Blog

Stay up to date on company and partner news, product tips, and industry trends.
Thumbnail

Mar 25, 2022

パスワードレス認証への道のりで事実をフィクションと切り離す

セキュリティの専門家たちに「パスワードレス」と言うと、苦笑いから否定まで、さまざまな反応が返ってきます。 情報セキュリティのコミュニティは「パスワードレス」という言葉が使われていることを知っています。同時に業界では、このトピックに関し、さまざまな矛盾した立場が存在するのです。  このブログの目的は、パスワードがもたらす課題、「パスワードレス」の意味、パスワードレス認証が成熟するにつれて企業の受ける恩恵を理解するための客観的なアプローチをとることです。 パスワードレスについて話し合うためには、まずパスワードについて話し合う必要があります。 パスワードのパラドックス パスワードはユーザー認証の最も一般的な形式です。セキュリティが弱く、ユーザーエクスペリエンスが低いため、敬遠されがちです。 パスワードは共通の秘密と定義されます。 秘密はユーザーと検証サービスにより認識され、さまざまなコンピューティングデバイス間で保存されることが多いです。メッセージや付箋の形で共有されることもあります。 その秘密を知るサービス、デバイス、ユーザーは、サイバー攻撃の標的になる可能性があります。  セキュリティを向上させるための最善の方法は、そのパスワードを固有で複雑なものにすることです。 ただし、これらの方法は、最近のフィッシング攻撃に対してますます効果が低くなっており、パスワードを使用するのを難しくしています。 「パスワード忘れ」を回避するために、複数のサービス間でパスワードを同じものに設定したくなります(これもセキュリティリスクを高めます)。 セキュリティと使いやすさはパスワードと相容れないものです。 セキュリティが向上するとユーザーエクスペリエンスが低下します。その逆も然りです。  ということは、パスワードとお別れする時が来たようですね。 それほど速い別れではありません。 パスワードにも、良い面はたくさんあります。 何もかも一緒くたにして捨てるのはやめましょう。 パスワードはセキュリティと使いやすさの点で劣りますが、それでも以下のような理由で広く使われています。 移植性 – パスワードまたは共有の秘密は、デバイス、ドキュメント、アカウント、サービス、さらには子どものツリーハウスへのアクセスなど、ほとんどすべてのことに適用できます。 この形式の認証を実装するために多くのインフラや依存関係は必要ないため、非常に簡単に目的にアクセスできます。 互換性 – ほとんど例外なく、使用するすべてのアプリとサービスにパスワードがあります。 もちろん、追加で2番目の認証が必要になる場合がありますが、パスワードは基本的で普遍的です。 実際、サービスにパスワードの概念との互換性があるかどうかを考える必要はありません。 パスワードの入力は、毎日行うデフォルトの行動です。 相互運用性 – コンピューター、スマートフォン、任天堂、Apple TVのいずれで認証を行う場合でも、パスワードを簡単に入力できます。 パスワードは広く普及しており、パスワードを使用するために最新のモバイルデバイスにアップグレードしたり、クライアントソフトウェアをインストールしたりする必要はありません。 それはただ機能するだけです。 なぜ、これが大切なのでしょうか? パスワード認証を廃止する場合、移植の互換性と相互運用性のニーズを損なうことなく、他の方法でセキュリティと使いやすさの両方,を, 大幅に改善する必要があります。 この概念を理解するために、「パスワードレス」という用語を定義しましょう。 パスワードレス認証とは何でしょうか? 過去数年間で、「パスワードレス」という用語が使われることが多くなりました。今では多くのセキュリティ、認証、IDソリューションプロバイダーによって使用されています。それぞれ、ニュアンスに違いがあります。 明確にするために、より広く定義すると良いでしょう。 Yubicoでは、以下を採用しています: “パスワードレス認証は、ユーザーがログイン時にパスワードを入力する必要がないあらゆる形式の認証」 簡単に思えるかもしれませんが、ここで少し、考えておくことがあります。 パスワードレス認証にはさまざまな実装方法があり、それらはすべてトレードオフとなっています。  パスワードレスの実装は、ユーザビリティに対応するために特別に設計されていることがあります。 SMS – SMSの検証は、パスワードを覚えておく必要がないため、多くの人にパスワードレスと呼ばれています。 通常、ユーザーが自身を認証するための、短期間有効なOTPコードが送信されます。 (そして、皮肉なことに、「OTP」は「ワンタイムパスワード」の略であり、これは一般的な使用法の共有に過ぎません。) メールマジックリンク– トークンを使用した固有のリンクがユーザー用に作成され、メールで送られます。 リンクをクリックすると、その特定のサービスのユーザーだと証明されます。 

