パスキーは、フィッシング対策に優れた認証モードを提供します。Microsoft、Apple、Googleといったテクノロジー大手が支援するパスキーは、デジタルデバイスまたはハードウェアデバイスに保存された暗号化された認証情報を活用し、サイバー攻撃の主要な攻撃経路となるパスワードや脆弱な多要素認証方式に代わるものです。
アジア太平洋地域ではパスキーの普及が進んでいるものの、オーストラリアではパスキーの導入は比較的遅れています。公共部門では、MyGovがオンラインサービスにパスキーログインを導入したのはつい最近のことです。銀行部門では、ワンタイムパスコード(OTP)多要素認証がオーストラリア市場で依然として事実上の認証方式となっています。
ハードウェアにバインドされたパスキーを提供するユビコのアジア太平洋および日本担当副社長、ジェフ・ションバーグ氏は、導入の障壁として、公共部門におけるサイバーセキュリティの成熟度の低さ、銀行部門における顧客体験への懸念、パスキーの展開が技術的に複雑であるという不当な認識などを挙げた。
PasskeyテクノロジーとYubiKey製品がアジア太平洋地域で成長
Yubicoのビジネスは、Googleと協力してYubiKeyに公開鍵暗号を統合し、新しい認証プロトコルを開発したことで飛躍的に成長しました。Googleが全従業員にYubiKeyを配布することを決定したことで、Amazon、Facebook、Uber、Microsoftといった世界的なテクノロジー企業も追随しました。
「ほぼすべての世界的なテクノロジー企業が、自社のビジネスで大規模にそれを使用している」とションバーグ氏は語った。
アジア太平洋地域では、グローバルアウトソーシングがインドとフィリピンでのYubiKey導入を促進しています。日本、東南アジア、シンガポール、オーストラリアでは、オーストラリアのAtlassianのような企業が従来の認証方法よりも優れたセキュリティ上のメリットを求めているため、導入が「加速している」とションバーグ氏は述べています。
参照: パスキーとは何か、どのように、なぜ
大手テクノロジー企業は、パスキーの普及拡大を後押ししています。2024年、マイクロソフトはBing、Microsoft 365、Xbox.comなどのサービスでユーザーパスキーの利用を開始しました。これにより、Adobe、Amazon、Apple、Google、Hyatt、任天堂、PayPal、PlayStation、Shopify、TikTokといったグローバルブランドに加え、Bing、Microsoft 365、Xbox.comなどのサービスでもパスキーの利用が可能になりました。
パスキーのオープンスタンダードを作成し推進するオープン業界アライアンスであるFIDOアライアンスによれば、パスキーの範囲は2024年7月までに130億アカウントにまで拡大した。
しかし、オーストラリアではパスキー技術の利用は伸びていません。パスキーが技術的に利用可能になれば、フィッシングの蔓延を阻止するためにパスワードの導入と置き換えが早まると期待されていますが、オーストラリアではこれまでのところ進展が遅いのが現状です。
サイバーセキュリティの成熟度が促進する政府によるパスキーの導入
MyGovは、世界で初めてユーザー向けにパスキーオプションを導入したデジタル政府サービスの一つです。オーストラリアの政府サービスの中心的なポータルとして、この導入はパスキーに関する意識を高める上で重要な一歩となりました。また、この取り組みはオーストラリアのサイバーセキュリティ戦略2023-2030にも沿っています。
政府は、1週間以内に2万人がパスキーを設定するなど、好調なスタートを切ったと発表した。
他の機関にも取り組むべき課題があります。リアルタイムフィッシングやソーシャルエンジニアリング攻撃の影響を受けやすい脆弱なMFA実装に対抗するため、2023年11月に更新が行われ、オーストラリアのサイバーセキュリティフレームワーク「Essential Eight」の成熟度レベル2では、フィッシング耐性のあるパスワードの使用が義務付けられました。
