FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
0 likes793 views
FIDO Alliance Osaka Seminar
More Related Content
Similar to FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf (18)
More from FIDO Alliance (20)
![AIシステムのセキュリティ:脅威となりつつあるAIの現状と課題 [English] Security of AI Systems: The Current...](https://cdn.slidesharecdn.com/ss_thumbnails/20241023css2024-250829030738-876ce56e-thumbnail.jpg?width=560&fit=bounds)
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
- 1. 大友 淳一 Yubico AB 日本/韓国営業部長 モデレーター © 2024 Yubico 甲田 輝彦 日本電気株式会社 CISO統括オフィス 上席プロフェッショナル ディレクター NECと三菱電機、モバイル制限ユーザーの認 証強化にセキュリティキーを採用 椎名 エバレット Yubico Inc. 重要顧客営業部 部長
- 2. 2 © 2024 Yubico FIDOのあゆみ ユーザー名と パスワード 1960s 2014 2019 2022 FIDO U2F 強固なセカンドファクター FIDO2/WebAuthn フィッシング耐性 パスワードレス→ 強固なシングルファクター パスキー 強固な多要素認証 パスワードレス
- 3. Problem OTP認証器やモバイルアプリ ではフィッシングやMitMに対 し脆弱であった。 Solution 2つのYubiKeyを全社員に 配り、2年間にわたってそ の有効性を調査した。 Result 0 = アカウント乗っ取り 4倍 = ログインの速度 92% = サポートコスト減 0 = 故障 © 2024 Yubico FIDOの主要なマイルストーン
- 4. ”How effective is basic account hygiene at preventing hijacking” 2019年5月17日投稿 グーグル社員やスタッフに対する実際の乗っ 取りを目的とした攻撃に基づく調査。調査に使 用されたのはFIDOのセキュリティキー(主に YubiKey) SMS Security key (YubiKey) On device prompt (OTP push app) Secondary email SMS code Phone number 0% 10% 21% 24% 50% © 2024 Yubico 標的型攻撃によるアカウント乗っ取り(ATO) 調査結果 注釈:“In fact, zero users that exclusively use security keys fell victim to targeted phishing during our investigation.” 和訳:実際、調査中にセキュリティーキーだけ を使用しているユーザーで 標的型フィッシング被害に遭った人は ゼロであった。 Security Blog
- 6. © NEC Corporation 2023 7 設立 年 長年にわたる お客さまとの信頼関係 1899 1,214億円 研究開発費 件 特許件数 11.9万人 約 従業員数 A リスト 72.9 27.1 % % 男性 女性 採用男女比率 99.0 % 育児休暇後の復職率 重大なカルテル・ 談合行為の発生 0 件 9.6 % 女性管理職比率 2.39 % 障がい者雇用率 3 3,130 億円 社会公共事業 社会基盤事業 エンタープライズ事業 ネットワークサービス事業 グローバル事業 その他 売上収益 兆 13.8% 19.6% 18.5% 16.4% 17.7% 14.0% 売上収益 構成比 45,000 約 技術力 No.1 世界 顔認証 指紋認証 虹彩認証 CDP 気候変動・水セキュリティ・ サプライヤーエンゲージメントでAリスト入り ※4 ※5 ※1 ※9 ※3 ※4 ※3 ※6 ※5 ※3 ※7 ※8 ※1 米国国立標準技術研究所( NIST)主催のベンチマークテストで 第1位の評価を複数回獲得 ※2 NIST主催のベンチマークテストで第 1位の評価を獲得 *NISTによる評価結果は米国政府による特定のシステム、製品、 サービス、企業を推奨するものではありません。 ※3 日本電気株式会社単体 ※4 2023年3月期実績 ※5 2022年3月31日現在 ※6 2019年度に育児休職を開始した従業員が復職した割合 ※7 2022年6月1日現在 障害者雇用促進法に基づく ※8 2023年3月期実績 ※9 2023年3月31日現在 ※2 ※2 日本電気(株)の会社概要
- 7. © NEC Corporation 2023 8 事業・テクノロジー紹介 航空 衛星 海底ケーブルシステム 製造 物流 通信 金融 リテール 医療 放送 交通 官公庁 消防 教育 エネルギー 海底から宇宙まで 世界中の多岐に渡る業種のお客さまに幅広く価値を提供 © NEC Corporation 2024
