年間数千件、ほとんどの組織で毎年少なくとも2、3件の大規模な情報漏えいが相次ぎ、業界紙や アナリスト業界は当然のように教訓を学ぶモードに入った。このような背景から、私の予測が議論を前進させ、教訓を具体的な行動に生かす変曲点へと導くことを期待している！

ゼロトラストの需要とともに認証が高まる
2017年が「データ漏洩の年」（ブルームバーグ）として知られるようになったように、2018年は、ゼロトラスト・セキュリティ・モデルが、実行可能なセキュリティおよびID管理対応策として中心舞台となった年である。今や誰もが、強固な認証に裏打ちされない限り、ゼロトラストの価値がゼロであることに気づき始めている。スケーラブルでポリシーに基づいて動的に調整される成熟した認証、アイデンティティ管理、特権アクセス管理（PAM）がなければ、ビジネスのスピードを落とすことなくゼロトラストを適用することは難しい。だからこそ、ゼロ・トラストがゼロ・スピードで運用されるのを防ぐために、より優れた認証ソリューションが登場することになるのだ。

プロバイダーが認証に真剣に取り組まない限り、ソーシャルメディア詐欺と政治的干渉は続くだろう。
IDは盗まれるだけでなく、詐欺、選挙改ざん、その他の目的のために、複製され、でっち上げられ、キュレーションされ、無限に変容する。認証に真剣に取り組まないわけにはいかないだろう。それには、単に支持を表明したり、業界コンソーシアムに参加したりするだけでは不十分だ。企業が本気であることを示すサインとしては、標準の導入や義務化、法規制のサポート、実際の測定基準やその他のデータの共有による透明性の確保などが挙げられる。

バイオメトリクスの種類は増え続ける
技術革新と、あらゆる業界でバイオメトリクスを使用する方法を簡素化し合理化するFIDOのような進化する標準の合流のおかげで、業界は伝統的なバイオメトリクスと行動バイオメトリクスの新しい形態を生み出し続けるだろう。ミキサー、トースター、電子レンジがすべて同じキッチンの電源タップで操作できることを考えれば、何が可能かが見えてくるだろう。

グローバルな規制環境はさらに厳しくなるだろう。
強力な認証やその他のサイバー保護が、今現在はビジネス・アイデアに思えなくとも、規制へのカーブがいかに急勾配であったかを思い出せば、そう思えるようになるだろう。そして、増加する苦情と侵害の数を考えると、それがすぐに減速する兆しはない。GDPRで実施されたように、データプライバシー保護はさらに強化されるだろう。これは大きな進歩ではあるが、より強力な執行、より厳しい罰金、企業データに対するより多くの要求という形で、より多くの課題を目にすることになるだろう。

スポーツとエンターテインメント産業は、バイオメトリクスの成長分野であり続けるだろう
この最後の予測は、我々が目にしている市場動向からだけでなく、個人的な経験からも来ている。オンラインで買ったチケットが偽物だったと知った時、窓口で10代の姪が見せた悲惨な表情から身をもって感じたように、貴重な体験は貴重な製品やデータと同じように盗まれる可能性がある。当然のことながら、スポーツと エンターテインメントの両分野におけるバイオメトリクスは今後も増え続けるだろう。入場や着席の際の本人確認、飲酒の際の年齢確認など、エンターテイメント施設やシステムには、強力な認証が解決する多くのユースケースが待ち構えている。

これらは、2019年の業界を多かれ少なかれ形作る力学である。そして、すべての展開や影響を予測することは不可能だが、少なくとも、より良い認証とID管理のためにアイデアや学んだ教訓を実践に移すという新たなレベルのコミットメント、つまり行動に焦点を移すことができれば、この投稿は成功と言えるだろう。