Thumbnail

Mar 23, 2022

2022年のサプライチェーンセキュリティ

SolarWindsおよびColonial Pipelineにおけるサプライチェーンのセキュリティ侵害は、ソフトウェアへのサプライチェーン攻撃を主流にした2つの(多くの)インシデントです。世界的に、病院および燃料輸送が最近の目標となっています。途中で監視する必要のあるエントリポイントが数千とは言わないまでも、数百はあることを考えると、サプライチェーンの防御は容易ではないということが、企業にとっての主な課題となっています。ただし、ベンダーとデータをやり取りまたは交換するための、十分に計画された戦略と組み合わせれば、サプライチェーン攻撃リスクを軽減するベストプラクティスとなります。  サプライチェーンの広い視野を持つ サプライチェーンには幅広い関係が含まれます。一般に考えられる物理的な商品や構成要素をA地点からB地点に輸送することだけではありません。サプライチェーンには企業が持つ可能性のあるパートナーシップと事業関係も含まれているため、あらゆる企業は、そこに荷札がついていなくても、サプライチェーンを持っています。実際、企業独自の製品またはサービスを開発するために使用される任意の製品(ソフトウェアまたはハードウェア)およびサービスを、サプライチェーンと呼ぶ場合があります。パートナーのシステムと貴社のネットワークにアクセスするシステムが適切に保護されていることを確認して、侵害や停止のリスクを軽減する必要があります。  ソフトウェアをサプライチェーンの一部として考えると、それは貴社のシステムにコードを提出するサードパーティーと協力するソフトウェア開発チームを意味するかもしれません。また、コードベースに統合されているサードパーティーのソースからIT製品またはコードを購入することも意味します。 サプライチェーンの「全体像」を確認したら、ターゲットを絞ったサプライチェーンのセキュリティ目標を設定できます。購入して使用するソフトウェア、他者が開発したコード、使用するサービスなど、取り扱うすべての製品が安全で、優れたセキュリティ対策に従っているようにします。  コード管理 自社開発コードを使用する場合でも、社外で開発されたコードを使用する場合でも、コード管理プロセスが検証されていることが重要です。外部ソースと連携する場合は、信頼性を確保するために署名キーと証明書の安全性を保つことが特に重要です。  ソースコードとソフトウェア製品の管理についての3つの重要な質問があります(先に答えを教えておくと、3つはすべて「はい」でないといけません)。これらの回答を注意深く確認することで、展開後、ソースコードに脆弱性が発生するのを防ぐことができます。 ソースコード管理システム(SCM)はありますか?適切なSCMがあれば、コードバージョンは適切に管理され、システムにログインするすべての人が適切な権限で認証されます。SCMは、コードにタイムスタンプを付けてその動きをログに記録するため、いかなる場合でも悪意ある第三者が検出されずに操作することはなくなります。SCMは、コードに信頼感をもたらすCoCを確立するために、適切に管理される必要があります。  コードコミットとコードは適切に署名されていますか? 署名は、ソフトウェアドライバ、アプリケーション、インストールファイル、スクリプト、車両や産業用システムのファームウェアモジュールを含む、すべての種類のソフトウェアモジュールと実行可能ファイルを保護するために使用する必要があります。コード署名とコードコミット署名は、SCMシステムに必要な機能である必要があります。システムを導入したら、すべての開発者がコードコミットに署名するように適切に設定します。一例としてGithubでコミットに署名する方法に関する簡単なチュートリアルを参照してみてください。    コンポーネントとその出所を特定するソフトウェアの「部品表」(SBOM)はありますか?開発者が非常に忙しく、利用可能なオープンソースコードが非常に多い場合、コードの出所を知ることが重要です。すべてのオープンソースコードが同じように作成されているわけではなく、攻撃者は既知の脆弱性を利用します。オープンソースコードを使用する場合は、開示する必要があります。オープンソースのコンポーネントを特定することで、自社管理するコードでも、購入したソフトウェアでも、将来発生する可能性のある脆弱性に迅速に対応できるようになります。このような背景から、政府の新しいソフトウェア開発要件では、セキュリティリスクを軽減するために特にSBOMに注目しています。 米国は2022年の来たる規制に備えている 上記の質問のほとんどに詳細な回答ができるなら、米国政府にソフトウェアを提供する企業に向けたバイデン政権の大統領命令に応じて、新しいセキュアソフトウェアサプライチェーンガイドラインを満たす準備をすぐに開始できます。それは、あらゆる形式のコードを不正アクセスや改ざんから保護することを求めています。フィッシングに強いMFAとコードコミットへの署名は、サプライチェーンのセキュリティ体制を改善し、コンプライアンスの要求を満たすための重要なセキュリティ制御です。使用するコンポーネントとコードの安全な管理方法をより詳細に把握することで、全体的なセキュリティは向上し、ユーザーからの信頼が向上します。 

