メーカー公式代理店が解説

フィッシング耐性のある認証サービス

YubiKeyとは?

導入のメリットと概要を徹底解説

\導入に関するご相談・ご質問もお気軽に/

お電話でもお気軽に!
03-5942-8314までお問い合わせください。

YubiKeyを使用して CloudGate UNOにサインインするビジネスパーソンの男性
YubiKey(ユビキー)とは?

YubiKey(ユビキー)とは?

YubiKeyは、最もセキュリティレベルの高い多要素認証に使える機器である「セキュリティキー(ハードウェアトークン)」のひとつです。

YubiKeyの基本的な使い方はUSBポートに挿して触れるだけ。様々なOSで使用でき、専用ソフトウェアやドライバーは必要ありません。対応サービスは年々増加しており、次世代のセキュリティソリューションとして注目されています。

米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。

YubiKeyは米国とスウェーデンで製造されており、Google社、Meta(旧 Facebook)社、 Microsoft社、米国国防総省など、全世界160カ国以上に2,200万個以上の販売実績があります。

セキュリティキーYubiKeyの代表的なラインナップ
ガイドはこちら

YubiKeyの初心者向けガイド (1MB)

詳しく知る

セキュリティキーとは?

セキュリティキーとは、パスワードを使用しない多要素認証(MFA)に対応する機器の総称です。

YubiKeyのような機器に挿入するタイプの他に、入室管理用のカードキーや、リストバンド型など、様々な機器がセキュリティキーと呼ばれています。

なぜセキュリティキーが必要なのでしょうか。
ハッキングによる侵害の80%はパスワードが原因とも言われ、パスワードの危険性は広く知られるところです。

これまでクラウドサービスのセキュリティ対策としては二段階認証が広く用いられていました。しかし、秘密の質問など「知識情報」のみ用いる場合には本質的にはパスワードのみのセキュリティと変わらず、脆弱です。

最近では、パスワードと合わせてSMSや電子メールコードを使用する「多要素認証(MFA)」の使用も一般的になっています。 これらの認証方法は知識情報のみでの認証より安全ですが、それでもフィッシング攻撃の対策として十分ではありません。

そこで、機器の「所持情報」や本人の「生体情報」を用いたパスワードを使わないセキュリティソリューションが求められました。セキュリティキーはこのニーズに対応して生まれました。

パスワードレス認証について詳しく知る
多要素認証(MFA)の種類
YubiKeyの概要 - Arrow YubiKeyの概要 - Arrow
多要素認証+公開鍵暗号方式(パスキー)| Biometrics 多要素認証+公開鍵暗号方式(パスキー)| Security Key
多要素認証+公開鍵暗号方式
(パスキー)

本人しか持っていない・知っていない
“機器などの所持情報” “PINなどの知識情報”
“顔や指紋などの生体情報”
のうち2つ以上の情報をかけ合わせる

二要素認証(2FA)
二要素認証(2FA)

パスワード + アプリやSMSでのワンタイム パスワード

ニ段階認証
ニ段階認証

パスワード + 秘密の質問など

パスワードを用いた2段階認証でサインインを進めているモニター画面
ニ段階認証の弱点

二段階認証はどの要素を使うかどうかに関わらず、2回に分けた認証を行う方式のため、単一要素でも認証が完結できます。つまり、知識情報であるパスワードを2度入力するだけでも二段階認証として成立するので、セキュリティ強度が高いとは言えません。

SMS通知やワンタイムパスワードといったFIDO2でない多要素認証のために操作されているスマートフォン
FIDO2でない多要素認証(二要素)の弱点

SMS通知やワンタイムパスワードを発行するアプリによる多要素認証の場合、確かに「知識情報」とは別に「所持情報」を確認してログインをしているため、さきほどの「知識情報」だけによる二段階認証と比較すると多少セキュリティは高くなります。しかし、フィッシング耐性は低いままです。攻撃者が偽サイトを用意すれば、被害者にパスワードとワンタイムパスワードを入力させることは難しくありません。