Paragon Initiativeの研究者チームは最近、Web認証APIプロトコルであるWebAuthnのいくつかの暗号アルゴリズムに関するセキュリティ上の懸念を共有した。8月23日のブログ投稿で、Paragonのチームは、WebAuthnの基礎となるアルゴリズムやサポートされているアルゴリズムの脆弱性の結果として、WebAuthnがさらされていると感じている潜在的な問題の概要を提供した。調査は徹底しており、ユーザーを教育しようとする努力は賞賛に値する。しかし、セキュリティ上の懸念は、プロトコルがどのように実装されているかが重要な役割を担っていることを理解した上で、文脈の中で考慮されるべきである。

WebAuthnの仕様では様々なアルゴリズムをサポートしており、その中には他のものより強力なものもある。これは、事実上すべての標準が直面する課題である。標準化団体は一般的に、可能な限り幅広い聴衆に対応し、最も広い範囲の製品やサービスをカバーすることで、採用率と市場リーチを最大化しようと努めます。他のプラットフォームや標準との後方互換性や相互運用性の必要性は、レガシーコンポーネントやサードパーティコンポーネントに存在する潜在的な弱点への扉を開く。

重要なのは、その基準を使って何をするかだ。

セキュリティ・ソリューションの総合的な強さは、必要なセキュリティ・インフラ要素の利用可能性と、最も重要な実装の強さに依存する。優れた実装は、柔軟性があり、サービス・プロバイダーが受信デバイス・リクエストの強度に基づいて最適な選択ができるようなフレームワークを提供する必要がある。より脆弱なデバイスが関与している場合には、受信データを検証し、根本的なリスクを軽減するための追加措置を講じる必要がある。

Paragon社の記事は、RSA PKCS1v1.5パディングに内在する署名偽造の脆弱性と、ECDAAの使用における潜在的な弱点という、2つの主要な懸念分野を提起している。WebAuthnはウェブ認証APIであり、ウェブ・ブラウザはオペレーティング・システム以上に複雑なレイヤー、インターフェース、APIを追加する。攻撃対象が広がることで、WebAuthn 自体の機能ではない、様々な攻撃の可能性が出てきます。

パラゴン社が提起した懸念は、Nok Nok Labsの製品にとっては問題ではありません。Nok Nok Labsは過去4年間、FIDOプロトコルを実装した製品をグローバルかつ大規模に展開してきました。私たちは高いセキュリティ基準と実装を支持しており、これにはWebAuthnのシナリオも含まれます。

Nok Nok Labs 製品をご利用のお客様は、ポリシーによって許容可能なアルゴリズムと認証特性を指定することができます。これにより、お客様は脆弱な実装を検出してブロックし、特定のアルゴリズムの弱点に起因するリスクへの露出を軽減することができます。また、弱いアルゴリズムや脆弱なアルゴリズムを使用している特定の認証者にリスクスコアを割り当てることもできます。リスクスコアを使用することで、顧客は、セキュリティ向上のために追加のステップアップ認証を要求したり、トランザクションを遅延させたり、リスクを軽減し、強固なセキュリティを確保するためのその他の適切な措置を講じることができる。

Nok Nok Labsは、設定とポリシーにより、この種の欠陥にさらされる機会を柔軟に制限することができます。また、リスクの高いシナリオを特定し、追加の保護を提供するためにステップアップ認証を必要とすることも可能です。

Nok Nok LabsはFIDOの創設者であり強力なサポーターであり、WebAuthnを支持しています。また、後方互換性と相互運用性を提供する一般的な標準の開発には潜在的なセキュリティ上の懸念が内在していること、そしてそれらに対処するために実装レベルで講じなければならないステップがあることも認識しています。

ご質問やご意見は、Nok Nok Labs([email protected])までお問い合わせください。

ブルームバーグの報道とウーバーからの初期の開示によると、根本的な原因は再びクレデンシャルの漏洩（開発者が使用するクラウドベースのストレージシステムから盗まれたログイン認証情報）であった。この攻撃により、セキュリティにおける小さな過失が、ブランドとビジネスにとって巨大な責任へとスパイラルすることになった。

