• 営業部門へのお問い合わせ
  • 購入方法と配送/販売パートナーリスト
Yubico Header Text LogoYubico Header Text Logo
Yubicoの理由expand_more
Yubicoの理由
  • 企業向けのページ
  • 個人向けのページ
  • コンプライアンスのために
  • Yubicoについて
  • 投資家 (EN)
cern sign on building
CERNが管理者アカウントとサーバーへのアクセスを保護するためにYubiKeyを導入
事例を読む
  • japanese
Google headquarters
アカウントの乗っ取りを防止し、ITコストを削減するGoogle社
事例を読む
  • japanese
Hand holding YubiKey behind Apple iPhone
モバイル向けYubiKeyIT
ソリューションの概要を読む
  • japanese
製品expand_more
  • YubiKey
  • 製品比較 (EN)
Laptop with a YubiKey inserted
YubiKey 5シリーズ: マルチプロトコルの Security Key
製品概要を読む
  • japanese
2022年のサプライチェーンセキュリティ
ブログを読む
  • japanese
購入方法expand_more
  • オンラインストア
Person using YubiEnterprise Console on a laptop
FIDO2とWebAuthnでパスワードレスを実現
Read the White Paper
  • japanese
YubiKey on a keychain plugged into a laptop
共有ワークステーションでレガシー認証が機能していない本当の理由
Read the Blog
  • japanese
企業全体のIDフィッシングを阻止する方法:強力な認証を展開するためのガイド
Read the E-book
  • japanese
リソースexpand_more
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
Government building
米国の州が有権者登録データベースをハッカーから守るためにYubiKeyを使用
Read the Case Study
  • japanese
Person looking at a computer with a government building showing
米国 国防総省 ケース スタディ
Read the Case Study
  • japanese
YubiKeys in lots of form factors
世界最小のハードウェア・セキュリティモジュール(HSM)で暗号鍵を保護
Read the Product Brief
  • japanese
お問い合わせストア
  • Home » Yubico Blog | JA » 認証や最新のMFA用語のアルファベットスープについての解説

    認証や最新のMFA用語のアルファベットスープについての解説

    Ronnie Manning

    Ronnie Manning

    July 25, 2022
    1 minute read
    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    大半のサイバー攻撃は、ログインパスワードやその他認証情報の盗難から始まります。 クラウド化が進む世界では、企業、個人、政府機関の通信システムには、インターネット経由で誰でもアクセスでき、攻撃を受けやすくなっています。 様々なサイバー攻撃の中でも、クレデンシャルフィッシングは最も重大な問題で、これらの脅威から自分を保護するためにはガイダンスの意味を理解することが大切です。  

    Yubicoでは、フィッシング対策の多要素認証(MFA)ガイドの共有をはじめとする保護ツールをご用意しています。 セキュリティ業界には、頭字語や複雑な技術ツールから構成される「アルファベットスープ」の悪いイメージがありますが、MFAも例外ではありません。 MFAのすべてを理解しようとする気が遠くなりますが、MFAの用語や種類を常識的なカテゴリーに分類してみると、思っていたよりもわかりやすくなります。

    連邦政府は、企業に対して堅牢な認証プロセスを採用するように、ますます強く要請しています。 バイデン大統領による昨年のサイバーセキュリティに関する大統領令とその他の今年の緊急声明から、行政管理予算局(OMB)による公的機関向けのフィッシング対策MFAのためのゼロトラスト戦略の策定計画、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の最近の声明とShield Upプログラムまでを踏まえると、今こそサイバーセキュリティ脅威から身を守り、すべてのMFA専門用語を確実に理解する時です。 

    以下は、組織で使用できる重要な用語です。 これには、主要な認証用語とその定義、および主流認証ツールとMFAツールのリストが含まれています。 また、パスワードの落とし穴と、未来のパスワードレス認証に向けた重要なステップについても、こちらのダイジェスト版ビデオで紹介しています。