Thumbnail

Feb 24, 2022

デューク大学、重要なITシステムをYubikeyで保護

SSH、RDP、およびVPNアクセスには2要素認証が必要です。 ✅導入の簡単さ    ✅迅速なユーザーログイン ✅ クロスシステム対応 お客様であるデューク大学について デューク大学は、米国トップレベルの研究大学として、ビジネス、神学、工学、環境科学、法学、医学、看護学、公共政策の各分野で、常に最高の教育機関のひとつに数えられています。 デューク大学は、ノースカロライナ州ダーラムに位置し、世界各地で研究・教育プログラムを展開しています。 主な成果: 導入の簡単さ 迅速なユーザーログイン クロスシステム対応 お問い合わせ先 簡単に導入でき、マルチプロトコルに対応した信頼性の高い2要素認証の必要性 2012年、デューク大学のIT部門は、重要なITシステムとユーザーアカウントをフィッシングやキーロガー、パスワードの脆弱性や盗難などの脅威から守るための強力なセキュリティ手法を模索し始めました。 デューク大学では、多くのユーザーグループに簡単に導入できる強力な2要素認証(2FA)ソリューションを見つけることが重要な要件のひとつでした。 複数のシステムやアプリケーションを毎日使用し、SSH、RDP、またはShibbolethを使って1日に40回もログインするグループもあります。 これらのグループにとって、モバイルアプリから毎回ワンタイムパスワード(OTP)を入力するのは全く現実的ではありませんでした。 そのため、さまざまなセキュリティプロトコルを持つ多様なアプリケーションをサポートするだけでなく、2要素認証ソリューションは、高速で非常に使いやすいものでなければなりませんでした。 YubiKeyはセキュリティチームのために安全な認証を簡素化 デューク大学では、2012年後半にセキュリティチームとアイデンティティ管理チームで最初の2要素認証パイロットを実装しました。 ユーザーがボタンにタッチするだけで安全に認証できるため、YubiKeyはデューク大学の2要素認証戦略の重要なコンポーネントとしてすぐに選択されました。 また、導入のしやすさも大きな要因でした。 「YubiKeyを使い始めた当初は、Yubicoのウェブストアから直接購入していました。 YubiKeyのユーザーが増え続けていたので、まとめて購入するようになり、時間が経つにつれて追加していきました。 2要素アクセスにYubiKeyを使っている人たちは、迅速なログイン機能を高く評価しています」とデューク大学の最高情報セキュリティ責任者であるリチャード・ビーバー氏は述べています。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」  リチャード・ビーバー デューク大学の最高情報セキュリティ責任者 デューク大学はYubiKeyで完全に統合された2要素セキュリティを維持しています YubiKeyはデューク大学の主要な2要素サービスと完全に統合され、Shibbolethのインフラを利用できるようになりました。 さらに、デューク大学は、YubiKey認証を重要なITシステムにも拡大し、SSH、RDP、特定のVPN経由時の2要素アクセスを義務付けました。 ビーバー氏によれば、全体的に成功しているとのことです。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」 出典 デューク大学、重要なITシステムをYubiKeyで保護pdf

