とりわけレポートは、パスワード主導のセキュリティ体制がいかに危機的状況にあるかを際立たせている。対象がHR領域寄りとはいえ、全般的な傾向は業種を問わず広がっているようだ。
・2024年には95%の組織がディープフェイクをともなうインシデントを報告している
・49%の企業が過去1年間にセキュリティ侵害を経験し、その87%がアイデンティティの脆弱性に起因していた
・上記侵害の47%は認証情報の不正使用、41%は特権アクセスの乱用、36%はソーシャルエンジニアリング攻撃、35%は2FAを回避される攻撃が原因だった
一方で良いニュースとしては、今回のレポート史上初めてパスワードレスやFIDOベースの認証方式(パスワードに代わって、パスキー、物理的セキュリティキー、デバイス認証などを使う方法)が大きな注目を集め始め、回答者の46%がすでに利用しているという点だ。
パスキーはパスワードの安全な代替手段として受容が進みつつある。「私たちは今まさに『アイデンティティのルネサンス』、つまり大きな変革期の只中にいます」と、HYPRのボヤン・シミックCEOは語る。「FIDOパスキーがもたらすフィッシング耐性のある認証は、単にパスワードを置き換えるだけでなく、アイデンティティ管理や検証のアプローチを根底から変え、デジタルアイデンティティの保護方法を再定義しようとしています」
それでもいまだに多くの組織が、時代遅れかつ危険だと証明されている認証手段を利用し続けていることを、Atlantis AIOのレポートは示唆している。HYPRの調べによれば、40%の組織がパスワードの利用をやめておらず、52%がパスキーよりも安全性に劣る2FA方式に依存しているという。
S&P Global Market Intelligence 451 Researchのプリンシパルリサーチアナリストであるギャレット・ベッカーは、「このレポートは、アイデンティティセキュリティにおける重要な転換点を浮き彫りにしている」と指摘する。そして「組織は現在、FIDOパスキーなどフィッシング耐性を備えた認証や、その他の最新のアイデンティティ検証ツールを将来的な目標ではなく、いますぐリスク軽減策の中核として導入すべきです」と続ける。そうしない限り、脅威はエスカレートし続けることになる。
消費者を含む誰もが今すぐパスワードの使用をやめる必要があるのは、ますます明らかになっている。少なくともこの件について声を大にしているのは、筆者だけではない。