しかし、2023年11月に発表された最新の連邦サイバーセキュリティ態勢レポートによると、成熟度レベル2に達した機関はわずか25%にとどまりましたが、これは2022年のわずか19%から改善された結果です。
ションバーグ氏は、公共部門におけるサイバーセキュリティの成熟度は政府の三層構造によって異なり、連邦政府機関が先頭に立っていると説明した。地方自治体は規模が小さく、より自立性が高い傾向があり、より強力な多要素認証(MFA)のないユーザー名とパスワードに大きく依存している。
銀行部門の内部MFAが消費者向けサービスをリード
オーストラリアの銀行業界はサイバーセキュリティ対策において先進的ですが、顧客認証にパスキーを導入する動きはまだありません。銀行業界では依然としてワンタイムパスコードに依存しています。これはMFAの一種で、パスワードのみよりも効果的ですが、フィッシング攻撃に対して依然として脆弱です。
注目すべき例外は、2024年8月にパスキーを導入したデジタル銀行のUbankだ。同行は、2023年にオーストラリア人が詐欺で27億ドルの損失を被ったことを導入の理由として挙げ、パスキーによって「犯罪者が盗んだユーザー名とパスワードを使ってアカウントにアクセスすることがより困難になる」と述べた。
参照: パスワードレス認証の5つのメリット
ションバーグ氏によると、銀行は一般的に、従業員向けに何らかの形のMFAを社内に導入している。しかし、より高いレベルのセキュリティ成熟度を達成するには、MFAにフィッシング耐性が必要であるという認識も高まっている。Yubicoは、オーストラリアの大手銀行数行と協力し、次のステップに向けて取り組んでいる。
パスキーの採用と実装の障壁
政府機関や銀行は、パスキーを実装するためにいくつかの障壁を克服する必要があります。
認識されている複雑さと利便性:従来の認証方法と比較して、パスキーや YubiKey などの物理的なセキュリティ キーは複雑で利便性が低いと認識されています。
変更管理:パスキーを実装する IT およびセキュリティ リーダーは組織の変更に適応する必要があり、従業員の抵抗につながることがよくあります。
ユーザー教育と認識:従来の認証方法よりも安全で便利であることなど、パスキーの利点と利便性についてユーザーを教育する必要があります。
レガシー システムとの統合:銀行業務では、既存のオンライン プラットフォームやアプリケーションの多くが個別に開発されているため、パスキー サポートを統合することは技術的な課題のように思えるかもしれません。
顧客体験:銀行は顧客体験に非常に敏感であり、顧客が既存のプロセスに適合している場合、認証に関する新しい要件を導入することには消極的です。
パスキーを効果的に実装する方法
ションバーグ氏は、パスキーを導入する組織は以下を行うべきだと述べています。
認識された障壁によって阻止されない
ションバーグ氏によると、パスキー導入に対する認識上の障壁は、実際の技術的課題よりも大きい場合が多いという。彼は組織に対し、潜在的な問題をためらったり心配したりするのではなく、「まずは導入の旅を始める」べきだと促した。そうすれば、技術的な解決策は明らかになるはずだ。
メリットに焦点を当てる
パスキーのメリット(従業員と顧客にとってのセキュリティと利便性の向上など)は、多くの場合、認識されている障壁を上回ります。ションバーグ氏は、組織がパスキーの導入を開始すれば、そのメリットによって導入が加速するだろうと主張しています。
教育と意識向上を優先する
従来の認証方法と比較したパスキーの利点について、ITスタッフとエンドユーザーの両方に啓蒙することが重要です。社内および一般ユーザーへの継続的なコミュニケーションと啓蒙活動は、長期的にパスキーの普及を促進するのに役立ちます。
小さく始めて勢いをつける
この技術とその利点への理解が広がれば、より広範な導入が促進される可能性があります。MyGovのような政府機関がパスキーの普及を推進し続け、企業におけるパスキーやYubiKeyのようなハードウェアベースの認証デバイスの利用が拡大するにつれ、早期導入者は他のユーザーにもパスキーの導入を促す可能性が高くなります。
