Most Organizations Still Using Phishable Multifactor Auth

顧客認証にフィッシング可能な多要素方式を採用している企業が過半数を占めるという調査結果が発表された。

米国カリフォルニア州サンノゼ - 2023年8月2日- 世界最大規模の組織向けパスワードレス認証のリーダーであるNok NokとEnterprise Strategy Group（ESG）は本日、パスワードのあり方に関する包括的な調査結果を発表しました。ESGは、北米のアイデンティティおよびアクセス管理プログラムを担当するIT、サイバーセキュリティ、アプリケーション開発の専門家350人以上を対象に調査を実施しました。その結果、組織が従来の認証方式で直面し続けている課題と、より安全でユーザーフレンドリーな代替手段としてパスワードレス認証への関心が高まっていることが明らかになりました。低コストのクラウドCPUでパスワードを解読できるようになり、既知のアカウント／パスワードが普及する中、組織はパスワードが安全でないことを認識している。この調査では、進化するサイバー脅威の前では、パスワードのような従来の認証方法は有効ではないことが明らかになった。さらに、SMS、ワンタイムパスワード（OTP）、電子メールコードなどの従来の多要素認証（MFA）は、ソーシャルエンジニアリングやフィッシング攻撃の影響を受けやすく、ユーザーとの摩擦を生み、ユーザーエクスペリエンスを低下させることが証明されている。

• 72％の組織が、顧客向けアプリケーションにフィッシング可能なMFA要素を使用している。漏洩したアカウントからデータ、ビジネス、資金が失われたり盗まれたりするコストとリスクは、企業が顧客にMFAを義務付ける動機となっている。しかし、残念ながら、まだ十分に進んでおらず、フィッシング可能なMFAの最も弱い形態であるSMSやワンタイムメール・コードに頼っているのが現状です。

• 52％の組織が、顧客パスワードの廃止が収益に大きなプラスの影響を与えたと回答している。顧客向けアプリにパスワードレス認証を導入することで期待されるリスク低減に加え、パスワードとMFAによる摩擦の解消は、収益、顧客の生産性と満足度、クレデンシャルベースのサイバーセキュリティインシデントにプラスの影響を与えた。

• 組織の76％が、過去12ヶ月間に複数のアカウントまたはクレデンシャルの侵害を経験している。組織は、脆弱な認証方法を標的にした多種多様な攻撃ベクトルに直面している。残念ながら、組織はアカウントやクレデンシャルの漏洩に対応する準備がまだ整っていないため、複数のインシデントが常態化しています。

この調査では、顧客向けアプリケーションにおけるパスワードレス認証の重要性も強調された。企業は、アカウント乗っ取り攻撃のリスクと、顧客 ID を保護する必要性を理解している。しかし、顧客 ID の大部分は、依然として十分に保護されていないと考えられている。このようなリスクを軽減するため、企業は顧客認証の実践を優先しており、回答者の36％が認証を重要な活動として指定している。

「ESGのシニア・アナリストであるジャック・ポーラーは、次のように述べています。「脆弱なパスワードやフィッシング可能なレガシー認証ソリューションに直面する中、今回の調査は、顧客によるパスワードレス認証が多くのセキュリティ強化を実現し、ユーザー体験を向上させることを示しています。ESGのシニア・アナリストであるジャック・ポールは、次のように述べています。「パスワードの再設定やアカウントのロックアウトのためにヘルプデスクやITへの問い合わせを減らすことができるほか、パスワードやMFAによる摩擦をなくすことで顧客の生産性と満足度を向上させることができます。
サイバー保険への加入や保険料の引き下げが可能になります。"

調査結果によると、企業は強力な認証に積極的に投資しており、パスワードレス認証が人気を集めている。パスワードレス認証は、セキュリティを強化するだけでなく、複雑なパスワードを覚える必要性をなくし、フィッシング可能なMFA要素への依存を減らすことで、ユーザー・エクスペリエンスを向上させる。

Nok Nok LabsのCEOであるPhil Dunkelbergerは、次のように述べています。「この調査により、FIDOベースのフィッシングに耐性のある強力な認証が利用可能であるにもかかわらず、組織は依然として最も一般的で脆弱なMFA、SMS、ワンタイムメールコードに依存していることが明らかになりました。グーグル、アップル、マイクロソフトなどの主要プラットフォームベンダーはすべてFIDO標準を採用し、コンシューマー向けにパスキーを展開しています。今こそ、企業が顧客認証のために同じことをする時です。」

調査結果の詳細や洞察については、「パスワードレス認証の現状」をご覧ください。

TechTargetについて

TechTargetは、企業のテクノロジーバイヤーや意思決定者に向けて、信頼できる的を絞ったコンテンツを提供するテクノロジーメディアのリーディングカンパニーです。TechTargetは、140を超えるテクノロジー専門ウェブサイトのネットワークを通じて、質の高いコンテンツ、リサーチ、分析を提供し、企業が十分な情報に基づいたテクノロジー購入の意思決定を行えるよう支援しています。

Nok Nok Labsについて

Nok Nokはパスワードレス顧客認証のリーダーであり、今日のパスワードレス認証市場において最も革新的なFIDO（Fast IDentity Online）ソリューションを提供しています。Nok Nokは、最も厳格なプライバシーおよび規制要件への準拠を可能にしながら、ユーザーエクスペリエンスとセキュリティの大幅な向上、運用コストの削減を実現します。認証システム S3 認証スイートは、既存のセキュリティ環境に統合し、実績のあるFIDO対応のパスワードレス顧客認証を実現します。FIDOアライアンスの創設者であり、FIDO標準のイノベーターであるNok Nokは、次世代の多要素認証のエキスパートです。Nok Nokのグローバルな顧客とパートナー パートナーAFLAC Japan、BBVA、Carahsoft、富士通株式会社、日立製作所、Intuit、Mastercard、MUFG Bank、NTT DATA、NTT DOCOMO、Standard Bank、T-Mobile、Verizonなど。詳細はこちら、 https://staging.noknok.com/.