Archive
Stay up to date on company and partner news, product tips, and industry trends.
-
Yubico が 2023 年の鍵:YubiEnterprise サブスクリプションでゴールドスタンダードの認証を企業に実現
導入コストの削減、柔軟性、迅速な展開、シームレスな流通を実現 カリフォルニア州サンタクララおよびスウェーデン、ストックホルム – 2023 年 1 月 24 日 – ハードウェア認証用セキュリティキーのプロバイダ大手である Yubico は本日、YubiEnterprise サブスクリプションプログラムの拡充、セキュリティキーシリーズの拡大、価格体系の見直しへの着手により、エンタープライズ向けセキュリティを再定義することを発表します。企業を狙い撃ちにした最新の高度な攻撃の威力が強まるなか、今回のアップデートにより各企業では、直面している絶え間ない脅威を防ぐために必要なハードウェアベースの認証と補完的なサービスをより良く装備することが可能になります。 「従来の多要素認証(MFA)ソリューションを使用している場合、ハッキングされるリスクが高くなります」と、Yubico 社の製品担当上級副社長、Jeff Wallace は述べています。「サイバー脅威の範囲が拡大していること、そして最近の政府要求の高まりに鑑みると、最新の MFA の本質的な価値は高まっていると言えます。YubiEnterprise サブスクリプションが拡充されたことで、お客様は Yubico が提供するすべての商品をご利用いただけます。当社では、企業が悪意のあるハッカーやフィッシングなどの巧妙な攻撃から自社、従業員、顧客をこれまで以上に容易に保護できるようにすることで、セキュリティ戦略の基準を設定し、高め続けていきます。」 サイバーセキュリティ攻撃を防ぐための鍵 最新の YubiEnterprise サブスクリプションの拡充、さらにセキュリティキーシリーズの拡大により、Yubico は、組織がセキュリティ戦略を更新し、YubiKey-as-a-Serviceモデルを利用し、MFA の近代化を支援する企業向けサービスやツールにアクセスするための包括的なオプションを使って、企業が当社製品をより利用しやすくしています。 YubiEnterprise サブスクリプション Yubico は、組織がフィッシングに強い MFA を使用した最強のセキュリティ体制へと円滑に移行できるようにするため、500人以上のユーザーを抱える組織向けに、まったく新しい YubiEnterprise サブスクリプションプログラムを展開します。YubiEnterprise サブスクリプションには Standard プランと Plus プランがあり、次のような多くの利点があります。 これらの特典は、Plus と Standard の両方のサブスクリプションでご利用いただけます。付加価値や追加サービスが含まれる Plus サブスクリプションを選択することで、最高の価値を引き出すことが可能です。Standard ではアラカルト方式でアドオンが提供されます。 セキュリティキーシリーズ*近日公開* 拡大されたセキュリティキーシリーズのラインナップには、エンタープライズ向けの 2 つの FIDO 専用(FIDO2/WebAuthn […]
Read more -
パスワードレス認証への道のりで事実をフィクションと切り離す
セキュリティの専門家たちに「パスワードレス」と言うと、苦笑いから否定まで、さまざまな反応が返ってきます。 情報セキュリティのコミュニティは「パスワードレス」という言葉が使われていることを知っています。同時に業界では、このトピックに関し、さまざまな矛盾した立場が存在するのです。 このブログの目的は、パスワードがもたらす課題、「パスワードレス」の意味、パスワードレス認証が成熟するにつれて企業の受ける恩恵を理解するための客観的なアプローチをとることです。 パスワードレスについて話し合うためには、まずパスワードについて話し合う必要があります。 パスワードのパラドックス パスワードはユーザー認証の最も一般的な形式です。セキュリティが弱く、ユーザーエクスペリエンスが低いため、敬遠されがちです。 パスワードは共通の秘密と定義されます。 秘密はユーザーと検証サービスにより認識され、さまざまなコンピューティングデバイス間で保存されることが多いです。メッセージや付箋の形で共有されることもあります。 その秘密を知るサービス、デバイス、ユーザーは、サイバー攻撃の標的になる可能性があります。 セキュリティを向上させるための最善の方法は、そのパスワードを固有で複雑なものにすることです。 ただし、これらの方法は、最近のフィッシング攻撃に対してますます効果が低くなっており、パスワードを使用するのを難しくしています。 「パスワード忘れ」を回避するために、複数のサービス間でパスワードを同じものに設定したくなります(これもセキュリティリスクを高めます)。 