世界がパスワード不要でスムーズなユーザー認証システムへと移行する中、IDアクセス管理プロバイダーのPing Identityは、分散型ID管理を採用するサイバーセキュリティベンダーの仲間入りを果たしました。同社は、マルチスタンダードソリューション「PingOne Neo」の初期バージョンを提供しています。
分散型アイデンティティとは何ですか?
アイデンティティ・アクセス管理(IAM)は、多くの場合、企業が保管する個人認証データを用いた複雑なハンドシェイクを必要とします。ユーザーによる多くの手作業が必要となるだけでなく、企業が保有する膨大な個人データは、潜在的なデータ漏洩の脅威となる広大な領域となり、ユーザーと企業の両方にとってリスクを増大させます。
分散型IDソリューションの登場です。ID認証を各企業が認証情報を発行する代わりに、IDはネットワーク全体に分散されます。ブロックチェーン技術を採用しているため、セキュリティは極めて高く、ハッキングも困難です。各ユーザーは分散型識別子(DID)を管理できるため、中央集権的なID管理機関は不要になります。
ポータブルでスケーラブルなソリューション
ガートナーは2022年のレポートで、ユーザーが新しいサービスプロバイダーごとに現実世界のアイデンティティを証明しなければならないという一般的なIAMパラダイムは、「デジタル化のスピードを考えると拡張性に欠ける。長期的には、現在のユースケースと進化するユースケースの両方をサポートするには、ポータブルなデジタルIDソリューションが必要になるだろう」と指摘しました。
分散型アイデンティティソリューションはポータブル、つまり「BYOI」モデルであり、「ユーザーのアイデンティティデータは通常、中央集権的な第三者によって保持されるのではなく、ユーザーのデジタルアイデンティティウォレットにローカルに保存され、基盤となる台帳(ブロックチェーン)インフラストラクチャを使用して管理されます」とガートナーは述べています。
また、各証明書発行者(銀行、小売業者、健康保険会社など)にデータを配布する必要がないため、ユーザーデータの露出が少なく、より安全です。自己主権型アイデンティティ(SSI)の一種である分散型アイデンティティでは、ユーザーが複数のソースから取得した認証情報をデジタルウォレットに保存することで、自身のアイデンティティを管理できます。ユーザーがウォレットに保存されている検証データを共有する必要がないため、分散型アイデンティティは取引詐欺の削減にもつながります。
デジタルIAMではマルチスタンダードな運用性が重要になる
PingOne Neoは、ユーザーが組織内外を問わず、認証を簡素化します。PingOne Neoプロダクトリードのダレル・ゲウス氏によると、これは複雑なバックエンド統合を必要としないためです。ゲウス氏によると、この技術により、ユーザーは組織に対して検証可能な暗号署名付きの認証情報をリクエストできます。この認証情報はユーザーのデジタルウォレットに追加され、それを必要とする企業と共有できるため、ユーザーは共有される情報を完全に制御できます。
Ping Identityによると、PingOne Neoは、ワールドワイドウェブコンソーシアム、OpenID Foundation、国際標準化機構(ISO)が策定した、一般的な分散型ID標準やその他のID標準をサポートする、オープンで相互運用可能なプラットフォームの構成要素です。Ping Identityは、オープンソースソフトウェアを通じてデジタルウォレット間の相互運用性をサポートするOpen Wallet Foundation Initiativeの主要貢献者でもあります。
「すべて標準規格に基づいているため、完全な相互運用性を実現しています」とゲウス氏は述べた。「ウォレットに認証情報を入れておけば、標準規格に応じてあらゆるやり取りが可能になります。W3C規格では、すべてQRコードベースです。あるいは、OpenID Connectの証明書ベースの認証も使用できます。モバイル運転免許証が基盤としているISO規格では、Bluetoothや近距離無線通信技術を用いて対面で取引を行い、情報を共有することも可能です。」
ゲウス氏によると、PingOne Neoはパスワードレス認証のトレンドに乗っているという。「当社のお客様のほとんどはパスワードレス認証を採用しています」と彼は述べた。「今ではユーザー名さえも不要になる仕組みがあります。Neoもそれに対応しており、ログイン時はパスワードレスで済みます。」
参照:これらのパスワードの使用を考えているなら、やめましょう。(TechRepublic)
多くの錠前に合う鍵としての分散ID
Ping Identity は、Microsoft、Okta、ForgeRock、OpenID など多数のプロバイダーで構成される、競争の激しい ID 管理市場 (ID サービス エコシステム) における市場シェアのリーダー企業の 1 つです。