    MFA用語:2FA、MFA、フィッシング対策MFAの定義 

    • 2要素認証(2FA)
      • 2FAとは、2種類の違う要素を組み合わせて使い、ユーザーが主張するオンラインIDを確認する方法です。 これを「2段階認証」と呼ぶ場合もありますが、略語として2FAが使用されています。 2FAに使用される要素には、本人が知る要素(例:パスワードやPIN)、本人が持つ要素(例:セキュリティキーや電話番号)、本人が備える要素(例:顔認証)が含まれます。 
    • 多要素認証(MFA)
      • MFAでは、アカウントにサインインするために、複数の証拠または要素を使って、3つ以上の方法でログインすることが要求されます。 MFAにはSMSベースのワンタイムパスワード(OTP)、モバイルアプリ、生体認証、磁気ストライプカード、スマートカード、物理セキュリティキーなど様々な種類があります。 
    • フィッシング
      • フィッシングとは、ユーザーが騙されてユーザー名、パスワード、クレジットカードなどの個人情報を、そのユーザーのアカウントの乗っ取りを謀る第三者に教えるように誘導されることです。 フィッシング攻撃の59%が金銭目的です。
    • フィッシング対策MFA
      • フィッシング対策MFAとは、攻撃者がアクセス情報を傍受することや、ユーザーを騙して情報を開示させることを防ぐ認証プロセスのことです。 パスワード、SMSやその他のワンタイムパスワード(OTP)、セキュリティの質問、さらにはモバイルプッシュ通知など一般的に使用されるMFAは、前述の攻撃のいずれかまたは両方の影響を受けやすいため、フィッシング攻撃への耐性はありません。 更に、このプロセスでは常に各当事者はその有効性と開始の意思を示す証拠を提出しなければなりません。 アメリカ合衆国行政管理予算局が最近発行した覚書(7ページ)によると、フィッシング対策MFAは、連邦政府のPIV(Personal Identity Verification)カードおよびスマートカードと、最新のFIDOおよびWebAuthnの2つの認証技術として定義されています。  

