YubiKeyは、最もセキュリティレベルの高い多要素認証に使える機器である「セキュリティキー(ハードウェアトークン)」のひとつです。
YubiKeyの基本的な使い方はUSBポートに挿して触れるだけ。様々なOSで使用でき、専用ソフトウェアやドライバーは必要ありません。対応サービスは年々増加しており、次世代のセキュリティソリューションとして注目されています。
米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。
YubiKeyは米国とスウェーデンで製造されており、Google社、Meta(旧 Facebook)社、 Microsoft社、米国国防総省など、全世界160カ国以上に2,200万個以上の販売実績があります。
YubiKeyの初心者向けガイド (1MB)
セキュリティキーとは、パスワードを使用しない多要素認証(MFA)に対応する機器の総称です。
YubiKeyのような機器に挿入するタイプの他に、入室管理用のカードキーや、リストバンド型など、様々な機器がセキュリティキーと呼ばれています。
なぜセキュリティキーが必要なのでしょうか。
ハッキングによる侵害の80%はパスワードが原因とも言われ、パスワードの危険性は広く知られるところです。
これまでクラウドサービスのセキュリティ対策としては二段階認証が広く用いられていました。しかし、秘密の質問など「知識情報」のみ用いる場合には本質的にはパスワードのみのセキュリティと変わらず、脆弱です。
最近では、パスワードと合わせてSMSや電子メールコードを使用する「多要素認証(MFA)」の使用も一般的になっています。 これらの認証方法は知識情報のみでの認証より安全ですが、それでもフィッシング攻撃の対策として十分ではありません。
そこで、機器の「所持情報」や本人の「生体情報」を用いたパスワードを使わないセキュリティソリューションが求められました。セキュリティキーはこのニーズに対応して生まれました。
パスワードレス認証について詳しく知る
本人しか持っていない・知っていない
“機器などの所持情報” “PINなどの知識情報”
“顔や指紋などの生体情報”
のうち2つ以上の情報をかけ合わせる
パスワード + アプリやSMSでのワンタイム パスワード
パスワード + 秘密の質問など
二段階認証はどの要素を使うかどうかに関わらず、2回に分けた認証を行う方式のため、単一要素でも認証が完結できます。つまり、知識情報であるパスワードを2度入力するだけでも二段階認証として成立するので、セキュリティ強度が高いとは言えません。
SMS通知やワンタイムパスワードを発行するアプリによる多要素認証の場合、確かに「知識情報」とは別に「所持情報」を確認してログインをしているため、さきほどの「知識情報」だけによる二段階認証と比較すると多少セキュリティは高くなります。しかし、フィッシング耐性は低いままです。攻撃者が偽サイトを用意すれば、被害者にパスワードとワンタイムパスワードを入力させることは難しくありません。
セキュリティキーを含むパスキーを使用した認証は、あらかじめ登録された認証器により多要素認証を用いて本人検証を行います。生体認証やPINなどでの本人検証は認証器の中にだけ情報があるため、秘密鍵などの情報はネットワーク上に一切流出しません。
具体的には、認証器による本人検証に成功すると認証サーバーからのチャレンジに対して認証器固有の秘密鍵で署名を行い、認証サーバーに返信し、認証サーバーは予め登録されていた公開鍵で署名の検証を行うことで認証を行います。これにより、秘密鍵がネットワーク上に流れることはありません。署名されたチャレンジは再利用ができず、さらに認証情報の改ざんも難しいため、フィッシングを含む中間者攻撃に対して強い耐性があります。
米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。
FIDO2について詳しく知る前述の通り、FIDO2を満たす多要素認証にはセキュリティキー以外にも様々な認証方式があります。
その中で、セキュリティキーを選ぶ理由は以下が挙げられます。
業界最新・最高峰のFIDO2規格に対応しており、
セキュリティリスクを低減します。
機密情報や個人情報を取り扱う研究所や部門のセキュリティ強化に対応します。
子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化に最適です。
端末とセキュリティキーの間で情報のやりとりが完結するため、高いフィッシング耐性があります。
