YubiKeyとは?
アメリカとスウェーデンに拠点を置くYubico(ユビコ)社が提供するクラウド上でユーザー認証を行うための専用アイテムです。YubiKeyは全世界160か国で採用されており、Google、Microsoft、Facebookなど世界的な大企業に加えて、アメリカの国防総省や消防署など高いレベルでの安全性と利便性が求められる組織にも採用されています。
近年、YubiKeyはパスワードを使わずに認証を実現するアイテムとして注目されており、GoogleやLenovo、Visaなどが発足したパスワードレスの認証や規格を発行する非営利団体FIDO Alliance(ファイド アライアンス)によって開発された規格FIDO U2F認証の1つとして、認められています。
そして、クラウド上でID管理やシングルサインオンなどの機能を搭載したID認証サービスIDaaS(Identity as a Service)の認証機能の一つとして採用しているベンダーも出てきました。
YubiKeyのラインナップは?
大きく分けて、Security Key by YubicoとYubiKey 5シリーズに分かれます。
どちらも利便性や安全性に優れておりますが、特徴をそれぞれ紹介しておきます。
Security Key by Yubico
- YubiKey 5シリーズよりも低コストで購入可能
- 設定ツールを使うこと無くすぐに使用可能
- 操作が簡単
YubiKey 5シリーズ
- 様々なインターフェースやプロトコルに対応
- 幅広いユーザーに対応可能
- 多くの情報を安全に保管可能
YubiKeyの機能とは?
YubiKeyの全体的な特徴についてまとめました。
また、各機能の内容についても詳しくみていきます。
共通の特徴
- 全てのOS、ブラウザに対応
- キータッチで認証が完了
- 専用のソフトウェア・ドライバー・バッテリーは不要
- 優れた防水性と衝撃性を兼備
- 高いセキュリティ環境を実現
| Security Key by Yubico | YubiKey 5 NFC | YubiKey 5C | |
| インターフェイス | USB-A | USB-A・NFC | USB-C |
| ワンタイムパスワード | 〇 | 〇 | |
| FIDO U2F(Universal 2nd Factor) | 〇 | 〇 | 〇 |
| FIDO2(Web認証) | 〇 | 〇 | 〇 |
| Secure Element(各種データの保管) | 〇 | 〇 | 〇 |
| OATH-HOTP(生成回数ベース) | 〇 | 〇 | |
| OATH-TOTP(時刻ベース) | 〇 | 〇 | |
| Smart Card(各種データの保管) | 〇 | 〇 | |
| OpenPGP(電子署名技術) | 〇 | 〇 |
ワンタイムパスワード
Webサイトやアプリのログイン時に1度限り使用できるパスワードのことです。
パスワードが流出しても使えないため、不正アクセスや情報漏洩を防ぎます。
FIDO U2F
FIDO Allianceが定めた認証規格で、二段階認証を実現するために使用します。
ユーザーID/パスワードを入力後、YubiKeyにタッチして初めて認証が完了します。
精度の高い認証機能を実現し、不正アクセスのリスクを軽減します。
FIDO2
指紋認証や顔認証、虹彩認証などの生体認証を用いてユーザー認証を行います。大きなメリットは専用機器の購入を行う必要がないことです。
AndroidやiPhone、Windowsに対応しているため、PCとスマートフォンどちらからでも利用が可能です。FIDO U2Fでは認証規格に対応している専用機器を購入してセキュリティ対策に取り組む必要がありましたが、FIDO2では既存のデバイス機器で対応できます。
低コストで利便性を兼ね備えた認証が実現可能です。
Secure Element
ユーザーID、電子証明書、暗号鍵などの情報を暗号化して保護し、安全に保管する機能です。犯罪者によるデータのハッキング・破壊・すり替えなどを防止します。セキュリティ性に課題のあるIoT機器やスマートフォンでの決済機能にも活用されています。
OATH-HOTP
HOTP(HMAC-Based One-time Password)と呼ばれるアルゴリズムを活用したワンタイムパスワードを生成する方法です。パスワード生成を行う回数や時刻をユーザーとサーバー側で共有し、生成したパスワードが一致した場合に認証が完了します。ただし、同じ値を共有できる保証はないため、サーバー側にカウンターを再同期させる機能を搭載する必要があります。
OATH-TOTP
TOTP (Time-based One-time Password Algorithm)アルゴリズムを利用したワンタイムパスワードを生成する方式です。一定時間ごとにパスワードを生成するため、デバイス機器とサーバー側の時刻表示が異なっていれば正しい認証ができません。
Smart Card (PIV)
アメリカ政府の身分証や航空業界の身元確認にも活用される認証技術です。デバイス機器の電子証明書、生体情報、有効期限、所属部署などユーザーと第3者の違いを識別するためのデータを多数格納しています。
万が一情報びハッキングに成功した犯罪者が情報を悪用して社内ネットワークに侵入したとしても、ログ機能によってユーザー行動を可視化し、不正行為を防ぎます。
OpenPGP
メールや文書の正当性の証明と特定の人物とのやり取りを行うために、データファイルの暗号化を鍵方式によって実現する技術です。公開鍵を活用してデータファイルを暗号化し、秘密鍵を送った相手しか中身を確認できません。
また、オープンソースで提供されているため、低コストで自社にとって使いやすい形にアレンジ可能です。
YubiKeyを導入する3つのメリットとは?
