認証や最新のMFA用語のアルファベットスープについての解説

大半のサイバー攻撃は、ログインパスワードやその他認証情報の盗難から始まります。 クラウド化が進む世界では、企業、個人、政府機関の通信システムには、インターネット経由で誰でもアクセスでき、攻撃を受けやすくなっています。 様々なサイバー攻撃の中でも、クレデンシャルフィッシングは最も重大な問題で、これらの脅威から自分を保護するためにはガイダンスの意味を理解することが大切です。  

Yubicoでは、フィッシング対策の多要素認証（MFA)ガイドの共有をはじめとする保護ツールをご用意しています。 セキュリティ業界には、頭字語や複雑な技術ツールから構成される「アルファベットスープ」の悪いイメージがありますが、MFAも例外ではありません。 MFAのすべてを理解しようとする気が遠くなりますが、MFAの用語や種類を常識的なカテゴリーに分類してみると、思っていたよりもわかりやすくなります。

連邦政府は、企業に対して堅牢な認証プロセスを採用するように、ますます強く要請しています。 バイデン大統領による昨年のサイバーセキュリティに関する大統領令とその他の今年の緊急声明から、行政管理予算局（OMB）による公的機関向けのフィッシング対策MFAのためのゼロトラスト戦略の策定計画、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の最近の声明とShield Upプログラムまでを踏まえると、今こそサイバーセキュリティ脅威から身を守り、すべてのMFA専門用語を確実に理解する時です。 

以下は、組織で使用できる重要な用語です。 これには、主要な認証用語とその定義、および主流認証ツールとMFAツールのリストが含まれています。 また、パスワードの落とし穴と、未来のパスワードレス認証に向けた重要なステップについても、こちらのダイジェスト版ビデオで紹介しています。

MFA用語：2FA、MFA、フィッシング対策MFAの定義 

• 2要素認証（2FA）
  • 2FAとは、2種類の違う要素を組み合わせて使い、ユーザーが主張するオンラインIDを確認する方法です。 これを「2段階認証」と呼ぶ場合もありますが、略語として2FAが使用されています。 2FAに使用される要素には、本人が知る要素（例：パスワードやPIN）、本人が持つ要素（例：セキュリティキーや電話番号）、本人が備える要素（例：顔認証）が含まれます。 
• 多要素認証（MFA）
  • MFAでは、アカウントにサインインするために、複数の証拠または要素を使って、3つ以上の方法でログインすることが要求されます。 MFAにはSMSベースのワンタイムパスワード（OTP）、モバイルアプリ、生体認証、磁気ストライプカード、スマートカード、物理セキュリティキーなど様々な種類があります。 
• フィッシング
  • フィッシングとは、ユーザーが騙されてユーザー名、パスワード、クレジットカードなどの個人情報を、そのユーザーのアカウントの乗っ取りを謀る第三者に教えるように誘導されることです。 フィッシング攻撃の59%が金銭目的です。
• フィッシング対策MFA
  • フィッシング対策MFAとは、攻撃者がアクセス情報を傍受することや、ユーザーを騙して情報を開示させることを防ぐ認証プロセスのことです。 パスワード、SMSやその他のワンタイムパスワード（OTP）、セキュリティの質問、さらにはモバイルプッシュ通知など一般的に使用されるMFAは、前述の攻撃のいずれかまたは両方の影響を受けやすいため、フィッシング攻撃への耐性はありません。 更に、このプロセスでは常に各当事者はその有効性と開始の意思を示す証拠を提出しなければなりません。 アメリカ合衆国行政管理予算局が最近発行した覚書（7ページ）によると、フィッシング対策MFAは、連邦政府のPIV（Personal Identity Verification）カードおよびスマートカードと、最新のFIDOおよびWebAuthnの2つの認証技術として定義されています。  