コールセンターや顧客先常駐などスマートフォンを利用できない環境下での認証強化が可能です。
複数人で共有端末を利用するコールセンターや店舗の認証強化、派遣やアルバイトなど社員の入れ替わりが多い店舗端末の認証強化にご活用いただいています。
高い耐タンパー性を有しており、紛失したとしてもリバースエンジニアリングによるセキュリティリスクが低いです。
同じくFIDO2認証を導入できるスマートフォンなどの認証デバイスに比べて低単価です。
YubiKeyの場合、USB Type-A、USB Type-C、NFC、Apple Lightningに対応しています。
YubiKeyは衝撃に強く、水没しても故障しづらいため、工場などの現場にも最適です。
劣化による買い替えも数年単位ではほぼ必要ありません。
キーはキーボードやマウスと同様の扱いとなりメモリ領域と認識されません。例えば、PCやスマートフォン端末の故障時にも、別端末で仕事が可能です。
セキュリティキーはSSOサービスと連携することで、認証をより強固かつ便利にします。 パスワードに加えてYubiKeyを使った多要素認証を行うことでフィッシング攻撃やクレデンシャルスタッフィング、アカウント乗っ取りなどのリスクを低減し、ユーザーからサービスまでエンドツーエンドで強固なセキュリティを実現できます。 また、ユーザーにとってはパスワード管理の手間がなくなり、ログインミスによるアカウントロックでの時間ロスがなくなります。
弊社のSSOサービス「CloudGate UNO」ではセキュリティキーに対応しており、お客様全社規模の導入もご支援しております。
「Yubico(ユビコ)」は2007年にスウェーデンストックホルムで設立されました。創業以来 、160カ国以上に2,200 万個以上の YubiKey を販売し、セキュリティキー業界では最大手のメーカーです。2003年にストックホルムの Nasdaq First North Growth Market に上場しました。 本社は米国カリフォルニアとスウェーデンストックホルム両国に置き、YubiKeyの製造工場も両国に備えています。 業界標準のセキュリティ規格の策定に尽力しており、FIDO2規格の策定にも中核的な役割を果たしています。
セキュリティキーはYubico社の「YubiKey」のほかに、AuthenTrend社の「ATKey.Pro」、Swissbit社の「iShield Key」が有名です。
メーカー:Yubico
本社:スウェーデン/アメリカ
メーカー:AuthenTrend
本社:台湾
メーカー:Swissbit
本社:スイス
各社FIDO2を満たしており、セキュリティレベルに差はありません。 エンタープライズ企業での選定に際しては、デバイスの特徴以上に調達方法や実績、ファームウェアアップデート時の管理方法などを考慮する必要があるでしょう。
私たちISRは、初期コストの低減、効率的な導入、長期の運用支援をサポートする
YubiKeyサブスクリプションサービス「YubiKey as a Service」を提供しております。
弊社セキュリティスペシャリストが特にお勧めする利用シーンをご提案します。
エンタープライズ企業やコールセンターでスマートフォンやPCを用いた多要素認証を実現しようとすると、多額の投資が必要になり、かつ機器紛失や故障に対しての金額・セキュリティリスクが高まります。YubiKeyであればスマートフォンよりも安価であり、たとえ紛失したとしてもセキュリティリスクは低いため、子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化として最適です。
行政機関やファイナンシャルサービスなどの管理者クラス・専門部署はセキュリティリスクへの対応が急務であるにも関わらず、使用機器の制限があり、認証プロセスのアップデートは難しいものです。YubiKeyは導入が簡単で、かつ様々なインターフェースに対応しているため、迅速に認証プロセスを最高レベルまで高めることができます。
スマートフォンの利用制限があるデータセンター、プラント、コールセンターなどでもYubiKeyを導入することにより、FIDO2を満たす認証プロトコルを構築可能です。
また、YubiKeyは堅牢性・防水性に優れるため現場での作業にも耐え、認証器故障によるダウンタイムを最小限にします。
YubiKeyには複数のタイプがあり、対応するセキュリティプロトコル、インターフェースが異なります。
使用環境により最適な機種が異なるため、弊社までご相談ください。
