デジタル・アイデンティティのセキュリティを考える#1　デジタル・アイデンティティで考慮すべきセキュリティとは？

私たちは常にインターネットと関わって日常生活を送っています。
移動中にネットニュースを見る、気分転換にYouTubeを楽しむ、感じたことをTwitterでツイートする、ECサイトで買い物をする、メッセンジャーで友達とコミュニケーションを取る、仕事ではメールはもちろん、TeamsやZoomでオンライン会議をする......。
このような利用者側の動きは、サービス提供者側に把握されています。

そして多くの組織でも、デジタルビジネスを推進するために、利用者の「デジタル・アイデンティティ」を保有し、その情報を活用している、もしくは活用しようとしているのではないでしょうか。当記事では、数回に分け、デジタルビジネスにおいて、サービス提供者側がデジタル・アイデンティティを保護するために必要なセキュリティを考えていきます。

デジタル・アイデンティティとは？

本題に入る前に、デジタル・アイデンティティとは何か、アイデンティティとは何かをお話しします。「デジタルのアイデンティティ」なので、アイデンティティが主体になります。分かりやすい例として、免許証で説明してみましょう。

これらの属性（Attribute）の集合がアイデンティティになります。免許証はアイデンティティに対する付随情報（メタデータ）になります。
免許証のような実態に関する属性情報の集合をデジタルで処理可能なものにしたのが、デジタル・アイデンティティとなります。実体は人である必要はなく、会社、モノ、コンピューターなども実体となり、それぞれアイデンティティを持つことになります。

GAFAM成功の要因

Google、Apple、Facebook、Amazonの頭文字をとった「GAFA」。後にMicrosoftも加えて「GAFAM」と呼ばれるようになりました。GAFAMは「デジタル・アイデンティティを中心とした」ビジネスといえます。
冒頭で述べた通り、インターネットを中心に日常生活を送るようになった今、GAFAMはインターネット経由でデジタル・アイデンティティを把握したことが成功の要因と言えるのではないでしょうか。

Amazonは利用者の購入履歴を把握し、Googleは検索履歴に則した広告を表示します。Facebookも同様にパーソナライズが進み、Microsoft Officeは従来PC（デバイス）に紐づくライセンスを提供してきました。しかし、Microsoft 365では、ユーザーライセンスのみの提供となっています（実際には、Microsoft 365のライセンスについては、公開されていませんが、デバイスライセンスは存在します）。

IDはデジタルビジネスの中核であり、IDを中心に考えるべきではないか、というのは、下記の記事でもお話してきました。

社内の情報システムで考えてみる

コロナ禍でリモートワークが必要となり、VPNの問題が顕在化しました。
これにより、"やむをえず"ゼロトラストが加速しました。

ゼロトラストを実現するための多くの製品がリリースされておりますが、ゼロトラストの基本は"都度認証"です。
この、都度認証しましょうというアプローチは、ラックではコロナ禍以前の、まだゼロトラストという言葉も登場していなかった2017年～2018年に取り組んだことがあります。

当時、驚くほど共感を得られなかったと記憶しています......。

なぜ共感を得られなかったか？

なぜ共感を得られなかったかを思い返してみると、当時はゼロトラスト以前の時代でした。境界型防御が主流で、「社内にいれば安心。通信で止められる」という認識があったのはもちろんです。これに加え、欧米とは個人への責任の帰属が異なる、個人主義か集団主義かでいうと、日本は集団主義であり、社員の行動は会社の責任といった文化であることもあげられると考えます。

クレデンシャルスタッフィング攻撃の増加

デジタル・アイデンティティを狙ったサイバー攻撃はどのくらいあるのでしょうか？デジタル・アイデンティティを狙った攻撃としては、クレデンシャルスタッフィング攻撃、いわゆるリスト型攻撃があります。私のこれまでの記事でもご紹介していますが、アカマイ・テクノロジーズのレポートがこちらです。

Web攻撃は当然増加しているとして、クレデンシャルスタッフィング攻撃は360％も増加しています。
最近では、さすがに多要素認証も一般的になってきており、すべての攻撃が成功しているわけではないとも考えられます。それでもなぜ攻撃が増えているかというと、攻撃者にとって高く売れるからです。

デジタル・アイデンティティで考慮すべきセキュリティとは？

Digital Identity Modelの3フェーズ（Identity、Authenticator、Federation）、それぞれでAssurance Level（保証レベル）を定義し、レベルごとにサブドキュメント化することで、サービスの内容に合わせ、各フェーズのレベルをより実際に合わせて組み合わせていく必要があると、NIST SP800-63に記載があります。

ゼロトラストでは？

ゼロトラストは、Forester Research社のジョン・キンダーバーグ氏が提唱した概念です。理解を深めていく際には、米国国立標準技術研究所（NIST）が発行するSP800シリーズの「NIST SP800-207」を使うケースが多くあります。
前章のとおり、認証についてデジタル・アイデンティティを中心に記載したNIST SP800に、「NIST SP800-63 Digital Identity Guidelines」があります。初版は2003年と、ゼロトラストよりもはるかに歴史があります。

ゼロトラストが一般的になってきたところで、再度、「NIST SP800-63 Digital Identity Guidelines」を基本として、デジタル・アイデンティティについて考えてみませんか？
次回は、「NIST SP800-63 Digital Identity Guidelines」の概要についてお話します。