    認証とMFAでよく使われている用語

    • 認証アプリ
      • 認証アプリは、モバイルまたはデスクトップ端末で時間ベースのワンタイムパスコード (TOTP) を生成することで、オンラインアカウントのセキュリティ層を追加します。 TOTP方式は2層目のセキュリティを追加する設計で、多数の認証アプリで採用されています。 これには、モバイルとデスクトップにおいて最も安全な認証アプリであるYubico Authenticatorが例に挙げられます。 認証アプリはレベル2の強固なセキュリティですが、フィッシング対策MFAと同じレベルにまでは届きません。
    • 生体認証
      • 生体認証は、物理的または行動的な人間の特性によりシステム、デバイス、またはデータへのアクセスを許可する人をデジタルで識別する仕組みです。 バイオメトリクス識別子の例としては、指紋、顔のパターン、音声、タイピングのリズムが挙げられます。 セキュリティキーなどの生体認証データを取得すると、テンプレートが保存され、後でデバイスまたはアプリケーションへの認証に使用できるようになります。 生体認証は2FAの安全な形態と考えられていますが、それでもサイバー攻撃を受けやすく、Lapsus$による最近のサイバー攻撃など、膨大な生体認証データベースの盗難が発生しています。
    • FIDO CTAP1
      • FIDOとは、単純なパスワードに代わる認証規格の開発と普及をミッションとして2013年に発足したオープンな業界団体FIDOアライアンスのことです。 YubicoはFIDOアライアンス理事会の会員で、FIDO標準の作者兼開発者です。 CTAP1とは、Client to Authenticator Protocolのことで、外部ポータブル認証器(ハードウェアセキュリティキーなど)をコンピュータなどのクライアントプラットフォームと連動させることができるプロトコルです。 U2F(上記の定義参照)は、FIDOのCTAP1とCTAP2プロトコルの一部です。 
    • FIDO CTAP2
      • CTAP2を使用する認証器はFIDO2認証器(またはWebAuthn認証器)と呼ばれています。 その認証器がCTAP1/U2Fも実装していれば、U2Fとの下位互換性があります。 YubiKey 5シリーズのセキュリティキーはCTAP 1とCTAP 2の両方をサポートしているためU2FとFIDO2の両方に対応し、強力な1要素認証(パスワードレス)、2要素認証、多要素認証を提供できます。 
    • OTP
      • ワンタイムパスワード(またはパスコード)は、1回きりのログインセッションまたはトランザクションにのみ有効です。 通常、OTPはSMS経由で携帯電話に送信され、2FAプロセスの一環として頻繁に使われています。 最近、連邦標準機関であるNISTは、SMSは2FAの弱い形式であるとして、最新のMFAには他の手法を使うように推奨しています。 
    • パスキー
      • WebAuthn/FIDO認証情報は最終的にパスワードに取って代わる可能性があるため、業界では、WebAuthn/FIDO認証情報がセキュリティキー上にあっても、デバイスのハードウェアに結合されていても、あるいはデバイス上のファイルに保存されてクラウドプロバイダによってコピーされていても、簡単に参照できるように「パスキー」という用語を導入しています。 これらの追加オプションにより、より多くのサイトがWebAuthn/FIDOを採用するようになることを願っています。これは、コピー可能なマルチデバイスパスキーを使用していても、YubiKeyのようにパスキーがYubiKeyハードウェアにバインドされている強力なソリューションを使用していても、すべての人にメリットをもたらします。 最近、弊社はパスキーと、業界におけるパスキーの重要性について詳しく説明したブログをこちらに掲載したので、参照してください。
    • パスワード