セキュリティキーを含むパスキーの強み

セキュリティキーを含むパスキーを使用した認証は、あらかじめ登録された認証器により多要素認証を用いて本人検証を行います。生体認証やPINなどでの本人検証は認証器の中にだけ情報があるため、秘密鍵などの情報はネットワーク上に一切流出しません

具体的には、認証器による本人検証に成功すると認証サーバーからのチャレンジに対して認証器固有の秘密鍵で署名を行い、認証サーバーに返信し、認証サーバーは予め登録されていた公開鍵で署名の検証を行うことで認証を行います。これにより、秘密鍵がネットワーク上に流れることはありません。署名されたチャレンジは再利用ができず、さらに認証情報の改ざんも難しいため、フィッシングを含む中間者攻撃に対して強い耐性があります

米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。

FIDO2について詳しく知る
パスキーの一種YubiKeyに指をかざしてSSOサービスにサインオンする様子
FIDO2に対応する認証機器デバイスを用いてSSOサービス CloudGate UNOを通じてクラウドサービスにサインオンするフロー FIDO2に対応する認証機器デバイスを用いてSSOサービス CloudGate UNOを通じてクラウドサービスにサインオンするフロー

セキュリティキーのメリット(YubiKeyの場合)

前述の通り、FIDO2を満たす多要素認証にはセキュリティキー以外にも様々な認証方式があります。
その中で、セキュリティキーを選ぶ理由は以下が挙げられます。

高レベルかつ柔軟なセキュリティ強化

高レベルかつ柔軟なセキュリティ強化

FIDO2対応の高セキュリティ

業界最新・最高峰のFIDO2規格に対応しており、
セキュリティリスクを低減します。

一部の部署からセキュリティ向上をスタート

機密情報や個人情報を取り扱う研究所や部門のセキュリティ強化に対応します。

ログイン強度を全社で統一

子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化に最適です。

フィッシング耐性

端末とセキュリティキーの間で情報のやりとりが完結するため、高いフィッシング耐性があります。

スマートフォンが利用できない環境に対応

コールセンターや顧客先常駐などスマートフォンを利用できない環境下での認証強化が可能です。

共有端末へのログイン強化

複数人で共有端末を利用するコールセンターや店舗の認証強化、派遣やアルバイトなど社員の入れ替わりが多い店舗端末の認証強化にご活用いただいています。

優れたハードウェア設計

優れたハードウェア設計

紛失してもセキュリティ漏洩低リスク

高い耐タンパー性を有しており、紛失したとしてもリバースエンジニアリングによるセキュリティリスクが低いです。

低単価

同じくFIDO2認証を導入できるスマートフォンなどの認証デバイスに比べて低単価です。

様々なインターフェースに対応

YubiKeyの場合、USB Type-A、USB Type-C、NFC、Apple Lightningに対応しています。

耐久性・耐水性

YubiKeyは衝撃に強く、水没しても故障しづらいため、工場などの現場にも最適です。

電池切れによる買い替え不要

劣化による買い替えも数年単位ではほぼ必要ありません。

安全かつ幅広い利用範囲

キーはキーボードやマウスと同様の扱いとなりメモリ領域と認識されません。例えば、PCやスマートフォン端末の故障時にも、別端末で仕事が可能です。

SSO(シングルサインオン)サービスとの連携

セキュリティキーはSSOサービスと連携することで、認証をより強固かつ便利にします。 パスワードに加えてYubiKeyを使った多要素認証を行うことでフィッシング攻撃やクレデンシャルスタッフィング、アカウント乗っ取りなどのリスクを低減し、ユーザーからサービスまでエンドツーエンドで強固なセキュリティを実現できます。 また、ユーザーにとってはパスワード管理の手間がなくなり、ログインミスによるアカウントロックでの時間ロスがなくなります。

弊社のSSOサービス「CloudGate UNO」ではセキュリティキーに対応しており、お客様全社規模の導入もご支援しております。


CloudGate UNOでSalesforceの多要素認証(MFA)
必須化に対応する
SSOサービス CloudGate UNOがセキュリティキーを用いてより強力な認証セキュリティを示すフロー図

YubiKey製造元のYubico(ユビコ)社とは?

