ハイアットホテルズ
セキュリティリスクを低減し、業務効率化と顧客体験の向上を
達成したYubiKey導入ストーリー
YubiKeyとは? 導入のメリットと概要をメーカー公式代理店が徹底解説
ハイアットホテルズの課題
ハイアットホテルズは、ID/アクセス管理のため、Office 365 や Azure Active Directory (AD) PremiumなどのMicrosoft製品を導入しており、予約システムやPOSなどのシステムへの認証のためSMSでのワンタイムパスワード(OTP)による多要素認証(MFA)を実施していました。
しかし、ワンタイムパスワード認証は、フィッシング詐欺や中間者攻撃(MiTM攻撃)の格好の標的です。実際、ハイアットホテルズが受けた侵害を調査すると、その全てが誤って承認された多要素認証(MFA)リクエストにたどりつくという危険な状況でした。
顧客体験と業務効率にも影響がありました。スタッフは認証のたびにモバイルデバイスを使用する必要があるため手間と時間がかかり、現場からは不満が募っていました。そして、デバイスの確認を行うスタッフの姿はSNSを開いているようにも見え、ハイアットホテルズの理想からはかけ離れたものでした。
YubiKeyの課題解決
YubiKeyはハイアットホテルズの課題を解決できました。
システムへの連携
YubiKeyの認証規格はWebAuthn/FIDO2、FIDO U2F、ワンタイムパスワード (OTP)、OpenPGP 3、およびスマートカード認証に対応しており、幅広いシステムへの認証に使用できます。当然、Azure ADの認証にも対応しており、システムの連携に関する課題をクリアできました。
パスワードレス認証の実現と全社でのセキュリティ強化
強力なフィッシング耐性をもつYubiKeyは最高レベルのセキュリティソリューションです。
攻撃者がどれだけソーシャルエンジニアリング、多要素認証疲労攻撃(MFA Fatigue Attack)を試みても、YubiKeyがなければ情報にアクセスすることはできません。
全社でセキュリティを高めるため、ホテルスタッフ以外にも、モバイルデバイスが制限された環境やリモート作業をするコールセンタースタッフやロイヤルティプログラム担当者も特権アクセス管理 (PAM) や基幹システム(ERP)にアクセスするために YubiKey を使用しています。
効率的なホテル運営
YubiKeyのパスワードレス認証はワンタイムパスワード(OTP)やSMS認証に比べて最大4倍も早く認証が完了するだけでなく、一度認証が完了するとセッションの有効期限まで再度認証を行う必要がありません。これにより、フロントでもコールセンターでも安全かつ迅速にゲストの対応を行うことが可能になりました。
また、Azure ADとYubiKeyにより、スタッフがハイアットホテルズに入社した瞬間から、必要なアプリケーションにパスワードレス認証でサインオン(ログイン)ができるようになっています。
顧客体験の向上
YubiKeyによってパスワードレスの認証が実現した結果、スタッフはゲストとのアイコンタクトを増やし、そしてシームレスな顧客体験を実現しています。「ゲストのために私たちが作り出そうとしているのは、『スタッフとゲストのやり取りを邪魔するものが何もない』という体験です。」と責任者のチェルノブロフ氏は語ります。
感動の導入体験
ハイアットホテルズは移動の多いフロントスタッフのためにYubiKey 5 NFCを、コールセンターとバックオフィスには5C Nanoを配布しました。スタッフからの問い合わせを予想していましたが、説明動画とYubiKeyの優れた操作性によって、問い合わせは全くありませんでした。
ハイアットホテルズの未来
ハイアットホテルズの目標は、世界約1,500カ所の拠点とスタッフ20万人全体を完全にパスワードレスにすることです。このため、新しいハードウェアの導入やアプリケーションのアップグレードのたびに、5千から1万個のYubiKeyを導入しています。
完全なパスワードレスを実現するためには金銭的な負荷がかかります。しかし、ハイアットホテルズはゲストとスタッフに安全で素晴らしい体験を提供するため、投資を続けています。