認証とMFAでよく使われている用語

• 認証アプリ
  • 認証アプリは、モバイルまたはデスクトップ端末で時間ベースのワンタイムパスコード (TOTP) を生成することで、オンラインアカウントのセキュリティ層を追加します。 TOTP方式は2層目のセキュリティを追加する設計で、多数の認証アプリで採用されています。 これには、モバイルとデスクトップにおいて最も安全な認証アプリであるYubico Authenticatorが例に挙げられます。 認証アプリはレベル2の強固なセキュリティですが、フィッシング対策MFAと同じレベルにまでは届きません。
• 生体認証
  • 生体認証は、物理的または行動的な人間の特性によりシステム、デバイス、またはデータへのアクセスを許可する人をデジタルで識別する仕組みです。 バイオメトリクス識別子の例としては、指紋、顔のパターン、音声、タイピングのリズムが挙げられます。 セキュリティキーなどの生体認証データを取得すると、テンプレートが保存され、後でデバイスまたはアプリケーションへの認証に使用できるようになります。 生体認証は2FAの安全な形態と考えられていますが、それでもサイバー攻撃を受けやすく、Lapsus$による最近のサイバー攻撃など、膨大な生体認証データベースの盗難が発生しています。
• FIDO CTAP1
  • FIDOとは、単純なパスワードに代わる認証規格の開発と普及をミッションとして2013年に発足したオープンな業界団体FIDOアライアンスのことです。 YubicoはFIDOアライアンス理事会の会員で、FIDO標準の作者兼開発者です。 CTAP1とは、Client to Authenticator Protocolのことで、外部ポータブル認証器（ハードウェアセキュリティキーなど）をコンピュータなどのクライアントプラットフォームと連動させることができるプロトコルです。 U2F（上記の定義参照）は、FIDOのCTAP1とCTAP2プロトコルの一部です。 
• FIDO CTAP2
  • CTAP2を使用する認証器はFIDO2認証器（またはWebAuthn認証器）と呼ばれています。 その認証器がCTAP1/U2Fも実装していれば、U2Fとの下位互換性があります。 YubiKey 5シリーズのセキュリティキーはCTAP 1とCTAP 2の両方をサポートしているためU2FとFIDO2の両方に対応し、強力な1要素認証（パスワードレス）、2要素認証、多要素認証を提供できます。 
• OTP
  • ワンタイムパスワード（またはパスコード）は、1回きりのログインセッションまたはトランザクションにのみ有効です。 通常、OTPはSMS経由で携帯電話に送信され、2FAプロセスの一環として頻繁に使われています。 最近、連邦標準機関であるNISTは、SMSは2FAの弱い形式であるとして、最新のMFAには他の手法を使うように推奨しています。 
• パスキー
  • WebAuthn/FIDO認証情報は最終的にパスワードに取って代わる可能性があるため、業界では、WebAuthn/FIDO認証情報がセキュリティキー上にあっても、デバイスのハードウェアに結合されていても、あるいはデバイス上のファイルに保存されてクラウドプロバイダによってコピーされていても、簡単に参照できるように「パスキー」という用語を導入しています。 これらの追加オプションにより、より多くのサイトがWebAuthn/FIDOを採用するようになることを願っています。これは、コピー可能なマルチデバイスパスキーを使用していても、YubiKeyのようにパスキーがYubiKeyハードウェアにバインドされている強力なソリューションを使用していても、すべての人にメリットをもたらします。 最近、弊社はパスキーと、業界におけるパスキーの重要性について詳しく説明したブログをこちらに掲載したので、参照してください。
• パスワード
  • パスワードについては誰もが知っているし、頭字語でもありませんが、ここでお伝えしたいことは、10年、15年または30年前のパスワードの概念は、現在では通用しないということです。 以前は、複雑なパスワードを使い定期的に変更すれば安全性が高まるというのが一般的な認識でした。 現在では、パスワードは最低レベルのセキュリティしか提供せず、フィッシング攻撃やその他の方法で認証情報の盗難に遭いやすいことがわかっています。 
• パスワードレス