「Yubico(ユビコ)」は2007年にスウェーデンストックホルムで設立されました。創業以来 、160カ国以上に2,200 万個以上の YubiKey を販売し、セキュリティキー業界では最大手のメーカーです。2003年にストックホルムの Nasdaq First North Growth Market に上場しました。 本社は米国カリフォルニアとスウェーデンストックホルム両国に置き、YubiKeyの製造工場も両国に備えています。 業界標準のセキュリティ規格の策定に尽力しており、FIDO2規格の策定にも中核的な役割を果たしています。

他社セキュリティキーとの違い

セキュリティキーはYubico社の「YubiKey」のほかに、AuthenTrend社の「ATKey.Pro」、Swissbit社の「iShield Key」が有名です。

スェーデン・アメリカのメーカーYubicoのセキュリティキーYubiKeyの写真

YubiKey

メーカー:Yubico
本社:スウェーデン/アメリカ

主な特徴
  • 所持+知識のニ要素認証 (PIN入力→タッチで利用)
  • 所持+生体(指紋認証版)
  • 堅牢性と防水性が高い
  • 最多のインターフェース
  • 業界最大手
台湾のメーカーAuthenTrendのセキュリティキーATKey.Proの写真

ATKey.Pro

メーカー:AuthenTrend
本社:台湾

主な特徴
  • 所持+生体のニ要素認証
  • 安価に指紋認証が可能
  • 小サイズで邪魔にならない
  • 比較的安価で調達しやすい
  • 納入後ファームウェアのアップグレードが可能
スイスのメーカーSwissbitのセキュリティキーiShield Keyの写真

iShield Key

メーカー:Swissbit
本社:スイス

主な特徴
  • 所持+知識のニ要素認証(PIN入力→タッチで利用)
  • 堅牢性と防水性は最も高い
  • 比較的安価で調達しやすい

各社FIDO2を満たしており、セキュリティレベルに差はありません。 エンタープライズ企業での選定に際しては、デバイスの特徴以上に調達方法や実績、ファームウェアアップデート時の管理方法などを考慮する必要があるでしょう。

YubiKeyを選ぶ利点
YubiKeyを選ぶ利点
  • パイオニア的存在であり豊富な実績
  • 豊富なラインナップ
  • 米国連邦情報処理規格(FIPS)に対応

私たちISRは、初期コストの低減、効率的な導入、長期の運用支援をサポートする
YubiKeyサブスクリプションサービス「YubiKey as a Service」を提供しております。

YubiKeyのご利用シーン

弊社セキュリティスペシャリストが特にお勧めする利用シーンをご提案します。

YubiKeyを活用しているエンタープライズ企業やコールセンター

「リモートワーク」「共有PCを利用する全員」のセキュリティレベルを統一。認証器の紛失リスクと認証器の購入費用を低減

エンタープライズ企業やコールセンターでスマートフォンやPCを用いた多要素認証を実現しようとすると、多額の投資が必要になり、かつ機器紛失や故障に対しての金額・セキュリティリスクが高まります。YubiKeyであればスマートフォンよりも安価であり、たとえ紛失したとしてもセキュリティリスクは低いため、子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化として最適です。

YubiKeyを活用している行政機関やファイナンシャルサービス企業

特権ID管理のリスク対策に最適。セキュリティアップデートが難しい部署・役職も迅速に認証プロセスをアップデート

行政機関やファイナンシャルサービスなどの管理者クラス・専門部署はセキュリティリスクへの対応が急務であるにも関わらず、使用機器の制限があり、認証プロセスのアップデートは難しいものです。YubiKeyは導入が簡単で、かつ様々なインターフェースに対応しているため、迅速に認証プロセスを最高レベルまで高めることができます。