      • パスワードについては誰もが知っているし、頭字語でもありませんが、ここでお伝えしたいことは、10年、15年または30年前のパスワードの概念は、現在では通用しないということです。 以前は、複雑なパスワードを使い定期的に変更すれば安全性が高まるというのが一般的な認識でした。 現在では、パスワードは最低レベルのセキュリティしか提供せず、フィッシング攻撃やその他の方法で認証情報の盗難に遭いやすいことがわかっています。 
    • パスワードレス
      • パスワードレスとは、パスワードを使わない認証やログインのことで、企業や消費者の何十億ものユーザーが、重要なリソースやシステムに安全にログインする方法に劇的な変化をもたらします。 ユーザーは、FIDO2ベースのハードウェアセキュリティキーやスマートカードの個人認証(PIV)などのパスワードレスデバイスを使って認証するだけで、アプリケーションやシステムで自分の認証情報を確認できます。
    • PIVスマートカード
      • Personal Identity Verification(PIV)認証は、連邦政府が管理する施設と情報システムに適切なセキュリティレベルでアクセスするために使用される米国連邦政府機関の認証情報です。 これは、従業員がワークステーションやその他のアクセスポイントにログインする際に使用するセキュリティトークンとなる集積チップ(IC)が埋め込まれた物理的なカードであるため、「スマートカード」と呼ばれることが多いようです。 ハードウェアセキュリティキーは、導入が簡単なスマートカードとしても機能します。 CACは、Common Access Card(共通アクセスカード)を指す別のアルファベットスープ成分で、実際にはPIVとコンセプトは同じですが、 国防総省の職員と請負業者が使用しています。 前述の通り、アメリカ合衆国行政管理予算局(OMB)の覚書ではPIVとCACを「ますます巧妙になる攻撃から保護するためのMFA フィッシング対策手法」と呼んでいます。
    • プッシュ認証
      • プッシュ認証はモバイル認証手法で、プロバイダーはユーザーの電話に通知を送信します。 受信した人はリクエストを承認または拒否します。 
    • セキュリティキー
      • Yubicoは、複数の認証プロトコルをサポートし、エンドユーザーが管理する認証用の専用ハードウェアデバイスであるYubiKeyとセキュリティキーのフォームファクターを使用して、ハードウェア認証を刷新しました。 セキュリティキーは、プラットフォーム、ブラウザー、アプリケーション間でFIDO認証を有効にします。 これはU2FやWebAuthn/FIDO2対応サービスでは最強の認証となり、強力な1要素(パスワードレス)、2要素、多要素認証から選択できます。 YubiKeysはFIDO、PIV、TOTP、OpenPGPなど、更に幅広い認証オプションに対応しています。 
    • U2F
      • Universal 2nd Factorは、2012年にYubico、Google、NXPによって共同開発され、Google従業員に配備された後、FIDOアライアンスに提供されました。 このプロトコルは、既存のユーザー名とパスワードに基づくログインフローを強化するための2番目の要素として機能するように設計されています。 これはYubicoが発明した拡張性に優れた公開キーモデルがベースになっていて、各サービスに対して新しいキーペアが生成され、無制限の数のサービスに対応しながら、それぞれのサービスを完全に分離してプライバシーを保護します。 
    • WebAuthn
      • これは、すべての主要なブラウザとプラットフォームでサポートされている、Web上での安全な認証のための新しいW3Cグローバル規格です。 WebAuthnでは、ハードウェアセキュリティキーなどの外付けまたはポータブルな認証機能や、生体センサーなどの組み込みプラットフォーム認証機能など、アカウントを保護するための認証機能の選択肢をユーザーに簡単に提供できます。.