Thumbnail

Feb 23, 2022

CISOは誰を信頼すればよいのでしょうか? 情報の共有は不可欠であると同時に、専門家としてのリスクもあります

バイデン大統領が最近発表したサイバーセキュリティに関する大統領令では、公共部門が民間企業と協力してより安全な環境を構築することを求め、ベストプラクティスとして情報共有の重要性を強調しています。 情報共有には多くの注意が必要なため、多くの人は「情報共有」をリスクや責任と同義語で捉えているかもしれません。 誤った方法で情報を共有すると、エクスポージャーといった脆弱性のリスクを高めることになりかねません。 Yubicoでは、情報共有は慎重に行う必要があると考えています。 当社は日常的に機密性の高い情報を扱っており、企業のセキュリティやリスク管理に対する責任を担っています。 また、企業構造は、株主に対する受託者責任を負っており、いかなる情報共有もその責任が侵害されるリスクを考慮しなければなりません。  官民一体となってこのテーマに取り組むには、さらに多くの議論が必要です。 代わりにここでは、情報共有に関連するリスクについて私がどのように考え、個人としてこれらの懸念を緩和するためにどのようにアプローチしてきたかを共有したいと思います。  コントロールの喪失 情報が共有されると、その情報を保護する責任が拡大・分散されます。 ツイートで誤って共有してしまったパスワードのように、いったん情報が公開されると、もはや自分ではコントロールできません。 最悪の場合でも、情報にアクセスできる各個人が、その情報を内密にすることを信じられる必要があります。  シアトルには有名なバーがあり、多くのセキュリティ専門家が毎週のように集まり、リラックスして話を交わしています。 シアトルは、新製品のソフトウェアやハードウェアの脆弱性を発見することに特化したセキュリティ専門家のメッカです。 これはまさに情報流出のための組み合わせです。 飲み放題のアルコールと、機密性の高い情報を頭に入れている人たち! 必ず、飲み過ぎる人がいます。 アルコールというものは、ただでさえ話してはいけない話をしてしまいがちな人たちの口をさらに軽くしてしまいます。 なぜそのような話をしてしまうのでしょうか? 多くの場合、それは賞賛されたい、組織や集団で成功していると見られたいという気持ち、あるいは個人的な自信喪失や不安などの理由からです。 その結果、リモートコード実行のバグの処理を誤り、たとえそれ以上の影響がなかったとしても、契約を解除されてしまっていたかもしれません。 このような光景を見たことがあるなら、それはあなたにとって教訓となるでしょう。 誰かが口を滑らせてしまった内容を、それによって利益を得る可能性のある他の人と共有することを望まないなら、注意深く行動するようにしましょう。  では、共有することには大きなリスクがあることは誰もが知っていますが、共有しない場合のリスクは何でしょうか?  マイナス面は、堀を作ると組織が島のように孤立した存在になってしまうことです。 仲間と連絡を取り合い助言を求めたり、互いに情報交換したりすることを躊躇し、後で自分がキャッチアップしておくべき重要な情報を見落としてしまうことは、外の世界と共有しすぎることと同じくらいの損害を被る可能性があります。  誰を信頼しますか? セキュリティ侵害が発生した場合、跳ね橋を上げて島への通行を制限するように外の世界を遮断したくなりがちです。 しかし、仲間に連絡をして、問題を発見しているかどうか、問題を抱えているかどうか、あるいは問題に対応しているかどうかを確認することは有益なことです。 こうして追加情報を早い段階で入手することは、侵害に対する組織の対応に大きく役立ち、損害を与える可能性のある誤った対応を修正できます。 これは軽視すべきではない予測されたリスクです。 双方向の情報共有で信頼できるのは誰ですか? 私が何十年もの間、有益だと考えているベストプラクティスをいくつかご紹介します。  まずは、インナーサークルの信頼できる人たちとの関係を、あらかじめ構築しておくことから始めましょう。彼らとは、長年の付き合いがあり過去の情報共有の場面での行動をあなたが観察してきた人たちのことです。 私は、キャリアをスタートさせたときから知っているセキュリティリーダーと定期的に会っています。 長い歴史と経験を共有することで、快適で比較的安全な双方向の会話が可能になります。 特定の業界向けに設立された情報共有分析センター(ISAC)など、セキュリティ情報の共有を促進する共同事業体または協会にも精通しておきましょう。 また、Infraguardは、特に地方自治体や連邦政府に関わりのある個人や企業にとって優れたリソースです。 インナーサークルで1対1またはグループでの会話を始めるのに役立つ安全なメッセージングシステムを見つけましょう。 私は、より機密性の高い会話には、SignalとKeybase(現在はZoomに買収されています)を使用しています。 連絡を取り合うには、Slackやお気に入りのビデオ会議ソリューションを使います。 失敗や後悔している情報開示から学びましょう。 私はこれまでのキャリアの中で、情報開示に関するミスをしたことがあります。 ある事例としては、印象的な面接候補者についてのミスがあります。 リスクは報われず、このミスは危うく私のキャリアを破壊するような情報公開につながるところでした。  共有して問題が起こる前に、社内で幹部の賛同を得ましょう。 機密情報を持つ会社の担当者として、自分が何をしているのかを適切な幹部に知らせ、自由に業務を行うための承認を得ることは当然のことです。 共有できるものとできないものについて、法律上または規制上のガイドラインを法務チームが提供できるように、法務チームに情報を提供しても問題はありません。 そうすることで、将来的に何かミスがあったときに、責任を押し付けられるのではなく、会社のリーダーからサポートしてもらえる可能性が高くなります。 このような社内の人間関係やコミュニケーションラインを早期に確立しておくことが大切です。 恐怖に日々を支配させないようにしましょう この業界では年を取ることもリスクのひとつです。 年を重ねるごとに、貴重な「学んだ教訓」によって、自然と慎重になっていくものです。 CISOは、技術を理解し、信頼できる友人のネットワークを形成する必要がありますが、それには何年もかかります。 このプロセスは、情報の流通を助けるいくつかの団体を加えることで強化することができます。しかし最終的には、詳細を話し合える友人がどうしても必要です。

