直接自律検証システム
直接自律認証システム(ちょくせつじりつけんしょうシステム、英語: Direct Autonomous Authentication、DAA)は、サンフランシスコを拠点とするテクノロジー企業のAveronにより開発されたサイバーセキュリティ・プラットフォーム。[1][2][3]直接自律認証システム(DAA)は、モバイルユーザーのプライバシーを保護しながら、同時に安全な認証システムを可能にするプラットフォームである。[4][5] この技術は、2015年末より内密に開発され、2018年にAveronより初めて公の場で発表された。2018年のコンシューマー・エレクトロニクス・ショーでは、年々増加し続けるサイバー犯罪や消費者のアカウントハックなどの脅威に立ち向かう画期的な新しいテクノロジーとして特に注目を浴びた。[6]
概要
[編集]サイバーセキュリティにおけるレガシーシステムとは対照的に、DAAプラットフォームはエンドユーザー・アクションを回避するものである。また、DAAはユーザーのデバイス認証に重きを置かず、代わりにユーザーの携帯電話番号の自律認証を提供する。これは、たとえ携帯電話を紛失、破損、アップグレードした場合でも、携帯電話番号とユーザーの関連性は持続するためである。 [7]
DAAシステムはAveronの開発した特許技術を組み合わせたものであり、すべてのスマートフォン上に既に組み込まれている暗号化技術と共に安全なモバイルネットワーク・データパイプラインで機能するようになっている。これらの自律認証システムの組み合わせは、従来のシステムよりも迅速、安全、かつ強化されたサイバーセキュリティシステムであると複数のリサーチアナリストが述べている。[8]
歴史的背景
[編集]従来のサイバーセキュリティシステムでは、ユーザーの個人情報漏洩という予期せぬ結果を招く場合があった。これはユーザーのアイデンティティ(名前、生年月日、バイオメトリクス認証情報)、ユーザーの有する知識(パスワード、ユーザー名、セキュリティ認証の質問とその回答情報)、またはユーザーの所有物(キーカード、デバイス、身分証明書)などの個人情報の開示をシステムが要求することが理由である。これらのレガシーシステムにおいて、ユーザー認証情報が盗用されたり「なりすまし」に悪用される被害は年々拡大している。これらの認証情報は、ハッキングなどにより一度不正アクセスされた場合、それ以降安全に使用することができなくなる。[9][10]
OTP(携帯電話用ワンタイムパスワード・アプリケーション)、公開鍵基盤、SMSコードによる二要素認証のインプリメンテーションなどを含むモバイルセキュリティにおけるその他の従来のシステムはユーザー側の付加的な努力を必要とするため、システム導入率の低下や安全なインターフェースの減少に繋がり、システムの元来の目的を損なう結果となった。携帯電話を利用したこのような他要素認証システムの多くにおいては、エンドユーザーはユーザー名とパスワードを入力した後、SMSメッセージで受信したコードをデータフィールドに入力、さらにアカウントにログインまたはトランザクションを許可するためにボタンを押す必要がある。[11] [12]
しかし、2017年のSWIFTを経由したサイバー攻撃発生を受けて、SMSが安全なメッセージングネットワークではないという事実が表面化したため、SMSの放棄を促す動きが高まっている。[13]アメリカ国立標準技術研究所(NIST)は、SMS技術における違反行為が増加し続ける状況を懸念し、SMSを基盤とした二要素認証システムには安全性に問題があるため放棄すべきであるとの警告を2016年及び2017年に二度にわたり表明している。 [14]
SMSを含め、サイバーセキュリティの様々な種類のレガシーシステムは、ネイティブのアイデンティティ層がインターネットに存在しないことに対する対応として生まれたものである。[15]初期には、場所やサーバーの種類にかかわらず誰にでもすぐにアクセスすることができるという点でインターネットにおける匿名性を便利なものと見る風潮もあった。しかし、アイデンティティ認証の不在におけるこのような利便性は、何者かが自身のアイデンティティと居場所を偽って他の人物になりすますことを可能にし、インターネット上での不正行為の増加に繋がるという結果を導いた。このため、企業、政府、及び個人のすべてが年々増加し続けるサイバー犯罪に頭を悩ませている。インターネットプロトコルのHTTPSは、インターネットのデータパケットの信頼性を確保する役割を果たすと考えられてきたが、実はそういった事実は存在せず、データパケットの送信者が提示する個人情報が信頼性のあるものであるかを検証することは不可能である。[16] [17]
ブロックチェーンとプライバシーの権利
[編集]DAAプラットフォームにブロックチェーン技術が組み込まれることで、エンドユーザーのプライバシー保護が可能となる。プラットフォーム上に個人情報が保持されることはないため、個人の実名を含む情報の公開(ソーシャルメディアにおける検証制のコミュニケーションなどを目的とするもの)はユーザーが自主的に決定することができる。DAAシステムは、オンライン上のすべてのコミュニケーションにおける個人情報公開に関連する決定権をエンドユーザーに委ねている。このため、自身に関する情報を完全に匿名に設定、または公開に設定することも、エンドユーザーの自由意志で決定することができる。 [18] 例えばエンドユーザーが告発者や政治活動家であるためにその人物の安全を考慮して匿名性が必要となる場合には、DAAプラットフォームのブロックチェーン技術は、完全な匿名性、及び、必要となりがちな特定の情報の自主検証(例えば、匿名ユーザーの大まかな位置情報の検証確認など)というオプションの両方を提供する。このように、認証の必要性におけるユーザーのプライバシー保護という、これまでの難題にDAAシステムは解決の一歩をもたらした。[19]
使用例
[編集]DAA技術プラットフォームは、モバイルユーザー認証を必要とするあらゆる業界と使用例において、スムーズな実用化を可能にするよう構築されている。[20][21]
評価