|
|
|
|
|
|
|
---|---|---|---|---|---|---|
商品名 | YubiKey 5 NFC | YubiKey 5C NFC | YubiKey 5Ci | YubiKey 5C | YubiKey 5 Nano | YubiKey 5C Nano |
インターフェイス | USB-A | USB-C | USB-C/Lightning | USB-C | USB-A | USB-C |
NFC対応 | - | - | - | - | ||
FIDO2対応 | ||||||
OTP,PIV対応 |
|
|
|
|
|
---|---|---|---|---|
商品名 | Security Key NFC by Yubico | Security Key C NFC by Yubico | YubiKey Bio (FIDO Edition) | YubiKey C Bio (FIDO Edition) |
インターフェイス | USB-A | USB-C | USB-A | USB-C |
NFC対応 | - | - | ||
FIDO2対応 | ||||
OTP,PIV対応 | - | - | - | - |
YubiKeyの価格については、弊社もしくは販売店様までお問い合わせください。
YubiKeyは、ご利用場面、サービス(ウェブサイトやアプリ)やデバイスに基づいて選択する必要があります。お客様に最適なYubiKeyの選択方法については、弊社までお問い合わせください。
操作が簡単なYubiKeyですが、多くのユーザーに導入する際にはいくつかハードルがあります。
特にPINを設定する作業において、多数のユーザーにPIN設定を任せることは避けるべきです。 社内で初期設定を行う場合、かなりの工数が必要になります。
弊社ではPINの初期設定を代行しております。 全ての販売代理点が初期設定を代行できるわけではないため、YubiKeyの購入先が初期設計を代行できるかご確認ください。
スマートフォンなどに比べ安価とはいえ、デバイス購入の初期費用はハードルとなります。
初期費用を抑えるには、一部署からの導入か、サブスクリプション型での購入をおすすめします。
弊社では初期費用を抑えるサブスクリプションサービス「YubiKey as a Service」を日本で唯一提供しております。
YubiKeyの運用に慣れていないユーザーに運用方法を周知するには、工数と専門知識が必要です。
経験豊富なスペシャリストへの質問やオリエンテーションの依頼を検討してください。スペシャリストにはYubiKeyのみの知識だけでなく、SSOなどのYubiKeyの連携先に関する深い知識が必要です。特にCloudGate UNOとの連携には弊社へお問い合わせください。
YubiKeyの導入方法は、サブスクリプション型での購入と、買い切り方式があります。
(エンタープライズ・行政機関・大規模機関向け)
多くのユーザーにYubiKeyを導入する際に避けられない初期の費用・導入の大きな負担を低減し、かつ運用中のYubiKeyタイプの変更や充実したサポートをご提供する「YubiKey as a Service」が最もオススメの導入方法です。
日本では私たちISRのみYubico本社と代理店契約を結び本サービスを提供しています。YubiKeyの導入は、私たちセキュリティのプロにお任せください。
弊社をはじめとした販売代理店から買い切りで、必要な分のYubiKeyを購入する形です。
デメリットとして、買い切りのため、YubiKeyのファームウェアのアップデートや、導入時とは異なる種類のタイプへの変更に対して代理店は対応していないケースがあります。
弊社では買い切りでのYubiKey販売も対応しておりますので、お気軽にお問い合わせください。
YubiKeyは「持っている(所持情報)」だけでは認証許可条件を満たさず、「知っている(知識情報)」もしくは「その人だけが持つ特性(生体情報)」などの他の要素と組み合わせた多要素認証で初めて認証許可となり、セキュリティ効果を発揮します。
2024年9月6日 YubiKeyで発見された脆弱性と弊社見解YubiKey 5シリーズはResident Key(レジデントキー)情報を利用してパスワードレスで設定した場合、25サイトで利用できます。
YubiKeyは個人向けGmailやGoogle Workspace、Microsoft 365、Dropbox、GitHub、Salesforce、X(旧Twitter)、Facebookなどで利用できます。