Thumbnail

Feb 22, 2022

Yubicoが2022年に向けて推奨する重要な情報セキュリティ

先週は 2021年を振り返って、私たちが経験した多くの壊滅的な被害をもたらしたランサムウェアによる注目すべきセキュリティ侵害の増加についてお伝えしました。 攻撃者は、サプライチェーンへの継続的な注力に加え、病院、学校、地方自治体など、従来から、より狙いやすいとされる標的が餌食にされました。 これらのサイバー攻撃の多くの根本的な原因は様々ですが、いずれも一要素認証、弱い多要素認証(例:OTP)、秘密の漏洩(例:SAML署名キー)を利用したものです。 これらの攻撃が重要インフラに与えた影響は、連邦政府機関によるMFAの使用を含む強固な実践的セキュリティ対策の採用を義務付ける大統領令を発令するなど、アメリカ政府の対策に拍車をかけました。 2022年は、主に2021年のランサムウェアグループの成功から、ランサムウェアによる被害者を恐喝する流れが見られると予想されます。 また、脆弱な業界における情報セキュリティの実践と原則の成熟を加速させるために、規制がさらに重要視されることも予想されます。  こちらは2022年に向けて推奨する 重要な情報セキュリティです 企業はゼロトラスト・アーキテクチャを優先的に主導する必要があります SolarWinds事件と最近のLog4jの脆弱性は、最小特権と分離の原則を何十年も提唱してきたにもかかわらず、一部の企業の基幹システムがインターネットや信頼されないシステムへのアクセスを許容していることを浮き彫りにしました。  情報セキュリティへのアプローチを根本的に変えることで、ゼロトラスト・セキュリティモデルの議論が深まります。 ゼロトラストは、内部環境が信頼できると仮定するのではなく、内部環境が敵対的であると仮定するところから始まります。 信頼は検査と強力な認証によって確立されますが、定期的に信頼を再構築する必要があるという点では一時的です。 理論的には、侵入の機会が限定され、隔離性が高まるため、侵入が成功した場合の影響が限定されるはずです。 ゼロトラストへの注目は、バイデン政権が連邦政府のMFAに利用されるプロフィールの近代化を求めた昨年5月にさらに強まりました。 政府が9月に発表した「ゼロトラスト成熟度モデル」は、ゼロトラストの7つの信条を概説し、2022年にますます巧妙化・広範囲化するサイバー攻撃から安全を確保するために、企業がこれらの柱を遵守するために行動しなければならないことに疑いの余地はないとしています。  企業はフィッシングに強い MFA を導入する必要があります フィッシング、クレデンシャルスタッフィング、その他のパスワードベースの認証が抱える脅威は、今後も企業にとって大きなリスクとなります。 攻撃者は、未だ一要素認証や脆弱な MFA が普及している内部ネットワークのアクセスを得ることが可能であることを実証しました。 盗んだ認証情報を使用することで、攻撃者は、脆弱性を悪用したり、その他の検知される可能性が高まる行動をする必要が無く、環境に留まることができます。  複数の認証プロトコルをサポートするYubiKeyは、一要素認証やOTPなどのレガシーな MFA から、フィッシングなどの一般的な攻撃に強い最新のFIDOベースのプロトコルへの段階的移行に関心を持つ企業との橋渡し役となることができます。  企業はクラウドへの恐怖を克服する必要があります 一部の企業や業界では、クラウドを脅威と見なし続けていますが、その理由の大部分は、制御を維持する方がセキュリティ上のメリットがあると認識されているためです。 事実かどうかは別として、クラウドは強固なセキュリティ機能とプロトコルを提供します。 適切に使用すれば、ランサムウェアやビジネスメールのハッキングなど、現在大企業が苦労している脅威の多くは、大きく緩和されます。 統合ID、強力な多要素認証、クラウドベースのファイルストレージの組み合わせは、規模の大小を問わず企業にとって強力です。 相互のTLSベースの認証と暗号化は、通常、PKIの複雑さをバックエンドで管理し、自動化するチェックボックスにチェックするだけで有効にすることができます。 また、自社の機密情報の管理に関心を持ち、これを行うことに成熟した方は、さらなる監視と管理を利用することが出来ます。 統合IDや強力な多要素認証のメリットを得るために、クラウドを完全導入する必要はありません。 最近のIDプロバイダは、FIDOプロトコル、SAML、OpenID Connectに対応しており、オンプレミスおよびオフプレミスのアプリケーションの統合を支援しています。 FIDO2/WebAuthnをサポートしているIDプロバイダの総合的なリストについては、Works with YubiKey カタログをご覧ください.  ランサムウェアへの対策 従来の境界防御モデルやActive Directoryなどの技術に基づくレガシーインフラを持つ組織は、ランサムウェア攻撃に対応するための強固な対応策を用意しておく必要があります。 この対策は、保険の適用範囲、顧問弁護士、復旧に失敗した場合の身代金の支払い計画など、検知と復旧以外の議題も考慮されたものである必要があります。 保険プランでは、第三者に依頼した場合の費用のみが補償される場合がありますが、認可された業者を利用した場合に限ります。 また、補償内容に制限がある場合もあります。 最近では、攻撃者が民族国家であるかどうかで適用範囲が変わる事例もありました。 対策を立てたら、テストする必要があり、特にバックアップをテストする必要があります。 サプライチェーンのセキュリティについては、より一層の配慮が必要です 2021年、SolarWinds事件とLog4jの脆弱性は、我々のサプライチェーンがいかに脆弱であるかを思い知らされただけでなく、基幹となる非常に機密性の高いシステムが、依然としてインターネット上の信頼できないシステムに自由に接続できる状態を維持していることを浮き彫りにしました。 私たちは、技術の安全な設計、開発、運用を確保する上で、相互に責任を負っていることを再認識する必要があります。 非標準的な質問事項が散乱しているベンダー保証プロセスだけでは、サプライチェーンの安全性を確保することはできません。  サプライチェーンに関わる企業は相互の信頼を確立する必要があり、これを対外的に示す能力も必要です。これは、開発プロセスを通じて優れた情報セキュリティを実践することで確立するものです。