[編集]2018年の市場公開以降、DAAプラットフォームのイノベーションは多くの業界から評価されており、2018年度エジソン賞、サイバーセキュリティ・エクセレンス・アワード、BIGイノベーション2018アワードでゴールド賞を受賞している。[22][23][24][25]
参考文献
[編集]- ^ “Bloomberg Research” (英語). Bloomberg.com (2017年11月29日). 2018年10月16日閲覧。
- ^ Marinova, Polina (2017年10月30日). “Term Sheet Monday” (英語). Fortune.com. 2018年10月16日閲覧。
- ^ Butcher, Mike (2017年10月28日). “TechCrunch: The Key to ID Online” (英語). techcrunch.com. 2018年10月16日閲覧。
- ^ Bekker, Garrett (2018年1月30日). “451 Research Analyst Report” (英語). 451 Research. 2018年10月16日閲覧。
- ^ Kellet, Andrew (2018年3月21日). “Ovum Report: On The Radar” (英語). ovum.com. 2018年10月16日閲覧。
- ^ Alspach, Kyle (2018年1月11日). “10 Coolest Products at CES 2018” (英語). CRN. 2018年10月16日閲覧。
- ^ Williams, Sean (2017年11月2日). “UX Now Crucial Element in Cybersecurity” (英語). redherring.com. 2018年10月16日閲覧。
- ^ Bekker, Garrett (2018年1月28日). “Averon offers frictionless mobile authentication” (英語). 451 Research. 2018年3月16日閲覧。
- ^ Webster, Karen (2018年3月26日). “Mobilizing the Wireless Identity Network” (英語). PYMNTS.com. 2018年10月16日閲覧。
- ^ Schneider, Fred (2005年1月26日). “Something You Know, Have or Are” (英語). Cornell University. 2018年3月10日閲覧。
- ^ Brandom, Russell (2017年7月10日). “Two-Factor Authentication is a Mess” (英語). The Verge. 2018年3月10日閲覧。
- ^ “Amid Fake News Crisis, A New Cybersecurity Identity Platform” (英語). oneworldidentity.com (2018年3月21日). 2018年10月16日閲覧。
- ^ Finkle, Jim (2017年11月28日). “Cyber Heist Warning” (英語). Reuters. 2018年3月16日閲覧。
- ^ Townsend, Kevin (2016年8月17日). “NIST Denounces SMS 2FA” (英語). Security Week. 2018年3月10日閲覧。
- ^ Grossman, Wendy (2016年4月1日). “Trust Who You Are Online With” (英語). Infosecurity. 2018年3月16日閲覧。
- ^ Isaacson, Walter (2016年3月4日). “The Two Original Sins of the Internet” (英語). Aspen Institute. 2018年3月16日閲覧。
- ^ Nagle, Dan (2015年7月8日). “Packet Sender Documentation” (英語). Packet Sender. 2018年3月16日閲覧。
- ^ “Salesforce CEO Marc Benioff Invests in Mobile Identity Startup Averon” (英語). martechseries.com (2018年3月22日). 2018年10月16日閲覧。
- ^ Bekker, Garrett (2018年1月28日). “Averon offers frictionless mobile authentication” (英語). 451 Research. 2018年3月16日閲覧。
- ^ Elitzer, Dan (2017年4月11日). “Digital Identity Is Broken, But We Can Fix It” (英語). Medium. 2018年3月16日閲覧。
- ^ Bekker, Garrett (2018年1月28日). “Averon offers frictionless mobile authentication” (英語). 451 Research. 2018年3月16日閲覧。
- ^ “Edison Awards 2018 Winners” (英語). tmcnet.com (2018年4月17日). 2018年10月16日閲覧。
- ^ “Gold Edison Award 2018” (英語). tmcnet.com (2018年4月17日). 2018年10月16日閲覧。
- ^ “BIG Innovation Winners 2018” (英語). bintelligence.com (2018年2月7日). 2018年10月16日閲覧。
- ^ “Cybersecurity Excellence Awards” (英語). oneworldidentity.com (2018年5月3日). 2018年10月16日閲覧。