January 15, 2020
インターネットの普及によって、セキュリティが全体として大きく伸びている。 中でもスマートフォンの普及によるアプリ市場の成長、WEBサービスやECの成長によって、認証基盤の数が急激に増えている。 その認証基盤を狙った不正ログイン攻撃が増えている。
特に、ブルートフォースアタックなどはWAFなどでも対応できたが、最もインシデントが急増しているリスト型攻撃に対応できるソリューションが現状普及していない。 インシデント数や流出している認証情報の数が急増しているのに対して、社会的に認知がおいついておらず、アプリケーションセキュリティに脆弱性を抱えているのが現状。
認証基盤へのセキュリティソリューションとしては、社内システムや一部エンプラ向けSaaSに限りSSOが普及し始めた。理由としては、次の3個がある。
それに対してtoCを抱える事業者は、2段階認証が社会的に認知度が高まり、世論として2段階認証の導入が社会的要請として高まってきている状態。しかし、同時にその要請の背景や原因を理解しているのはセキュリティの担当者など専門知識のある人のみ。
2段階認証自体はビジネス要件(金額、工数確保、導入までの時間軸、使い勝手が悪くなる)に添えず、普及が一部に留まっている。
よって、上記のビジネス要件を満たせる2段階認証を提供し、「使い勝手を悪くしない、唯一の2段階認証」というカテゴリを定義する事で、リスクの認知度が高まるに連れてサービスが広く受け入れられるようになる(という仮説)。
まず、前提として情報システム部門やセキュリティの担当者が対応する内容はざっくり以下の内容になる。
上記を踏まえると、対策の必要性などが理解できている情シス担当者に出来ることは、専門知識の無いサービスの責任者に対する助言のみに留まってしまう。
なぜならエンドユーザーの使い勝手に影響があるためKPIに影響があることが想定され、ほぼ確実に事業責任者に納得してもらう必要があるからだ。
尚、事業責任者と直接話し必要性が理解してもらえればまだ良いが、自信がなく他人に意見を求めた場合は技術関係で権限のある人(社内の技術部長やベンダーの担当者)に確認を取る事になる。
よって、情シスは「情シス担当者が事業責任者を納得させている」または「決裁者が情シスと話したの上で保険的に導入を決めていて、現場のディレクターが発言権なく開発進行のみ行う」場合に限りが2段階認証の導入に関与すると言える。(尚、WAFはサーバー完結なのでまだ情シス担当者から売りやすいはず)
本製品は基本3つの役割を果たす。
この中でも、事業責任者への価値を高め、企業の意思決定に入り込む必要がある。
現状のリスクを可視化までをソフトウェアで行い、その上でPSとして「どの程度のリソースを不正ログイン対策にアサインすればよいのか」のコンサルを行う必要がある。リソースがないのであれば、手段(外注)の追加提示も行う必要がある。ただ、顧客がリスクを判断し実行計画を建てるための意思決定ツールになりきれれば、例え無策でいることを提示して顧客が無策のままだとしても、組み込む事は辞めない。
以下の手順で進めていく。
いきなりだが「系列のSIerよりも10倍良いサービスを提供する」というのが結論になる。
「コストが10分の1になる」「事業スピードが10倍になる」「導入が10倍早い」「彼らに同一コストで実現できない」などが最初のステップを突破するためにプロダクトとして必要な事。その上で、顧客に対して財務上のインパクト(それ自体改善や改善のための意思決定が改善できるetc)が出せるサービスを提供する必要がある。
SMB向けのマーケットプレイス事業を売却後、エンプラ向けのSaaSをやってます。元エンジニア:Ruby / Go / Nuxt / ReactNative