Thumbnail

Feb 20, 2022

2021: サイバーセキュリティへの挑戦と期待

2021年は、困難に直面しながらもサイバーセキュリティにとって有望な年でもありました。 この1年は、これまで当たり前だと思っていた重要インフラが侵害され、破壊されるという事態が発生しました。 スウェーデンに住む私の父は、地元の食料品店で食料を買うことができず、アメリカの東海岸に住む同僚や友人は、車に燃料を補給することができませんでした。 私たちの社会は、セキュリティを考慮して設計されていないインターネットにますます依存するようになり、サイバー犯罪者がより洗練され、組織化され、攻撃的なものになっているのを目の当たりにしています。  期待できる面では、世界中の政府、クラウドプロバイダー、企業が行動を起こしています。 すべてのサイバー攻撃の大部分は、認証情報の盗難から始まるか、または認証情報の盗難を伴います。 ホワイトハウスの大統領令は、この事実を認めた上で、フィッシング耐性を持つ多要素認証(MFA)を現代のサイバー防御に不可欠な要素として要求しています。  Yubicoは、サイバーセキュリティにもたらされた変化を謙虚に受け止め、感謝しています。 2021年は、この(Yubi)Key happeningsの動画にまとめられているように、当社は、エコシステムパートナーやオープンスタンダードコミュニティと密接に連携して、お客様へのサービス提供、新製品の発売、生産規模の拡大、チームの成長に努めてきました。  新年を迎え、共に使命を果たしていくにあたり、皆様のご支援に感謝申し上げます。 私たちは、詐欺師たちに現在と未来のインターネットの可能性を制限させません。 皆様にとって幸せで安全な年になりますように。

Thumbnail

Jan 13, 2022

2021年以降、認証規格はどのように進化していくのでしょうか?