ウーバーの不運をほくそ笑む人がいるかもしれないが、悲しいことに、これは業界では当然のことなのだ。盗まれたり、フィッシングされたり、中間者（man-in-the-middle）によって攻撃されたりする可能性のあるクレデンシャル（パスワード、レガシーOTP）の使用が横行している。このような怠慢は、取締役会レベルの注意喚起にまで至っていない。あるいは、このような攻撃から保護するためにクレデンシャル・システムを近代化することを急ぐだろう。

神経科学の研究において、個人がリスクを評価するのが非常に苦手であることは、よく知られた事実である。 家具に押しつぶされる可能性のほうがはるかに高いのに、テロ事件を心配する。 ちょっと散歩するだけで寿命が延びるのに、怪しげな薬に何百万ドルも費やす。 自動販売機に襲われる確率はサメの2倍だが、"ジョーズ "という言葉は人間よりもサメを連想させる。

企業も同じだ。 脆弱な認証情報のような脅威が、顧客に損害を与え、ブランド価値を低下させ、事業の存続を危うくするような時代において、彼らは、最新の強力な認証慣行を優先させるような単純な対策を講じることで、事業に直面する脅威の多くを排除できるにもかかわらず、非合理的な行動や投資に固執している。

ブリーチ黙示録の第一騎手脆弱なクレデンシャル

脆弱なクレデンシャルは、破滅の黙示録の第一の騎手を構成しており、彼は容赦なく、それを使い続けるリーダーや企業を切り捨て続けるだろう。

今日の業界の大半は、パスワード管理、対称的な共有秘密であるレガシーOTPシステムに基づく、恥ずべきほど脆弱で安全でない認証慣行に縛られている。このような慣行は、フィッシングやマルウェアに対して脆弱であり、より有害な用途のために認証情報を採取できるスケーラブルな攻撃につながる。 ベライゾンの2017年データ漏洩調査報告書によると、データ漏洩の81%に漏洩した認証情報が関与している。

さらに、これらの企業は、強力な標準ベースの最新の多要素認証に投資する前に、ファイアウォール／侵入検知／APTシステム、自家製または独自の認証システムに不合理にも何百万ドルも注ぎ込んでいる。

FIDOアライアンスのような、広く展開され、市場でテストされ、普遍的に承認された標準は、フィッシングやMitMに耐性のある強力な、多要素、パスワード不要の認証を提供することができ、ユーザー、開発者、ITスタッフが管理しやすい。

確かに、他にもホースメンは存在する（パッチ、暗号化、その他）し、現代のコネクテッド・ワールドに生きる性質上、リスクはつきものだ。 ホースメンを撃退し、攻撃者があなたのブランドや顧客に与えるダメージを抑えるためには、シンプルなことを実行するのがコツだ。 そして、自動販売機を避け、街を散歩することだ。

バルセロナで開催されるマザーシップ・イベントで最も人気のあるアトラクションのひとつがイノベーション・シティだ。ここでは、GSMAとその主要なイノベーション・パートナーが、「モバイルの力」が世界中の生活をどのように変えているかを紹介している。今年、GSMAは、最新のモバイル中心のIDソリューションが提供できるものを紹介するために、模擬的な都市環境を用意している。デジタル・アイデンティティは、まさに革新的な都市の中核をなすものです。

GSMAのモバイル・アイデンティティ・イニシアチブ

2014年2月、GSMAは、エンドユーザーが単一のログイン・ソリューションを通じてデジタル・ユニバーサルIDを作成・管理できるソリューション「モバイル・コネクト」を発表した。モバイルコネクトは、サードパーティのサービスプロバイダーがユーザーを認証し、トランザクションの承認を求め、（ユーザーの同意を得て）ユーザーに関する情報にアクセスできる連携フレームワークを提供する。このサービスは、世界のモバイルネットワーク事業者市場のかなりの部分に導入されており、世界で30億人以上の消費者が商業的に利用できる。