業務での利便性向上とセキュリティ対策の強化がメリットとして挙げられます。
利便性の向上
認証を要求されるたびにパスワードを入力する必要はありません。専用のUSBキーにタッチするだけなので、素早く認証作業を完結できます。業務効率改善や業務上のストレス軽減効果が望めます。
また、操作性に悩む必要も無く、デバイス機器に使い慣れていない方でも安心して使うことが可能です。
煩雑なパスワード管理からの解放
クラウドサービスやアプリごとに複数のパスワード管理を行う必要が無くなります。ワンタイムパスワードによって毎回新たなパスワードを発行するからです。また、複数のパスワードをメモで管理していた場合に発生する、紛失時の情報漏洩のリスクや業務で利用するアプリにログインできないといった事態を回避します。
セキュリティ対策の強化
YubiKeyは接続するたびに新しいパスワードの生成・認証を行うため、パスワードのハッキングによるサイバー攻撃や情報盗取のリスクを軽減します。
ワンタイムパスワードはその場しか使えないため、パスワードをハッキングしても各種サービスへのログインには使えないからです。
パスワードリスト型攻撃やブルートフォース攻撃など、パスワードを悪用したサイバー攻撃や情報盗取は後を絶ちません。
単一パスワードの使い回しや文字数が短く解読しやすいパスワードの生成など、ID・パスワード管理の甘さを突かれて社内ネットワークに侵入を許すケースが依然として多くなっています。
働き方改革により表立った残業がしづらくなったことや企業の人材不足により、一人一人の社員が限られた時間で多くの仕事量をこなさなければならなくなりました。
業務上の効率性や利便性を優先した結果、一つのパスワードの使い回しや入力しやすいパスワードの生成といった事態が生まれます。
安全性と利便性を兼備したYubiKeyを導入することで、ワンタッチでのログインとYubiKeyを所有しているユーザーしかログインできない状況を作り出します。
一度でも情報漏洩が発生すると、社会的信用や莫大な経済的利益を失います。今後のビジネスが大変厳しくなりますので、情報資産を強固に保護するセキュリティ対策が必要です。
情報漏洩が起きた場合の影響
| 想定されるリスク | 懸念される影響 | 情報漏洩後の結果 | |
| 内容 |
|
|
|
YubiKeyが搭載されているサービスとは?
クラウド上でのID認証サービスを提供するIDaaSの1つであるCloudGate UNOに搭載されています。インターナショナルシステムリサーチ社が提供するCloudGate UNOはユーザーからの評価が高く、7年連続で稼働率99.9%以上を誇ります。ソフトバンクや京王百貨店、ユニ・チャームなど様々な企業が導入しており、導入企業数は1,600社を超えています。CloudGate UNOはYubiKeyをはじめとするパスワードレスの認証を強化しており、2020年12月下旬より全てのプランでパスワードレスの機能を標準搭載すると発表しました。
CloudGate UNOの機能とは?
CloudGate UNOの主要な機能をまとめました。
パスワードレス認証はYubiKeyに加えて、顔認証と指紋認証を活用したWindows HelloやTouch IDを搭載しています。
| 種類 | 機能 | 特徴・導入効果 |
| シングルサインオン |
|
|
| G Suite 向けシングルサインオン |
|
|
| アクセス制限 |
|
|
| パスワードレス認証 |
|
|
| 多要素認証 |
|
|
| Active Directory連携 |
|
|
CloudGate UNO導入の2つのメリットとは?
利便性と安全性を高める多彩な機能が搭載されているため、多くのユーザーから支持を集めています。
また、サービス停止の心配をせずに長期間利用が望める状態です。
利便性と安全性が確保されたサービス
利便性と安全性のどちらの面も機能が豊富に搭載されています。
利便性に関しては、多数のアプリやクラウドサービスと連携しており幅広いサービスを利用できるだけでなく、SAML認証に対応していないWebサイトもフォームベース認証でシングルサインオンを実現可能です。一方、精度の高い本人認証を実現可能な生体認証やパスワードレス認証の他、特定の端末や限定された場所からのアクセスしか認めないことで安全性を高めます。
現在問題となっているスマートフォンやノートPCなどの私物を企業の許可なく業務に持ち込むシャドーIT や内部不正による情報漏洩の抑止力としても機能します。テレワークの導入が進み監視の目が届かなくなっているため、内部漏洩が起きやすい現在の状況に対して有効です。また、利用頻度の高いG Suiteにも端末制限や電子証明書によるアクセス制限など複数の認証機能が搭載されており、オフィス外でも安全に作業を行えます。
長期間継続して利用可能
ユーザーからの評価も高いため導入企業も多く、10年以上に渡ってサービスを提供している点から長期間継続してサービスを利用できる安心感があります。クラウドサービスはベンダーがサービスを停止してしまうと、利用していたサービスと同等のサービスを提供しているベンダーを新たに探さなくてはなりません。
新たなベンダーが見つかるまで業務が停滞するのに加えて、導入コストや管理者の業務負担増加も発生します。今後クラウドサービスに本格的に移行する企業も増えてくることもあり、長期間継続して使えるといった点はサービスを見極める1つのポイントとなります。
まとめ
今後はYubiKeyを始めとした専用アイテムの活用や生体認証を活用した認証サービスが増えることが予想されます。パスワード設定の甘さを突いた情報盗取の被害頻度が多く、企業に深刻なダメージを与えているからです。
既に生体認証を搭載しているIDaaSは増えてきており、今後クラウドサービスへの移行を本格的に検討している企業は、パスワードレスの認証機能の有無が自社にとって必要かどうかもセキュリティ対策を強化する重要なポイントの1つになるでしょう。自社に合った方法で情報資産を守る仕組みを強化することが大切です。
