コンテンツにスキップするには Enter キーを押してください

NISTのデジタルIDガイドライン、脅威の状況に合わせて進化

投稿日 2025年8月15日

アイデンティティエコシステム全体のセキュリティ向上を目指し、米国国立標準技術研究所(NIST)はデジタルIDガイドラインを今月初めに更新しました。2017年以来初の改訂であり、多くの組織は自社のアイデンティティ戦略の一環として、特に大きな困難なくこの更新ガイドラインを導入できるはずです。

攻撃者は常にスキルを磨き、組織のアイデンティティおよびアクセス管理(IAM)プロトコルを回避しようとしています。これは重要なアクセス権を得るための鍵となります。また、人工知能(AI)によりフィッシング攻撃はさらに効果的になり、ディープフェイクが最もセキュリティ意識の高い人々さえも欺いています。パスワードレス技術などの新たな認証手段も登場していますが、導入の課題が普及の妨げとなっています

ディープフェイクの増加が新たな問題を生む

NISTの文書は、詐欺対策、「新たな攻撃を考慮した認証リスクおよび脅威モデルの更新」、FIDOパスキーのようなフィッシング耐性のある新しい認証オプションを強調しており、これらが組織が現在の脅威環境に対処するのに役立つとNISTは考えています。また、本人確認、登録用認証器、管理プロセス、認証プロトコル、フェデレーションのための技術要件も定義されています。本人確認における主な焦点は、ディープフェイクや合成IDを検出するための詐欺防止対策の強化にありました。

主な5つの変更点

予想通り、AIおよび機械学習のリスクも文書に盛り込まれました。「AI/MLのすべての利用は文書化され、これらのシステムに依存する組織に伝達されなければならない」とNISTは助言しています。さらに、IAMが不十分だと組織はデータプライバシーのリスクにさらされる可能性があり、特に組織間の連携が進む中でその傾向が強まっています。

更新されたガイダンスの主な5つの変更点:

  1. 加入者が管理するウォレットをフェデレーションモデルに追加

  2. 同期可能な認証器(パスキーなど)の統合

  3. インジェクション攻撃や偽造メディア(ディープフェイクなど)への対応のための管理策を追加

  4. 新しい推奨される継続的評価指標

  5. リスク管理のための部門横断的な統合の更新

変更は遅すぎたかもしれない

Keeper SecurityのCEO兼共同創設者であるダレン・グッチオーネ氏は、NISTの更新されたデジタルIDガイドラインは、急速に進化するサイバーセキュリティの状況において必要不可欠な近代化だと述べています。アイデンティティは安全なオンライン取引の基盤であり、これらの更新は静的で一度きりのチェックでは不十分であることを認識しているとグッチオーネ氏は付け加え、サイバー脅威がいかに持続的かつ適応的になっているかを強調しています。また、IAMの強化はすでに多くの組織で大きな関心事であるため、導入もそれほど難しくないかもしれません。

「継続的な評価、フィッシング耐性のある認証、リスクベースの本人確認に焦点を当てている点は、市場や現代のセキュリティリーダーがすでに進んでいる方向性を反映しています」とグッチオーネ氏は述べ、Keeperの最近の調査で67%の組織がハイブリッド認証環境でも継続的なフィッシング攻撃を報告していることを指摘しました。

これらの変更は2017年以来初の更新であり、現代の脅威や技術に追いつくために何年もかけてドラフトが作成されてきたことから、遅すぎたとも言えると、JamfのEMEIAシニアセキュリティマネージャーであるアダム・ボイントン氏は述べています。これらの変更を促した要因には、脅威と技術の両方に関わる3つの要素があります。

「生成AIの悪用がハードルを上げました。リモート本人確認セッションへのインジェクションや偽造メディア(ディープフェイク)などです。そのためNISTは明確な管理策を追加しました」とボイントン氏は述べています。「パスワードレスは主流となり、同期可能な認証器(同期パスキーなど)への対応や、保証レベルごとのフィッシング耐性の明確化が進みました。」

導入に課題はあるか?

アイデンティティはもはや一度きりのイベントではないとボイントン氏は警告し、それには新しい継続的評価指標や、より強力で部門横断的なリスク管理が必要だと付け加えています。改訂版のリリース後、組織はまだ導入していない場合はフィッシング耐性のある認証器の採用が求められるでしょう。これには生体認証やトークンのようなパスキー、パスワードレス標準を定めるFIDOなどが含まれます。

これらの変更は、より広範なガバナンスにもつながる可能性があるとボイントン氏は明かします。セキュリティ、プライバシー、ユーザー、ビジネスオーナーはアイデンティティリスクを共同で管理する必要があると彼は助言しています。実務面についてはグッチオーネ氏と同様に、ボイントン氏も組織にとって導入の大きな課題にはならないと考えています。

「文書は詳細ですが実用的であり、導入リソースも今後提供される予定です」と彼は述べています。「ほとんどの最新スタックはすでにこの方向性をサポートしているため、多くは“置き換え”ではなく“設定”で対応できます。」

翻訳元: https://www.darkreading.com/identity-access-management-security/nist-digital-identity-guidelines-evolve-with-threat-landscape

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です