YubiKeyを活用している行政機関やファイナンシャルサービス企業
YubiKeyを活用しているデータセンターやプラント運営企業

スマートフォンの利用制限エリア内での認証プロトコルを構築

スマートフォンの利用制限があるデータセンター、プラント、コールセンターなどでもYubiKeyを導入することにより、FIDO2を満たす認証プロトコルを構築可能です。
また、YubiKeyは堅牢性・防水性に優れるため現場での作業にも耐え、認証器故障によるダウンタイムを最小限にします。

YubiKey導入事例

ハイアットホテルズ

セキュリティリスクを低減し、業務効率化と顧客体験の向上を
達成したYubiKey導入ストーリー

事例を読む
ハイアットホテルズ Director|CloudGate (クラウドゲート)
YubiKey導入事例

医療ITサービスプロバイダー アダプタ

YubiKeyで実現する医療従事者の迅速なログイン体験と
セキュリティの両立

事例を読む
医療ITサービスプロバイダー アダプタ Thumbnail|CloudGate (クラウドゲート)

YubiKeyの製品ラインナップ

YubiKeyには複数のタイプがあり、対応するセキュリティプロトコル、インターフェースが異なります。
使用環境により最適な機種が異なるため、弊社までご相談ください。

YubiKey 5 NFCの写真
YubiKey 5C NFCの写真
YubiKey 5Ciの写真
YubiKey 5Cの写真
YubiKey 5 Nanoの写真
YubiKey 5C Nanoの写真
商品名 YubiKey 5 NFC YubiKey 5C NFC YubiKey 5Ci YubiKey 5C YubiKey 5 Nano YubiKey 5C Nano
インターフェイス USB-A USB-C USB-C/Lightning USB-C USB-A USB-C
NFC対応 - - - -
FIDO2対応
OTP,PIV対応
Security Key NFC by Yubicoの写真
Security Key C NFC by Yubicoの写真
YubiKey Bio (FIDO Edition)の写真
YubiKey C Bio (FIDO Edition)の写真
商品名 Security Key NFC by Yubico Security Key C NFC by Yubico YubiKey Bio (FIDO Edition) YubiKey C Bio (FIDO Edition)
インターフェイス USB-A USB-C USB-A USB-C
NFC対応 - -
FIDO2対応
OTP,PIV対応 - - - -

YubiKeyの価格については、弊社もしくは販売店様までお問い合わせください。

どのYubiKeyを購入すれば良いですか?

YubiKeyは、ご利用場面、サービス(ウェブサイトやアプリ)やデバイスに基づいて選択する必要があります。お客様に最適なYubiKeyの選択方法については、弊社までお問い合わせください。

YubiKey導入のハードルと解決方法

操作が簡単なYubiKeyですが、多くのユーザーに導入する際にはいくつかハードルがあります。

初期設定に工数が必要

特にPINを設定する作業において、多数のユーザーにPIN設定を任せることは避けるべきです。 社内で初期設定を行う場合、かなりの工数が必要になります。

初期設定を代行する販売代理店と契約

弊社ではPINの初期設定を代行しております。 全ての販売代理点が初期設定を代行できるわけではないため、YubiKeyの購入先が初期設計を代行できるかご確認ください。

初期費用

スマートフォンなどに比べ安価とはいえ、デバイス購入の初期費用はハードルとなります。

サブスクリプション型での購入

初期費用を抑えるには、一部署からの導入か、サブスクリプション型での購入をおすすめします。
弊社では初期費用を抑えるサブスクリプションサービス「YubiKey as a Service」を日本で唯一提供しております。

ユーザートレーニング・運用中の疑問解消

YubiKeyの運用に慣れていないユーザーに運用方法を周知するには、工数と専門知識が必要です。

スペシャリストへのサポート依頼

経験豊富なスペシャリストへの質問やオリエンテーションの依頼を検討してください。スペシャリストにはYubiKeyのみの知識だけでなく、SSOなどのYubiKeyの連携先に関する深い知識が必要です。特にCloudGate UNOとの連携には弊社へお問い合わせください。

