ログイン体験の期待と現実 〜セキュリティ
新型コロナウイルスの感染拡大によるリモートワークの普及やデジタルトランスフォーメーション推進の影響で、各企業のシステムやサービスにおけるID管理の負荷は大幅に増大しています。その結果、顧客データを含め個人情報漏洩のリスクは大幅に拡大し、2021年ではMeta社*1、またはLog4j*2を含む多数の被害を出したセキュリティ事件が発生しました。
ネット上の犯罪や事件が増加する中、2022年4月施行の改正個人情報保護法も見据えて、サービスを提供する企業、また利用する消費者双方のデータ保護への関心は高まる一方です。
Auth0が実施した顧客ID&アクセス管理(CIAM)に関するグローバル調査「ログイン体験の期待と現実」からはセキュリティに対して消費者がサービス提供者に求める<期待値>と、消費者側の行動が相反している<現実>が明らかとなりました。
<データ保護における消費者の期待値:92%の消費者が企業側で顧客の個人情報を安全に保つことを期待>
92 %の日本の消費者は企業が彼らの個人情報を安全に保つことを期待してることが明らかになりました。
この結果はグローバル平均と一致し、日本も他のIT先進国と同様にデータ保護に関して同程度の関心度を持つことがわかりました。
<消費者自身のパスワード管理の取扱い:83%の消費者がパスワードの使い回しをしていると回答>
消費者はデータ保護への高い関心や企業にデータ保護を強く期待する一方で、”パスワードの使い回しをしている”と83%(世界全体では86%)が回答した。
ネット上の犯罪としてパスワード使い回しに起因する攻撃・被害が増えている、と警鐘を鳴らされている一方で、多くの人がパスワードの使い回しをしている現実が明らかとなりました。
オンライン・サービスにおいてセキュリティーは消費者、そして企業側の双方に慎重、且つ重視した対応が求められています。
顧客個人情報の保存場所や管理状態の把握の重要度は高まる中、Auth0においては、日本のユーザー企業様のログイン情報は日本国内のデータセンターで保存されています。「ログイン」はいかなるデジタルサービスの入り口であることから、Auth0では今後もセキュリティを最重要課題としつつ、企業のDX戦略の信頼できるパートナーとして様々なニーズに応えて参ります。
なお、本調査の全文はこちらよりダウンロードいただけます。
(本調査について)
本調査は Auth0 社と YouGov 社が 2021 年 2 月から 8 月にかけてオンライン上で実施した ものです。本調査は 2 つのアンケートで構成されており、世界の 12カ国 ( アメリカ、 イギリス、ベルギー、フランス、ドイツ、オランダ、オーストラリア、シンガポール、日本、 アルゼンチン、ブラジル、メキシコ ) において、17,000 人の消費者そしてアプリ / オンライ ンサービスを顧客 ( 個人事業主を除く) に提供する企業に勤務する 2,400 人の IT およびマー ケティング分野の意思決定者に質問して実施されました。消費者調査に関するデータは各市 場の最新の推定人口に反映し、年齢、性別、地域をその後重ね合わせています。
企業のID管理における現在の脅威について 〜(補足データ
Auth0が実施した「The State of Security」レポートでは、Auth0プラットフォーム上において発生件数が顕著だった攻撃が公表されています。(期間は2021年の最初の90日間のデータを検証)
- 不正登録攻撃(偽アカウント作成攻撃
不正登録攻撃(偽アカウント作成攻撃とも呼ばれる)は、脅威者がアカウント登録のプロセスを悪用し、偽アカウントを作成することです。
潜在的なユーザーの名前空間を使い果たすことで、正当なユーザーの登録を妨げ、アプリケーション提供者のサービス提供能力を妨害します。また、スニーカーやゲーム機の抽選などの価値があるものを不当に手に入れることやスパム、偽情報、ハクティビズムのキャンペーンを実行することが可能です。
一例として、あるグローバルECサイトを標的した不正登録は1日に12万件にのぼりました。
- クレデンシャル・スタッフィング攻撃
クレデンシャル・スタッフィング攻撃とは、盗まれたアカウント情報で各サービスに大規模な自動ログイン要求を行うことで、ユーザーアカウントへの不正アクセスを試みる攻撃の一種です。
ユーザーは同一のIDとパスワードの組み合わせを使いまわしていることが多いという習慣を悪用した攻撃が、クレデンシャルスタッフィング攻撃です。また、クレデンシャル・スタッフィングを行う主な動機はアカウントの発見/検証であり、最終的に販売可能な高品質のクレデンシャル・リストを開発することでもあります。
政府機関や金融機関はAuth0プラットフォーム上でもっともクレデンシャル・スタッフィング攻撃の標的とされた数字を記録しました。あるアメリカの金融機関は、 クレデンシャル・スタッフィングによるログイン試行回数が全体のログインの70%を超える日が継続してみられました。
このようなID管理への脅威は、ごく一部に過ぎず、実績のある最適なID管理ツールを導入することで、データ漏洩などのセキュリティ・リスクが大幅に減少できます。
Auth0(オースゼロ)について
Auth0 の認証プラットフォームは、Okta の独立した製品ユニットであり、認証に対して最新のアプローチをとり、組織があらゆるユーザーに対してあらゆるアプリケーションへの安全なアクセスを提供することを可能にします。Auth0 認証プラットフォームは高度にカスタマイズ可能なプラットフォームで、開発チームが望むだけのシンプルさと、必要に応じた柔軟性を兼ね備えています。毎月何十億ものログイントランザクションを保護する Auth0 は、利便性、プライバシー、セキュリティを提供することで、お客様がイノベーションに集中できるようにします。詳細はhttps://auth0.com/jp/をご確認ください。