリエンスで、PSD2 SCAの加盟店と銀行の両方のニーズを満たします。

いつ、どこに解決策を求めればいいのか？

PSD2は、最新の消費者認証戦略と保護を欧州の消費者に提供するために、5年以上の道のりを歩んでいる。すでに2度延期されており、これ以上遅れることはないだろう。適切な投資を行っていない銀行や加盟店は、コンプライアンスを確保し、罰金の対象とならないよう、正確に行動する必要がある。  

幸いなことに、SCA ソリューションはリーズナブルな価格でタイムリーにテスト・導入することができる。FIDO アライアンスの創設者であり、この分野で 100 以上の特許を保有する Nok Nok Labs は、SCA コンプライアンスを実現するすぐに導入可能な認証システムを提供しています。PSD2の目標を達成できるよう、迅速なテストと導入のプロセスを共有できることを楽しみにしています。

エコノミック・タイムズ紙は、ウィプロ社のコメントとして、「高度なフィッシング・キャンペーンのため、当社のネットワーク上の数人の従業員アカウントで異常な活動が行われた可能性があることを検知しました。このインシデントを知り、速やかに調査を開始し、影響を受けたユーザーを特定し、潜在的な影響を封じ込め、軽減するための改善策を講じました" と述べている。

これまでのニュースを見る限り、攻撃者の意図は、ウィプロをウィプロの顧客に対する攻撃の中継地として利用し、事実上信頼できるドアから侵入することだったようだ。ベライゾン・データ侵害報告書が示唆するところであれば、この侵害が攻撃ベクトルとして選択したのは、従業員と管理者クレデンシャルの漏洩である確率は80％以上である。

ウィプロのような有名ブランドの中には、フィッシング対策や攻撃検知のための最高のトレーニングにお金を費やすところもあるが、それはそれが十分な対策であるという誤った信念に基づくものである。実際、正当なリクエストと詐欺的なリクエストの区別をエンドユーザーに依存するセキュリティ対策は、失敗に終わる運命にある。ウィプロのような企業やそのサービス・プロバイダーのコミュニティは、FIDO標準に基づくようなフィッシング防止認証のような予防的対策に投資するのではなく、攻撃後の検知に頼ることがあまりにも多い。

皮肉なことに、米国国家防諜・安全保障センター（NCSC）は4月初め、民間部門と米国政府のサプライチェーンに対する脅威の増大について認識を高めるため、「全米サプライチェーン・インテグリティ月間」を立ち上げた。

「外国の諜報機関やその他の敵対勢力は、サプライチェーンの脆弱性を悪用して、米国の知的財産を盗み、ソフトウェアを改ざんし、重要なインフラを監視するケースが増えている。

「我々のセキュリティ境界線を迂回し、信頼できるサプライヤーに侵入し、政府、企業、個人が毎日使用する機器、システム、情報を狙っている。わが国にとっての代償は、米国の技術革新、雇用、経済的優位性の喪失だけでなく、米軍の即応性の低下にも及ぶ」と付け加えた。

歴史から学ぶことがあるとすれば、ウィプロの攻撃は氷山の一角だということだろう。数年前、グーグルは「オーロラ作戦」によって攻撃された。ソースコードの改ざんを目的としたグーグルのシステムに対する広範な侵害であり、中国の反体制活動家のアカウントにアクセスする目的で管理者アカウントに侵入した。クラウドやインフラ・サービス・プロバイダーへの依存度が高まっていることを考えると、このような攻撃は、大きな見返りを伴う「スケーラブル」な攻撃ベクトルであるため、今後も増え続けるだろう。

私たちは、顧客とサービス・プロバイダーの両方が、フィッシングに強く、多要素で、標準に基づき、広くサポートされ、スケールで実証された最新の認証に深く投資することを強く推奨します。Nok Nok Labsが開拓しているFIDO標準は、ウィプロのようなプロバイダーに対する攻撃の壊滅的な結果を軽減するために必要な、セキュリティに対する予防的アプローチの不可欠な構成要素の1つです。

Nok Nok Labsは、グーグル、マイクロソフト、ペイパルなどと共にWebAuthN仕様の共著者であり、設計者の一人であることを誇りに思っています。 本日の重要な成果は W3C Web Authentication仕様が「Candidate Recommendation」（CR）ステータスに到達したことです。.これは、認証の仕組みを変革するための大きなマイルストーンであり、私たちは立ち止まって祝うべきものです。

Web Authenticationは、Webブラウザが実装するJavaScript APIを指定し、Webサイトがブラウザから直接、生体認証、トークン、その他の認証方法を使用して便利で強力な認証をトリガーできるようにします。 このマイルストーンは、Nok Nok Labsの創設者が2013年2月にFIDOアライアンスを設立し、現代のコンピューティング・エコシステムにおける認証の仕組みを変えるというビジョンを掲げたときに私たちが設定した重要な目標を達成するものです。

本日のマイルストーンは、ブラウザベンダーが、FIDOアライアンスでのわれわれの取り組みに基づき、ブラウザやオペレーティングシステムを横断して標準のJavaScript APIからアクセスできる強力な認証を提供し始めることを意味する。 最終的な標準は、相互運用性に焦点を当てながら、今年W3Cを通過し、最終的なW3C標準に現れるあらゆる問題を縫い合わせることになる。これは、ブラウザが強力な認証を行うFIDOの方法を提供するためのスタートシグナルである。  

私たちは、マイクロソフトやグーグルとのパートナーシップを通じて、お客様やパートナーにいち早く説明を行い、この作業の一部へのアクセスを提供してきました。当社の製品は、よく確立された他のFIDO標準（UAFとU2F）に加えて、この新しい標準をサポートしており、NNL S3 Authentication Suiteを通じて、ウェブスケールとキャリアグレードの品質で提供されるすべてのユースケースとセキュリティモデルを最も幅広くカバーしています。 この標準の背後にある重要なアイデアの発明者と著者として、私たちは、これらの標準をユースケースに適応させる最善の方法について、私たちのコミュニティに信頼できるガイダンスを提供することができます。

今後の投稿では、この規格が何を達成するために設計されたのか、どのようなユースケースに最適なのか、そして今後2年間でどのように展開されるのかについて詳しく説明する予定だ。

私たちのビジョンとアイデアが、今後1年間でこの仕様を採用するブラウザやプラットフォーム・ベンダーの幅広いコミュニティに受け入れられ、共有されたことを大変誇りに思います。 同僚の一人が言うように、「......いくつかの問題は、どんなに大きくても、どんなに強力でも、一企業が単独で解決するには大きすぎます。 今日のCRは、その方向への大きな一歩である。