「当社の最大のセクターの一つは、従業員向け、個人向け、あるいはその両方でPingを採用しているグローバル銀行です」とゲウス氏は述べた。「また、小売、ヘルスケア、製造、運輸といった分野でも大きな存在感を示しています。世界中で35億人のIDがPingのソフトウェアプラットフォーム上で管理されています。」
ガートナーは昨年、やり取りをオンラインに移行するよう圧力をかけられている組織は、ユーザーとの摩擦を生じさせることなく、ユーザーの信頼に関する問題に対処するという矛盾に直面していると報告しました。「組織は、現在市場に出回っている多数のID検証ベンダーを区別することが困難になっています。精度と機械学習の能力に関するマーケティング上の主張は、どれも区別がつきません」と、市場コンサルタント会社であるガートナーは2022年3月の調査で述べています。
同社は、2025年までに「ビジネス、個人、社会、社会、そしてアイデンティティが見えないユースケースに対応する」ポータブルな分散型アイデンティティのグローバルスタンダードが出現すると予測している。
「今、サードパーティのウォレットに認証情報を発行できるようにする標準規格が策定されつつあり、年末までに完成する予定です」とゲウス氏は述べた。ユーザーがID認証情報を発行されると、従業員用アプリなどのモバイルアプリを使って、ウォレットと認証情報発行機関を連携できるようになるという。
ゲウス氏によると、PingOne Neoは、ウォレットの認証ソフトウェアと連携できるタッチIDや顔認証といったデバイス側の生体認証もサポートしているという。「しかし、サーバー側の生体認証もサポートしています。PingのバックエンドスタックとSaaS(Software-as-a-Service)には、セルフィーマッチング機能に加え、コールセンターやヘルプデスクサポート向けの音声認証機能も搭載しています。」ゲウス氏によると、認証情報に写真を埋め込むことで、TSA(米国運輸保安局)のチェックポイントでモバイル運転免許証と同様の機能を実現できるという。
「デジタル認証情報を提示すると、写真も一緒に表示されるため、ウェブベースの技術を使ったオンライン、あるいは対面での生体認証によるリアルタイム照合が可能になります」と彼は述べた。「つまり、バックエンドに写真を保存する必要はありません。写真をデジタル認証情報とユーザーのモバイルデジタルウォレットに保存するだけで、デジタル運転免許証のように提示できるようになります。」
Ping Identityの目標:信頼へのスピード
これらすべては、(潜在的な)現実世界ではどのように見えるでしょうか?ゲウス氏は次のようなシナリオを提案しています。あなたは大手風力タービンメーカーの顧客である電力会社にサービスを提供する立場です。タービンの1基が故障し、一刻を争う状況に陥ります。
「現在、技術者が風力発電所に到着すると、修理に必要な物理的アクセスとデジタルアクセスの両方ができるようになるまで、その技術者が誰なのかを特定するのに何時間もかかることがあります。資格を持っているのか?特定の風力タービンのモデルを扱う許可を得ているのか?本当にベンダーの社員なのか?もしかしたら下請け業者、あるいは第三者なのか?」とゲウス氏は語った。
スマートフォンをタップするだけで、メーカーが検証した認証情報を瞬時に提供できたらどうでしょうか。「ダウンタイムはどれくらいでしょうか?ゼロです。これが信頼へのスピードです。信頼へのスピードを上げることができれば、ビジネスに大きなメリットをもたらします。」
競争の激しい市場で意思決定者がIAMソリューションを選択する方法
本人確認・検証市場は規模が大きく、数十のベンダーが存在します。ガートナーはレポートの中で、セキュリティおよびリスク管理のリーダーは以下を行うべきだと述べています。
- 「ID と自撮り」の形式での本人確認が本当に必要かどうか、または複数の本人確認手段の組み合わせで十分かどうかを検討して、ユーザー エクスペリエンスと信頼の要件のバランスを取ります。
- 悪意のある人物がユーザーの個人情報を簡単に入手できることを考慮すると、データ中心の確認だけに頼るのは注意が必要です。
- リスクを管理するために、ID 証明、不正検出、ユーザー認証機能をリンクするオーケストレーション レイヤーを使用します。
- 異なるベンダーの精度を比較するのは困難です。現実的ではない可能性も認識し、導入の容易さ、UXの最適化、データソースへの接続性、類似のプロファイルを持つクライアントからの推薦といった側面に焦点を当てましょう。
- 既存の新しいポータブル デジタル ID スキームがユーザー ベース内に十分に浸透している場所で、そのスキームを活用する方法を検討して将来に目を向けます。
- 提供される ID 保証のレベルがニーズに十分かどうかを評価します。
- ポータブルなデジタル ID を通じて得られる UX の向上を活用します。