YubiKeyの購入方法

YubiKeyの導入方法は、サブスクリプション型での購入と、買い切り方式があります。

日本で当社のみ提供!
フィッシング耐性のある認証サービス

サブスクリプションサービス
「YubiKey as a Service」の利用

(エンタープライズ・行政機関・大規模機関向け)

多くのユーザーにYubiKeyを導入する際に避けられない初期の費用・導入の大きな負担を低減し、かつ運用中のYubiKeyタイプの変更や充実したサポートをご提供する「YubiKey as a Service」が最もオススメの導入方法です。

日本では私たちISRのみYubico本社と代理店契約を結び本サービスを提供しています。YubiKeyの導入は、私たちセキュリティのプロにお任せください。

販売代理店を通じた買い切り

弊社をはじめとした販売代理店から買い切りで、必要な分のYubiKeyを購入する形です。
デメリットとして、買い切りのため、YubiKeyのファームウェアのアップデートや、導入時とは異なる種類のタイプへの変更に対して代理店は対応していないケースがあります。
弊社では買い切りでのYubiKey販売も対応しておりますので、お気軽にお問い合わせください。

YubiKeyのよくあるご質問(FAQ)

Q1

YubiKeyは誰が使用しても動作するということはセキュリティ的に問題ありませんか?

YubiKeyは「持っている(所持情報)」だけでは認証許可条件を満たさず、「知っている(知識情報)」もしくは「その人だけが持つ特性(生体情報)」などの他の要素と組み合わせた多要素認証で初めて認証許可となり、セキュリティ効果を発揮します。

2024年9月6日 YubiKeyで発見された脆弱性と弊社見解
Q2

YubiKeyは最大で幾つのサービスに利用できますか?

YubiKey 5シリーズはResident Key(レジデントキー)情報を利用してパスワードレスで設定した場合、25サイトで利用できます。

Q3

YubiKeyを利用できるサービスはCloudGate UNOの他に何がありますか?

YubiKeyは個人向けGmailやGoogle Workspace、Microsoft 365、Dropbox、GitHub、Salesforce、X(旧Twitter)、Facebookなどで利用できます。

Q4

YubiKeyの設定方法を教えてください。

YubiKeyはYubico社が提供する「YubiKey Manager」という専用アプリケーションを利用して、PINコードを設定できます。
また、Windows 10(Version 1809 以上)のデバイスでもPINコードの設定が可能です。

Q5

PIVはWindows単体でも使えますか?

いいえ、Windows単体では使用できません。PIVを使うためにはその端末がActive Directoryのドメインに所属する必要があります。Active Directoryと証明局(CA)が必要です。

Q6

ワンタイムパスワード(OTP)とOATH-HOTPは違うものですか?

はい、ワンタイムパスワード(OTP)とOATH-HOTPは異なります。YubiKeyのOTPはYubiKey OTP(Yubico社のアルゴリズムによるもの)を指します。ワンタイムパスワードの生成ルールが異なります。

Q7

YubiKeyは日本語の指(Yubi)+鍵(Key)を組み合わせた造語ですか?

いいえ、造語ではありません。YubiKeyはYour UBIquitous Key(ユア・ユビキタス・キー)の略です。

Q8

YubiKeyは指紋認証と同じですか?

YubiKey 5シリーズと、Security Keyシリーズは指紋認証ではなく、PINによる知識情報での認証です。金属部分は、人間の皮膚表面の微弱な静電気に反応して作動します。 指紋認証を利用したい場合はYubiKey Bioシリーズをご検討ください。

Q9

スペアのキーは重要ですか?