  • パスワードレスとは、パスワードを使わない認証やログインのことで、企業や消費者の何十億ものユーザーが、重要なリソースやシステムに安全にログインする方法に劇的な変化をもたらします。 ユーザーは、FIDO2ベースのハードウェアセキュリティキーやスマートカードの個人認証（PIV）などのパスワードレスデバイスを使って認証するだけで、アプリケーションやシステムで自分の認証情報を確認できます。
• PIVスマートカード
  • Personal Identity Verification（PIV）認証は、連邦政府が管理する施設と情報システムに適切なセキュリティレベルでアクセスするために使用される米国連邦政府機関の認証情報です。 これは、従業員がワークステーションやその他のアクセスポイントにログインする際に使用するセキュリティトークンとなる集積チップ（IC）が埋め込まれた物理的なカードであるため、「スマートカード」と呼ばれることが多いようです。 ハードウェアセキュリティキーは、導入が簡単なスマートカードとしても機能します。 CACは、Common Access Card（共通アクセスカード）を指す別のアルファベットスープ成分で、実際にはPIVとコンセプトは同じですが、 国防総省の職員と請負業者が使用しています。 前述の通り、アメリカ合衆国行政管理予算局（OMB）の覚書ではPIVとCACを「ますます巧妙になる攻撃から保護するためのMFA フィッシング対策手法」と呼んでいます。
• プッシュ認証
  • プッシュ認証はモバイル認証手法で、プロバイダーはユーザーの電話に通知を送信します。 受信した人はリクエストを承認または拒否します。 
• セキュリティキー
  • Yubicoは、複数の認証プロトコルをサポートし、エンドユーザーが管理する認証用の専用ハードウェアデバイスであるYubiKeyとセキュリティキーのフォームファクターを使用して、ハードウェア認証を刷新しました。 セキュリティキーは、プラットフォーム、ブラウザー、アプリケーション間でFIDO認証を有効にします。 これはU2FやWebAuthn/FIDO2対応サービスでは最強の認証となり、強力な1要素（パスワードレス）、2要素、多要素認証から選択できます。 YubiKeysはFIDO、PIV、TOTP、OpenPGPなど、更に幅広い認証オプションに対応しています。 
• U2F
  • Universal 2nd Factorは、2012年にYubico、Google、NXPによって共同開発され、Google従業員に配備された後、FIDOアライアンスに提供されました。 このプロトコルは、既存のユーザー名とパスワードに基づくログインフローを強化するための2番目の要素として機能するように設計されています。 これはYubicoが発明した拡張性に優れた公開キーモデルがベースになっていて、各サービスに対して新しいキーペアが生成され、無制限の数のサービスに対応しながら、それぞれのサービスを完全に分離してプライバシーを保護します。 
• WebAuthn
  • これは、すべての主要なブラウザとプラットフォームでサポートされている、Web上での安全な認証のための新しいW3Cグローバル規格です。 WebAuthnでは、ハードウェアセキュリティキーなどの外付けまたはポータブルな認証機能や、生体センサーなどの組み込みプラットフォーム認証機能など、アカウントを保護するための認証機能の選択肢をユーザーに簡単に提供できます。.

最適な認証オプション

これまで、いくつかの2FAとMFA手法について説明してきました。 しかし、これらは全て同じように作られているわけではありません。 ほとんどの基本的な認証方法は安全ではありません。SMS、ワンタイムパスワード、モバイルプッシュ認証でさえ、フィッシング、ソーシャルエンジニアリング、中間者攻撃によりアカウントを乗っ取られる恐れがあります。 

今すぐ最先端のフィッシング対策MFAを実装しましょう

もちろん、どんな認証やMFAでも何もやらないよりはましですが、デジタルライフを保護するという点では、フィッシング対策MFA、特にPIV/スマートカードとWebAuthn/FIDOを導入することが明らかに効果的で、両方ともYubiKeyでサポートされています。 

現在使用しているアプリやサービスでMFAのオプションを増やしませんか？ 問い合わせ先 

パスワードの使用をやめて、パスワードレス認証に移行しましょう