認証規格の開発は、ゆっくりと流れる曲がりくねった川のようなものです。 新しいマイルストーンに到達するためには、しばしば何年もの献身的な作業が必要となりますが、それがセキュリティエコシステム全体の糧となり、企業全体のデジタルワークフローの安全性を支えているのです。 この川の恩恵はエンドユーザーには見えないことが多いのですが、CISOや開発者は毎日のように川の健全性について考えています。 Yubicoは彼らのそばにいて、川を監視し、Web認証API(WebAuthn)とClient to Authenticator Protocol(クライアント・トゥ・オーセンティケーター・プロトコル)(CTAP2)の両方を包含する(CTAP2)の両方を包含するFIDO2のような近代的な認証規格の開発において、主導的な役割を果たしています。 川のほとりに立っているCISOは、ただ水が流れていくのを見ているだけのつもりはありません。 理想的なのは、数年先のスタンダードの方向性を予測しながら、その先を見据えていることです。 今日は、Yubicoの2人のエキスパート、シニアアーキテクトのジョン・ブラッドリー(JB)とスタンダード担当プログラムマネージャーのジョン・フォンタナ(JF)と一緒に、2021年以降のスタンダードの方向性について議論します。 彼らは川岸に常駐し、新しい基準の開発やインターネットの安全を守るために「未来に向かって働く」のです。  Q:2021年以降の認証規格の注目点は何ですか?  JF:Webやオンライン・コンピューティングの進化をサポートするために、最終的に統一されるかもしれない規格が次々と登場しています。 これらの進化により、使いやすさと強固なセキュリティの両立がようやく実現します。 WebAuthn、FIDO、OpenIDはそれぞれ異なる規格ですが、この傘の下に集まることで、より洗練された企業システムや新たなイノベーションを提供することができます。明日には起こらないかもしれないが、これらはそこに向かっているのです。 ここではWebAuthnが現在の目玉です。 第2弾の仕様は、今月初めの4月8日に決定されました。 ワーキンググループは、新しいクレデンシャルタイプ、証明書に関連するデータを保存する機能、iframeの使用制限など、いくつかの機能を追加しました。W3CのWebAuthn仕様のFIDO対応版であるCTAP(Client to Authenticator Protocol=(クライアント・トゥ・オーセンティケーター・プロトコル)2.1は、今年の夏の終わりに予定されており、FIDO2に対応したブラウザやオペレーティングシステムを使用した、パスワードレス、二要素、または多要素認証を定義するものです。  JB:標準が開発されて受け入れられてから、実際に市場で採用されるまでにはタイムラグがあるので、期待を抑えなければなりません。 大手ハイテク企業は、標準規格が承認された後、追いつくのに1年かかるのが常ですが、私たちは、標準規格がどのようなものになるかを形作るために、かなり前から貢献したいと考えています。 現在、私たちの認証基準の仕事を形成している最大のトレンドの一つは、リモートワークとハイブリッドワークだと思います。 具体的には、現場にいない人を安全にオンボーディングしてクレデンシャルを取得するといったことをどのように解決し、それをどのようにして大規模に実現するかということです。 もし、企業がこのように、人に会わずに人を乗せることができ、それを安全に行うことができれば、リモートワークが爆発的に増加している現在、大企業のコストを大幅に削減することができるでしょう。 