Mobile Connectは、Nok Nok Labsが認証の「セカンド・マイル」と呼ぶものを実行する。認証の「ファースト・マイル」がデバイスを使用する人物の身元を証明することであるのに対し、いわゆる「セカンド・マイル」は、その人物が特定の権限でそのアカウントにアクセスできるはずであることを証明することである。

Nok Nok Labsとモバイルコネクト

2016年、Nok Nok Labsは「モバイルコネクトのためのジャンプスタートプログラム」を開始し、世界中のモバイルネットワーク事業者がモバイルコネクトを通じてバイオメトリクスに対応したFIDO認定の顧客認証体験を提供できるよう支援しています。

FIDOベースの認証とモバイルコネクトは密接に連携している。認証の「ファーストマイル」は、FIDO UAFプロトコルを活用したNok Nok LabsのS3 Authentication Suiteによって処理されます。これにより、Mobile Connectはスマートフォン、タブレット、PCに内蔵されたバイオメトリック認証機能を利用できるようになり、安全性が低い可能性のある従来の代替手段を超える認証オプションの幅が広がります。モバイル・コネクト・アプリケーションに促されたユーザーは、バイオメトリックを使用してデバイスに本人であることを証明する。この証明は次にGSMAのIDゲートウェイに渡され、そこでAPI交換とOpenIDコネクト・プロトコルを活用した認証のセカンドマイルが行われ、個々のユーザーの詳細がさらに特定・確認される。

今年初め、GSMAとFIDOアライアンスは、FIDO認証とモバイルコネクトが技術的および市場的観点からどのように適合するかをさらに検討するため、リエゾン・パートナーシップを正式に締結しました。

モバイル・コネクトの実例を見る

あと数週間で、モバイル・ワールド・コングレスの中心部にあるイノベーション・シティで、モバイル・コネクトが開催されます：アメリカ大陸では、モバイル・コネクトが最前線で活躍します。Nok Nok LabsはVisa、InterBev、San Diego Health Connectのデモを支援し、このデモアリーナに参加できることを誇りに思っています。イノベーション・シティはモスコーニ・センターの南ホール、S.1428とS.1128にあります。イノベーション・シティの営業時間内（午前9時～午後5時）であれば、Nok Nok Labsの担当者を訪問することができます。また、北ホールのスタンドN978にあるNok Nok Labsのブースにもお立ち寄りください（FIDOパビリオンの一部となります）。

もう少し掘り下げると、ビットコインはブロックチェーンと呼ばれる「分散型台帳」の実装であることが理解できるだろう。ブロックチェーンは、今日ほとんどすべての企業が行っているように、重要な記録を中央データベースに保管するのではなく、台帳情報を多くの異なるコンピューターに分散させる。そして、あるプロセスが台帳からの情報を必要とするとき、接続されたすべてのマシンに答えを提案するよう求める。過半数が同意すると、デジタルコインという形で報酬が支払われる。あるマシンの情報が操作されたとしても、大多数は信頼される。

ビットコインがリリースされてから数年後、暗号通貨コミュニティの一部はブロックチェーンをより強力なものにしようと考え始めた。単に情報を保持するのではなく、トリガーがかかったときに実行されるプログラムをブロックチェーンに保持できたらどうだろう？開発者たちは、「スマート・コントラクト」を記述するのに使える特殊なプログラミング言語を備えた新しいタイプのブロックチェーンをリリースした。この新しいチェーンはイーサリアムと呼ばれた。これらのスマートコントラクトによって、チームは分散ネットワーク効果を利用したアプリケーションを簡単に構築できるようになった。実際、これらのアプリケーションには名前（dApps）があり、時には独自のデジタルコイン（altcoins）を持つことさえある。

