【はじめに】

皆さまはフィッシング耐性という言葉をご存知でしょうか？認証要素を調べている時にフィッシング耐性という言葉をよく聞きます。

このコラムではそもそもフィッシング耐性とはどのようなものなのかについて詳細にまとめていきます。

Beyond Identityがなぜフィッシング耐性を有していると明言できるのか理解できるコラムとなっています。

【NISTとは】

■デジタルアイデンティティのガイドラインを策定しているNISTとは

まずフィッシング耐性という言葉は理解するうえでNIST(米国立標準技術研究所)という機関が発行しているガイドラインが重要になります。

NISTとはアメリカ商務省の一機関で情報セキュリティに関する研究や、フレームワーク・ガイドラインの発行をしております。

世界中のあらゆる機関がこのガイドラインを確認することで事実上の標準を策定しています。

NISTが出しているデジタルアイデンティティの認証のためのガイドラインが"NIST SP 800-63-4"となります。

デジタルアイデンティティの設計を考える上で非常に重要かつ参考になるガイドラインです。

こちらのガイドラインは詳細ガイドライン含め4つありますので概要について下記表にまとめます。

■NIST SP 800-63Bから読み解くフィッシング耐性

次にフィッシング耐性とは何かについて深堀していきます。

理解する上で重要になるガイドラインが"NIST SP 800-63B-4"となります。

このガイドラインの項番3.2.5でフィッシング耐性(Phishing Resistance) について詳細に明記されていますのでまとめていきます。

まず、フィッシング耐性とはユーザーの注意深さに依存することなくフィッシング攻撃を阻止できる機能と明記されています。

また、手動で認証情報を入力する経路外デバイス(SMS等)、OTPデバイス(Authenticatorアプリ等)はフィッシング耐性がないとも明記されております。

まとめると、従来普及しているMFA要素ではユーザーの注意深さに依存するためフィッシング耐性はなくユーザーが何も意識することなく自動的にフィッシング攻撃を防ぐ仕組みこそがフィッシング耐性があると明言できる訳です。

■Channel BindingとVerifier Name Bindingとは

では次にNIST SP 800-63Bではどのようにフィッシング耐性を実現できると明記されているのでしょうか？

具体的に"Channel Binding"と"Verifier Name Binding"という2つの方法が明記されています。

この2つの方法について表にまとめましたので確認していきます。

Channel Bindingの方がフィッシング耐性は高いとも明記されていますがmTLSの実装を各サービスで行うのは証明書の観点から構築難易度が非常に高いと思います。

サービスへのログインという観点のみ切り取ると構築難易度、フィッシング耐性を備えている点でパスキーの導入の方が主流になっていくと思います。

【さいごに】

Beyond Identityはパスキーを使用しますのでこのVerifier Name Bindingに該当しフィッシング耐性を有しています。

昨今、フィッシング攻撃の増加、高度なフィッシング攻撃も観測され始めており皆様のアイデンティティはますます狙われていきます。

MFAを導入したから決して安全という事ではなく各要素について理解し導入することが非常に重要です。

本コラムでは難しく技術要素について触れました。次のコラムではこのフィッシング耐性を脅かす攻撃手法についてまとめていこうと思いますのでこちらも読んでいただけると嬉しいです。

【参考文献】

NIST,NIST SP 800-63-4: Digital Identity Guidelines,

https://doi.org/10.6028/NIST.SP.800-63-4

----------------------------------------------------

執筆者：星野 幸哉

三井情報株式会社

ソリューション技術グループ ソリューション第二技術本部　インフラ第一技術部第二技術室