規格採用を促進するトレンドは他にもあります。 つい先日、AppleがWebAuthnを採用し、MacOS 11とiOS 14.3でサポートしたことで、企業や消費者向けのアプリケーションでの採用の可能性が広がりました。  Q:この規格の将来の応用例にはどんなものがありますか?  JF:決済の分野では、多くの標準化作業が行われています。なぜなら、金融機関は、決済プロセスを中断させるようなリダイレクトのない、Webブラウザ内の統合されたフローを求めているからです。 2021年後半には本格的な導入が始まるかもしれません。 3Dセキュアの規格(オープンスタンダードではない「Verified by Visa」(Visaで認証)ツールを思い出してください)も進化しており、このフローを一般的なWebブラウザやプラットフォームに簡単に統合できるようになっています。 JB:バイオメトリクス(生体認証)も検討しています。 CTAP 2.1規格は、生体認証の流れをより良くし、より一貫したユーザーエクスペリエンスを提供するもので、これはYubicoにとっても重要な開発分野の一つです。 これらは、第一世代のFIDO2プラットフォームやデバイスでは十分に考えられていなかったことです。 Q: 公共部門のような歴史的に遅れていた業種についてはどうでしょうか? 今年、政府機関はPIVやCACを超えて、FIDOやWebAuthnのような最新の認証規格に移行しようとしていると思いますか? JF:規格に関しては、私たちは常に「未来に向かって仕事をしている」ので、自分たちが知っていること、あるいは知っていると思われること、そして来年や再来年にやってくることを想定して開発しています。 米国の政府機関は導入が遅れていて、いまだにPIVやCACの規格、物理的なリーダー、スマートカードに頼っているかもしれませんが、パンデミックやリモートワークへの移行により、多くの政府機関で危機感が高まっています。 現在のツール(PIV/CAC)に加えて、より良いツール、特に代替品ではなく、より最新のアーキテクチャと機能を備えたツールが必要です。 米国の機関が何ヶ月も停止している間に、ヨーロッパの機関がリモートプロセスをより早く、より少ない労力で稼動させるのを米国も見たのです。 ヨーロッパのシステムは、ID証明のようなリモートサービスに対応していました。 米国の政府機関は、特定の場所やワークステーションに依存しない、強力なリモートオプションの必要性を明確に認識しています。 NISTや他の機関は、PIVやCACを放棄しているわけではありませんが、より新しい技術をデジタル・アイデンティティ・ガイドラインに組み込む作業を行っています。 JB:米国社会保障庁やIRS(米国国税庁)のような大きな機関、あるいは州の失業給付機関などは、近い将来、市民に大規模に展開できる多要素認証(MFA)オプションを求めています。 これにより、多くの政府系需要が発生します。 彼らは、先に述べたような、簡単なリモート・オンボーディング・プロセスなど、システムが機能するために不可欠な機能のすべてを求めるでしょう。 認証規格のアジェンダを追っている人は、2021年には多くのことを見ることができるでしょう。 ソーラーウインズ社の事件をはじめとする最新の情報漏洩事件や、リモートワークの増加に伴い、標準化が加速し、リモートでの身元証明、迅速なオンボーディングプロセス、合理化された支払いフローへの道が開かれることになるでしょう。 これは、リモートワークの時代に向けて、より安全な認証手段を求めている多くのCISOにとって、喜ばしいニュースでしょう。