とはいえ、今日、ブロックチェーン愛好家は、ビットコインとイーサリアムを、ビジネス機能として考慮すべき2大パブリック・ブロックチェーンと考えており、この運用モデルによって、ブロックチェーンはIDを管理するための興味深いアーキテクチャとなる。

ブロックチェーン上のアイデンティティ

自分の身元は自分で管理していると思いたいだろうが、実際はそうではない。あなたに関する情報の膨大なリポジトリは、他の企業があなたが誰であるかを検証する必要があるたびにお金を稼ぐ民間企業によって管理されている。今日、われわれはIDエコシステムを構築しており、何千もの組織がこれらのID保有者に金を支払い、ユーザーが本人であることを検証するためにある種の「プルーフィング」を行うことを要求している：

• 電力会社があなたの住所を確認している可能性があります。
• 銀行があなたの給与明細を確認した可能性があります。
• あなたの病院があなたの出産を認証したのかもしれない。
• あなたの政府があなたのSSNを確認したかもしれない。
• 住宅ローン会社はあなたの信用力を検証しているかもしれない。

これらの各組織は、「顧客を知る」プロセスのデューデリジェンスに投資しており、各組織は現在、あなたという総合的なアイデンティティ・パズルの一部を手にしている。しかし、新たな信用調査が行われるたびに、さらに別の検証が必要となり、結局、あなたの身元は、ハッキング可能な、より集中化されたデータベースにより広く拡散していくことになる。

ブロックチェーンを使えば、IDの管理方法を根本的に変えることができる。

まず、根本的な前提から始めよう。自分のID情報は自分で所有し、誰が見るかをコントロールできるようにすべきであり、自分の情報が誰かに評価されたときには補償を受けることもできるべきである。

MyIDというアプリを想像してほしい。このアプリは、あなたの携帯電話に関連付けられており、あなたのアイデンティティの信頼できるデジタル財布となる。あなたの生体認証を使って、あなただけがアプリにアクセスすることができ、生体認証データとIDデータはすべてあなたの携帯電話内にあり、あなたの許可なしに他の場所のサーバーに転送されることはない。

アプリがインストールされると、MyIDがあなたが誰であるかを検証し、検証された各アイデンティティに対して証明書を発行することを可能にする質問に答えるID証明プロセスを経る。これらの証明書はブロックチェーンに保存されるため、改ざんされることはなく、基礎となるデータは携帯電話に暗号化されて保存されるため、こちらも改ざんされることはない。

このモデルでは、消費者にとって有利な構成がある。消費者は、MyID が自分の ID を検証した（デバイスと結びついた）証明を共有することもでき るし、基礎となる ID データを適当に断片的に共有することもできる。

クレジットカード会社は、あなたにクレジットカードを発行する場合、さまざまなデータを要求することができ、より多くの証明された身元データを提供すれば、より多くの信用を与えたり、より低い金利を適用したりすることができる。

オンライン広告会社が、あなたの収入に基づいて、より良い広告をターゲットにしたい場合、あなたは、あなたが見るすべての広告の一部に対する手数料（あなたに支払われる）のために、証明された収入レベル（しかし、あなたの連絡先情報ではない）を彼らと共有することができます - これは、別のブロックチェーン上で管理することができます。

大企業がこのループから取り残されているわけではない。モバイル・ネットワーク事業者がすでにあなたに関するIDデータを持っている場合、その情報をあなたに提供し、もしそうなら認証することができる。これで、第三者がその情報を欲するとき、あなたと携帯電話事業者の両方が、あなたの許可を得て手数料の一部を得ることができる。

ブロックチェーン技術によって、私たちはID盗難のリスクを再構築する機会を得ると同時に、より強力なプライバシーとデジタルの権利を最終消費者にもたらすことができる。これがアイデンティティの未来のアーキテクチャーである理由はたくさんあり、その結果、既存の組織がこの出現を遅らせたり阻止したりするためにできることは何でもする理由もたくさんある。