- 8. © NEC Corporation 2023 9 2022年に企業が受けた サイバー攻撃の回数 (2020年の2倍) 970回/週 2021年世界の サイバー攻撃総被害額 660兆円 (6兆$) 11秒毎に企業が ランサムウェアの被害に あっている 11秒毎 オペレーションを 完全に停止した 企業の割合 29.4% 2019~22年に ランサムウェアの攻撃 にあった組織の割合 66% 2019~22年に 身代金を支払った 組織の割合 24% 支払った身代金の グローバル平均 2.5億円 (179万$) 2021年の ランサムウェア被害総額 2.8兆円 (200億$) • 企業へのサイバー攻撃、1週間で平均900回も ハッカーに狙われる業種は? | THE OWNER (the-owner.jp) • Top 6 Cybersecurity Predictions And Statistics For 2021 to 2025 (cybersecurityventures.com) • 「ランサムウェア攻撃 グローバル実態調査 2022年版」を発表 | トレンドマイクロ (trendmicro.com) • CrowdStrike、2021年度版グローバルセキュリティ意識調査結果を発表 • サイバーセキュリティ・ベンチャーズ推計 • BlackBerry グローバル脅威インテリジェンスレポート ※金額はレポート出典時点での為替レートにて算出しております 1分毎の新しいマルウェア生成の世界から、 ジェネレーティブAIによって秒単位に より高度なものが生成される可能性あり セキュリティインシデントの動向
- 10. ゼロトラスト成熟度モデル ゼロトラストモデルの基礎 可視化・監視・分析 自動化・オーケースとレーション 統制・ガバナンス ア イ デ ン テ ィ テ ィ デ バ イ ス ネ ット ワ I ク ア プ リ ケ I シ ョ ン デ I ダ スコープ ➔ 多要素認証 (MFA) ➔ パスワードレス化 ➔ ID保護 ➔ 認証統合 ➔ ガバナンスモデル © 2024 Yubico
- 11. © 2024 Yubico NECの取り組み内容 対象 利用者数 12万人 システム数 3千 端末数 34万台 システム ◆ 業務システム (SAML/OIDC対応/未対応) ◆ Web系などのシステム ◆ モダナイゼーション 推進方法 ① 案内サイト/マニュアル ② 最新技術やリスク対応 ③ デバイス案内 ④ 個別督促、などで展開 認証デバイス 国内社員 → スマデバ 派遣社員等 → YubiKey パートナー → YubiKey 海外社員等 → 証明書 認証基盤をEntra IDに統合 多要素認証、SSO基盤、端末管理化な どでセキュリティ高度化 パスワードレスに対応したSmart PCオ ンプレVPCからクラウドVPCへ 認証デバイスはスマートフォンベースに YubiKeyを活用 「攻撃者に厳しく利用者に優しい」セ キュリティ対策を提供 約2万ユーザーが導入
- 12. 13 「攻撃者に厳しく利用者に優しいセキュリティ対策」を実現 、ゼロトラスト認証基盤への切替によるパス ワードレス化の推進に対し、経営層・利用者からも高評価 ■認証やパスワード入力の頻度(回数)は「平均して 1/4~1/5」と大幅に減少 ■1日あたり5回分(5分)程度の時間短縮、年間で 1,200分(=20時間)の削減 ■全グループ社員にあてはめると、年間 240万時間の効率化(工数削減) 効 果 ★パスワード漏洩リスクの軽減 ★なりすましリスクの軽減 ★認証基盤・ID管理の統合 パスワードレスが実現できる世 界が近づきました。 お客様や社会全体への安全安 心と利便性の価値高度化に向け て、飛躍していきます。 経営 層 (CISO) (特別顧問) 念願かない、嬉しい限り です。この システム構築が、より 広く一般化し て使われてゆくための基盤作り と なるべく、皆さんから使い勝手、弱 点、改良点などを受けて頂けると 幸いです。 利用 者 このような取り組み本当に助かります。 すべてパスワードレスになるまで、応援しています! 切替の効果を実感できる、とても便利になった。 パスワードレスにしてセキュリティを高めていってもら いたい。 パスワードレスが導く 次世代ゼロトラストの世界
- 14. 三菱電機(株)の会社概要 グループ概要 設立: 1921年1月15日 売上高: 5兆円(’22年実績) 事業内容: 人工衛星など多くの産業用電気機器 で日本国内トップシェアをもつ ❏ 電力・空調・FAシステム ❏ 人工防衛・宇宙システム ❏ 家電・半導体など 事業・関連会社: 1,417 連結子会社 398 持分法適用会社 *1 社員数: 約15万人 連結集計 約20万人 外部スタッフを含む グローバルネットワーク: 90か国以上で事業展開 © 2024 Yubico
- 15. 取り組み内容 課題と要件: ❏ 年月とともに認証基盤が拡大したため、複雑化 ❏ MS365を以前から導入されたが、全体最適をする必要性 ❏ 認証基盤は、Entra ID(旧Azure ID)のサポートを重要視 ❏ モバイル利用制限の契約社員向けに YubiKeyを3月に導入 © 2024 Yubico NIST 800-63を参考 ユーザビリティを重視 配布と管理のスキームを確立 2,100+ のYubikeyを導入