はい、Yubicoではスペアキーを推奨しています。車やオフィスのスペアキーと全く同じ発想です。スペアキーがあれば、アカウントから締め出される心配も、アクセスを復旧を待つことも、再度の本人確認プロセスも必要もありません。

スペアキーの登録方法はいくつかあります。サービスがYubico OTPFIDOセキュリティプロトコル、またはOATH-TOTPプロトコルをサポートしているかによって、登録方法は異なります。

ご利用のサービスがどのセキュリティプロトコルをサポートしているかを確認するには、Works with YubiKeyカタログをご確認ください。Yubico OTPまたはFIDOセキュリティプロトコルを使用するサービスでは、スペアキーの登録は最初のキーを登録した方法と同じ方法で手順を踏むだけで済みます。

なお、スペアキーとプライマリキーは連携していません。 両方のキーをアカウントに個別に登録する必要があり、両方のキーで認証を行うことができます。

サービスがOATH-TOTPプロトコルを使用している場合(Yubico Authenticatorアプリを使用してログイン用のコードを生成している)場合は、プロセスが若干異なります。 このセキュリティプロトコルのセットアップガイドはこちらをご覧ください。

スペアキーの種類は、最初に購入したキーと同じである必要はありませんが、認証するサービスに必要なセキュリティプロトコルに対応していることを確認してください。プロトコルに対するサービスの対応状況を確認するには、Works with YubiKeyカタログをご利用ください

Q10

YubiKeyを紛失した場合はどうなりますか?

YubiKeyは高い耐タンパー性を有しており、紛失したとしてもリバースエンジニアリングによるセキュリティリスクは低いです。

ですが、Yubicoでは、スペアキーでアカウントを保護することを推奨しています。上記の「スペアキーは重要ですか?」をご覧ください。スペアキーお持ちでない場合は、アカウントに別の2FAを追加することをお勧めします。

アカウントにアクセスする手段を失った場合には、アカウントの復旧について管理者に問い合わせる必要があります。

Q11

YubiKey PINとはなんですか?

YubiKeyには最大3つのPINを設定できます。FIDO2機能用、PIV(スマートカード)用、OpenPGP用の3つです。
PIVおよびOpenPGPのPINはデフォルトで123456に設定されていますが、FIDO2 PINは工場出荷時に設定されていません。

PINの入力を求められた場合(PINの設定時も含む)、どのPINなのかわからない場合は、おそらくYubiKeyのFIDO2 PINである可能性が高いです。

青色のセキュリティキーを使用している場合は、PIVおよびOpenPGPをサポートしていないため、FIDO2が唯一のPINとなります。

より詳しくはこちらの記事をご覧ください。

Q12

YubiKeyが使えません、どうしたらいいですか?

ご確認を以下の手順に従って進めてください。

  • YubiKeyを差し込み、LEDが点灯することを確認します。点灯しない場合は、YubiKeyかUSB差し込み口が上下逆になっている可能性があるので、上下を逆にしてみてください。
  • YubiKeyがどのように識別されているかを確認します。
    • Windowsは、コントロールパネルの「デバイスとプリンター」を確認します。
    • MacOS「アップルメニュー 」> 「このMacについて」 >「 システムレポート」> 「ハードウェア」に格納されている「USB」を確認してください。
    • Linuxユーザーはターミナルでdmesgを確認します。
  • USBインターフェース(OTP、U2F/FIDO、またはCCID)のいずれかが表示されていない場合は、「USBインターフェースの有効化または無効化」の記事を参照して有効にしてください。
  • 「U2Fのテスト」の手順に従ってU2Fをテストします。
  • Testing Yubico OTPガイドに従ってOTPをテストします。

YubiKeysは静電容量式タッチセンサーを使用しているため、皮膚が乾燥しているとタッチが検出されにくくなります。保湿液を使用すると改善される場合があります。また、指でセンサーを多く覆うように、強めに押し付けることもお試しください。

YubiKey導入のご相談は
メーカー公式代理店のISRまでお問い合わせください!

\導入のご相談等・金額のお問い合わせは/

フォームから問い合わせ

お電話でもお気軽に!
03-5942-8314までお問い合わせください。

ページの先頭へ