YubiKeyはYubico社が提供する「YubiKey Manager」という専用アプリケーションを利用して、PINコードを設定できます。
また、Windows 10(Version 1809 以上)のデバイスでもPINコードの設定が可能です。
いいえ、Windows単体では使用できません。PIVを使うためにはその端末がActive Directoryのドメインに所属する必要があります。Active Directoryと証明局(CA)が必要です。
はい、ワンタイムパスワード(OTP)とOATH-HOTPは異なります。YubiKeyのOTPはYubiKey OTP(Yubico社のアルゴリズムによるもの)を指します。ワンタイムパスワードの生成ルールが異なります。
いいえ、造語ではありません。YubiKeyはYour UBIquitous Key(ユア・ユビキタス・キー)の略です。
YubiKey 5シリーズと、Security Keyシリーズは指紋認証ではなく、PINによる知識情報での認証です。金属部分は、人間の皮膚表面の微弱な静電気に反応して作動します。 指紋認証を利用したい場合はYubiKey Bioシリーズをご検討ください。
はい、Yubicoではスペアキーを推奨しています。車やオフィスのスペアキーと全く同じ発想です。スペアキーがあれば、アカウントから締め出される心配も、アクセスを復旧を待つことも、再度の本人確認プロセスも必要もありません。
スペアキーの登録方法はいくつかあります。サービスがYubico OTP、FIDOセキュリティプロトコル、またはOATH-TOTPプロトコルをサポートしているかによって、登録方法は異なります。
ご利用のサービスがどのセキュリティプロトコルをサポートしているかを確認するには、Works with YubiKeyカタログをご確認ください。Yubico OTPまたはFIDOセキュリティプロトコルを使用するサービスでは、スペアキーの登録は最初のキーを登録した方法と同じ方法で手順を踏むだけで済みます。
なお、スペアキーとプライマリキーは連携していません。 両方のキーをアカウントに個別に登録する必要があり、両方のキーで認証を行うことができます。
サービスがOATH-TOTPプロトコルを使用している場合(Yubico Authenticatorアプリを使用してログイン用のコードを生成している)場合は、プロセスが若干異なります。 このセキュリティプロトコルのセットアップガイドはこちらをご覧ください。
スペアキーの種類は、最初に購入したキーと同じである必要はありませんが、認証するサービスに必要なセキュリティプロトコルに対応していることを確認してください。プロトコルに対するサービスの対応状況を確認するには、Works with YubiKeyカタログをご利用ください
YubiKeyは高い耐タンパー性を有しており、紛失したとしてもリバースエンジニアリングによるセキュリティリスクは低いです。
ですが、Yubicoでは、スペアキーでアカウントを保護することを推奨しています。上記の「スペアキーは重要ですか?」をご覧ください。スペアキーお持ちでない場合は、アカウントに別の2FAを追加することをお勧めします。
アカウントにアクセスする手段を失った場合には、アカウントの復旧について管理者に問い合わせる必要があります。
YubiKeyには最大3つのPINを設定できます。FIDO2機能用、PIV(スマートカード)用、OpenPGP用の3つです。
PIVおよびOpenPGPのPINはデフォルトで123456に設定されていますが、FIDO2 PINは工場出荷時に設定されていません。
PINの入力を求められた場合(PINの設定時も含む)、どのPINなのかわからない場合は、おそらくYubiKeyのFIDO2 PINである可能性が高いです。
青色のセキュリティキーを使用している場合は、PIVおよびOpenPGPをサポートしていないため、FIDO2が唯一のPINとなります。
より詳しくはこちらの記事をご覧ください。
ご確認を以下の手順に従って進めてください。
YubiKeysは静電容量式タッチセンサーを使用しているため、皮膚が乾燥しているとタッチが検出されにくくなります。保湿液を使用すると改善される場合があります。また、指でセンサーを多く覆うように、強めに押し付けることもお試しください。
\導入のご相談等・金額のお問い合わせは/
フォームから問い合わせお電話でもお気軽に!
03-5942-8314までお問い合わせください。