    最適な認証オプション

    これまで、いくつかの2FAとMFA手法について説明してきました。 しかし、これらは全て同じように作られているわけではありません。 ほとんどの基本的な認証方法は安全ではありません。SMS、ワンタイムパスワード、モバイルプッシュ認証でさえ、フィッシング、ソーシャルエンジニアリング、中間者攻撃によりアカウントを乗っ取られる恐れがあります。 

    今すぐ最先端のフィッシング対策MFAを実装しましょう

    もちろん、どんな認証やMFAでも何もやらないよりはましですが、デジタルライフを保護するという点では、フィッシング対策MFA、特にPIV/スマートカードとWebAuthn/FIDOを導入することが明らかに効果的で、両方ともYubiKeyでサポートされています。 

    現在使用しているアプリやサービスでMFAのオプションを増やしませんか? 問い合わせ先 

    パスワードの使用をやめて、パスワードレス認証に移行しましょう

    Share this article:

    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    Recommended Posts

    • Salesforceの使用にはMFAが必要です:必要な理由とできること

      巧妙なサイバー攻撃が中小企業や大企業を対象に執拗に攻撃し続ける中で、企業は顧客、従業員、パートナーのセキュリティをより安全に守るために、サイバーセキュリティインフラの改善を優先させる必要があります。 ユーザー名とパスワードは、進化し続けるサイバー攻撃に対して、もはや十分なセキュリティを提供するものではありません。   昨年末、Salesforceは2022年2月1日以降、同社の製品、ソリューション、プラットフォームにアクセスする際に多要素認証(MFA)を有効にすることを顧客に義務付けると発表し、これに対する強い決意を表明しました。 この要件は、GoogleやTwitterといった他の大手テクノロジ企業や、最近では米国政府が発令した 「大統領令14028」 (2024年までに、ワンタイムパスコードを利用するSMSトークンやプッシュ通知認証アプリは米国政府の要件に準拠しなくなる) による同様の取り組みを補完するものです。 Yubicoは、SalesforceのMFAとフィッシングに強いFIDOベースのセキュリティキー認証のサポートを強化する最新の活動を称賛しています。 MFAを導入することで、Salesforceのような企業は、より良いユーザーエクスペリエンスを提供しながら、顧客やプラットフォームのセキュリティを大幅に強化しています。 Salesforceが求めることは、世界中で強力かつ最新のハードウェア認証の導入を大幅に加速させ、何十万もの顧客や企業を、事業を麻痺させる可能性のあるサイバー脅威からより安全に守ることです。 Salesforceのアイデンティティ・プロダクト・マネジメント担当上級副社長であるイアン・グレイザー(Ian Glazer)氏は次のように述べています。「セールスフォースでは、信頼を第一の価値としており、顧客データを守ることは最も重要なことです。 強力なMFAの導入を推進するためには、ユーザーアカウントとデータを保護するためにユーザーと組織が実行できる唯一の最善策である、ハードウェアキーなどの幅広いMFAオプションが必要です。 お客様とのパートナーシップによりMFAを普及させることで、フィッシングやクレデンシャルスタッフィングといった一般的な脅威の成功を困難なものにします。」 MFAを実装する準備ができている場合、どれを選択すればよいでしょうか? SMS、ワンタイムパスコード、モバイル認証アプリなどの従来の(または古くからの)MFA方式のほとんどは、サイバー攻撃の防止に役立てることはできますが、すべてのMFAオプションが同じ仕組みで作られているわけではないことに注意してください。 例えば、SMSベースの認証は、企業のセキュリティを確保するには十分な効果がないことが何度も証明されています。 また、SalesforceではメールやSMSベースのワンタイムパスワードは許可されておらず、強力なMFA手法の使用が義務付けられていることも重要な点です。 最新のFIDOベース(U2F/FIDO 2/WebAuthn)認証に移行することで、組織とそのユーザーはフィッシングに強いMFAを実現できます。 YubiKeyのような物理的なセキュリティキーは、組織に求められるサイバーセキュリティの最も厳しい認証要件を満たしながら、非常に使いやすく、YubiKeyに触れるだけで本人認証と安全なアクセスを提供することができます。  これらのハードウェアベースのセキュリティキーは非常に安全性が高く、SalesforceのMFA要件を完全に満たしています。 あらゆるデバイスやオペレーティングシステムに対応し、(ネットワークサービスやバッテリを必要とせずに)数百ものオンラインサービスやアプリケーションへの安全なログインを可能にすることで、アカウント乗っ取りのリスクをほぼすべて排除することができます。  お客様のビジネスに適したYubiKeyの選択 複雑なハイブリッドIT環境を持つ企業であれ、クラウドネイティブな中小企業であれ、Yubicoにはお客様のインフラと従業員を守るための適切なキーがあります。 YubiKey 5シリーズは、マルチプロトコルのセキュリティキーをあらゆるフォームファクタで提供しています。また、YubiKey 5 FIPSシリーズは、すべてのコンプライアンスと規制要件を満たすように設計されています。  大規模な組織へのサポートをお考えであれば、YubiEnterpriseSubscriptionが柔軟な購入オプションを提供し、今日のリモートワークやハイブリッドワークの環境をお考えであれば、YubiEnterpriseDeliveryが場所を問わずYubiKeyを従業員までお届けします。 組織に最適なYubiKeyをお探しの方は、https://www.yubico.com/quiz/へアクセスしてください。  私たちは、一般の消費者から中小企業、大企業に至るまで、すべての人にとってインターネットをより安全な場所にするために、クラス最高のソリューションを提供することを継続して取り組んでまいります。  ——– YubiKeyでSalesforceのアカウントを保護するMFAを追加する方法については、こちらを参照してください。 

      Read more
      • japanese
      • Salesforce
      • YubiKey
    • Critical Infrastructure

      Learn the definition of Critical Infrastructure and get answers to FAQs regarding: What is Critical Infrastructure? How does it work?

      Read more
      • critical infrastructure
      • MFA
      • YubiKey
    • Mid-Year State of Cyber Security Report Thank You

      Thank you for accessing the Mid-Year State of Cyber Security Report: EMEA and NAM.

      Read more
      • cyberattack
      • cybersecurity
      • Report
    • CSHub Report TY page image
      Mid-Year State of Cyber Security Report: EMEA and NAM

      Read the Cyber Security Hub Mid-Year State of Cybersecurity Report to learn the trends, challenges and investment decisions in EMEA and NAM.

      Read more
      • cyberattack
      • cybersecurity
      • Report
Yubico Footer Text Logo
  • RSS
  • Twitter
  • LinkedIn
  • Instagram
  • YouTube
  • GitHub
  • 製品クイズ
  • セットアップ
  • オンラインストア
  • YubiKey
  • ホワイトペーパー
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
  • 購入方法
Yubico © 2023 All Rights Reserved.
  • Sitemap
  • Cookieについて
  • 法的情報
  • プライバシー通知
  • 利用規約