何年も悲観的な予測が続いてきたが、脆弱なアイデンティティ管理によって生じる問題が英国全土の企業に影響を及ぼしつつある。
彼らの不安は、犯罪者によるものではなく、今や企業のメールボックスに届いているEUの法律の中でも大いに議論されている「一般データ保護規則(GDPR)」を何年もかけて改良してきた官僚、法律制定者、政治家によるものだ。
GDPRがもたらす多くの複雑な影響の中でも、最も重要なものの一つは、データ侵害への対応方法への影響です。英国ではこれまで、データ侵害の報告は、ベストプラクティスとして影響を受けた組織に委ねられており、個々の顧客への通知を義務付ける法的根拠はほとんどありませんでした。
GDPRはこれらすべてを変えます。個人の権利と自由が侵害された可能性がある場合、規則に違反した企業には多額の罰金が科せられる可能性があります。機密性の高い顧客データが公衆に漏洩する可能性のあるチャネルが数多くあることを考えると、企業が懸念を抱くのも無理はありません。
英国では、他の国と同様に、かつてはデータの盗難は主にインターネットに接続されたセキュリティが不十分なデータベースから行われていました。例えば、2015年にTalkTalkがSQLインジェクション攻撃によって15万7000人のユーザーの金融情報を盗まれた事件が挙げられます。2年後、TalkTalkは自らの代償を払うことになる、セキュリティが不十分な第三者によってデータが盗まれた事件を経験しました。
また、実際には発生していないものの不安を広めた事件もある。例えば、2017年後半に運送会社クラークソンズが、ランサムウェア攻撃後に攻撃者が不特定のデータを公開しようとしている可能性があると発表した事件などだ。
PwCの報告書によると、情報コミッショナー事務局による執行措置は2016年に倍増して35件となった。同年に課された罰金は320万ポンドとわずかな額に思えるかもしれないが、GDPRの厳格な規則に基づいて執行された場合、数十億ポンドに達する可能性がある。
認証、認証
データ パートナーに対してもう少しデューデリジェンスを実施し、開発者データベースの障害を修正し、顧客データをオープン状態の Amazon S3 バケットに放置しないように注意するだけで済むのであればよいのですが。
GDPR第5条F項は、顧客データの概念が多くの人が予想する以上に複雑である可能性を示しています。同条では、データは「適切な技術的または組織的措置(「完全性および機密性」)を用いて、不正または違法な処理、ならびに偶発的な紛失、破壊、または損傷からの保護を含む、個人データの適切なセキュリティを確保する方法で処理されなければならない」と規定されています。
かつてデータ侵害とは、偶発的または犯罪行為の結果として、データの一部分が公衆の領域に漏洩したインシデントを指していました。GDPRでは、オンライン銀行口座の乗っ取りなどの犯罪行為の結果として漏洩した場合でも、すべてのデータの損失を含むように範囲が拡大されています。
未知の世界です。フィッシングや認証情報の盗難によるアカウント乗っ取りは、コンピュータセキュリティの弱さを示す兆候ですが、これまで侵害として報告されることはほとんどありませんでした。
しかし、セキュリティの弱さは、ID 検証や認証を含むプロセス全体に影響を及ぼします。これはまさに、多くの組織が苦労しているセキュリティ チェーンの一部です。
ずさんなコーディング + PSD2 の大幅な変更 = 来年の銀行開発者は夜遅くまで働くことになる
続きを読む
企業にとってさらなるプレッシャーとなるのは、同じく2018年に施行されるEUの改訂版決済サービス指令(PSD2)の登場だ。PSD2の下では、銀行は顧客データに対する独占権を失い、第三者は一連のオープンAPIを通じて顧客データにアクセスできるようになる。
強力な顧客認証 (SCA) は、本人確認や顧客確認 (KYC) テクノロジーのプロバイダーが回避できないほど差し迫った要件になります。
GDPRの64条前文は、これを非常に明確に述べています。「管理者は、特にオンラインサービスやオンライン識別子の文脈において、アクセスを要求するデータ主体の身元を確認するために、あらゆる合理的な手段を講じるべきである。管理者は、潜在的な要求に対応することのみを目的として個人データを保持すべきではない。」
実際には、たとえ 1 人の顧客の個人情報の漏洩であっても、小規模なデータ漏洩としてカウントされます。
オリジナルSIM
顧客が、古い知識ベースの認証から多要素認証オプションの混乱を招く組み合わせまで、さまざまなテクノロジーを通じて自分自身を認証しなければならない世界では、この可能性に適応するのは困難です。
あらゆる認証システムにとって大きな面倒なのはアカウントのリセット プロセスであり、これはサイバー犯罪者がずっと以前に弱点として見抜いていた日常的な作業です。
一例として、SIMスワップ詐欺の蔓延が挙げられます。これは、犯罪者が携帯電話会社を騙して、例えばSIMカードを紛失したなどと偽って、現在使用中のSIMカードを無効化させ、自分の所有するSIMカードで再有効化させるというものです。こうして、ワンタイムパスワードは正規の顧客ではなく、犯罪者に送信されます。
2016年1月時点で、米国連邦取引委員会はSIMスワップ詐欺の報告件数を2,600件と報告していましたが、これはおそらく大幅に過小評価されていたでしょう。同年後半、米国国立標準技術研究所(NIST)は突如としてSMS認証を廃止し、それ以来、多くのプロバイダーがこの技術から撤退しました。
これを修正できるものは何でしょうか?企業は、安全であるだけでなく、遅延を回避したり、顧客が対処するには複雑すぎない代替手段を切望しています。
これは非常に大きな要求です。GDPR 準拠の時代に機能するシステムは、ユーザー オンボーディング、KYC コンプライアンス、および ID 検証を統合し、アカウント乗っ取り詐欺を何らかの方法ですべて 1 回で阻止できなければなりません。
従来の解決策は、銀行が市場に参入する際にセキュリティを多層的に導入することでした。HSBCのファースト・ダイレクトが顧客認証にAppleのVoiceとFace IDを採用したのもその一例です。2018年には、同行はApple製品に組み込まれた認証技術を活用したSiriによる決済サービス「Pay by Siri」を導入しました。
素晴らしいですが、依然として、顧客が様々なプロバイダーの技術を利用し、本人確認がケースバイケースで行われるモデルです。一つの解決策は、プロバイダーではなく、顧客がどの認証方法を使用するかを決定することです。
例えば、FISとEquifaxのOnlyIDは、顧客がネットワークに参加しているeコマース事業者にオンボーディングや認証を行うことを可能にします。このアプローチで重要なのは、基盤となる予測分析や生体認証ではなく、技術の断片化を克服する「サービスとしてのアイデンティティ」というコンセプトです。
もう 1 つの方法は、オンライン企業が何らかの政府発行の ID の使用と、信頼性の高い形式の検証および認証を組み合わせることです。
今のところ、GDPRは非現実的な雰囲気を漂わせていますが、罰金が飛び交い、企業が顧客が使いそうな最もシンプルで安価なソリューションに群がるようになれば、状況は一変するでしょう。それまでは、今後問題が起こることは覚悟しておくべきです。®