セキュリティと使いやすさはパスワードと相容れないものです。 セキュリティが向上するとユーザーエクスペリエンスが低下します。その逆も然りです。 ということは、パスワードとお別れする時が来たようですね。 それほど速い別れではありません。 パスワードにも、良い面はたくさんあります。 何もかも一緒くたにして捨てるのはやめましょう。 パスワードはセキュリティと使いやすさの点で劣りますが、それでも以下のような理由で広く使われています。 移植性 – パスワードまたは共有の秘密は、デバイス、ドキュメント、アカウント、サービス、さらには子どものツリーハウスへのアクセスなど、ほとんどすべてのことに適用できます。 この形式の認証を実装するために多くのインフラや依存関係は必要ないため、非常に簡単に目的にアクセスできます。 互換性 – ほとんど例外なく、使用するすべてのアプリとサービスにパスワードがあります。 もちろん、追加で2番目の認証が必要になる場合がありますが、パスワードは基本的で普遍的です。 実際、サービスにパスワードの概念との互換性があるかどうかを考える必要はありません。 パスワードの入力は、毎日行うデフォルトの行動です。 相互運用性 – コンピューター、スマートフォン、任天堂、Apple TVのいずれで認証を行う場合でも、パスワードを簡単に入力できます。 パスワードは広く普及しており、パスワードを使用するために最新のモバイルデバイスにアップグレードしたり、クライアントソフトウェアをインストールしたりする必要はありません。 それはただ機能するだけです。 なぜ、これが大切なのでしょうか? パスワード認証を廃止する場合、移植の互換性と相互運用性のニーズを損なうことなく、他の方法でセキュリティと使いやすさの両方,を, 大幅に改善する必要があります。 この概念を理解するために、「パスワードレス」という用語を定義しましょう。 パスワードレス認証とは何でしょうか? 過去数年間で、「パスワードレス」という用語が使われることが多くなりました。今では多くのセキュリティ、認証、IDソリューションプロバイダーによって使用されています。それぞれ、ニュアンスに違いがあります。 明確にするために、より広く定義すると良いでしょう。 Yubicoでは、以下を採用しています: “パスワードレス認証は、ユーザーがログイン時にパスワードを入力する必要がないあらゆる形式の認証」 簡単に思えるかもしれませんが、ここで少し、考えておくことがあります。 パスワードレス認証にはさまざまな実装方法があり、それらはすべてトレードオフとなっています。 パスワードレスの実装は、ユーザビリティに対応するために特別に設計されていることがあります。 SMS – SMSの検証は、パスワードを覚えておく必要がないため、多くの人にパスワードレスと呼ばれています。 通常、ユーザーが自身を認証するための、短期間有効なOTPコードが送信されます。 (そして、皮肉なことに、「OTP」は「ワンタイムパスワード」の略であり、これは一般的な使用法の共有に過ぎません。) メールマジックリンク– トークンを使用した固有のリンクがユーザー用に作成され、メールで送られます。 リンクをクリックすると、その特定のサービスのユーザーだと証明されます。 […]
Read more -
デューク大学、重要なITシステムをYubikeyで保護
SSH、RDP、およびVPNアクセスには2要素認証が必要です。 ✅導入の簡単さ ✅迅速なユーザーログイン ✅ クロスシステム対応 お客様であるデューク大学について デューク大学は、米国トップレベルの研究大学として、ビジネス、神学、工学、環境科学、法学、医学、看護学、公共政策の各分野で、常に最高の教育機関のひとつに数えられています。 デューク大学は、ノースカロライナ州ダーラムに位置し、世界各地で研究・教育プログラムを展開しています。 主な成果: 導入の簡単さ 迅速なユーザーログイン クロスシステム対応 お問い合わせ先 簡単に導入でき、マルチプロトコルに対応した信頼性の高い2要素認証の必要性 2012年、デューク大学のIT部門は、重要なITシステムとユーザーアカウントをフィッシングやキーロガー、パスワードの脆弱性や盗難などの脅威から守るための強力なセキュリティ手法を模索し始めました。 デューク大学では、多くのユーザーグループに簡単に導入できる強力な2要素認証(2FA)ソリューションを見つけることが重要な要件のひとつでした。 複数のシステムやアプリケーションを毎日使用し、SSH、RDP、またはShibbolethを使って1日に40回もログインするグループもあります。 これらのグループにとって、モバイルアプリから毎回ワンタイムパスワード(OTP)を入力するのは全く現実的ではありませんでした。 そのため、さまざまなセキュリティプロトコルを持つ多様なアプリケーションをサポートするだけでなく、2要素認証ソリューションは、高速で非常に使いやすいものでなければなりませんでした。 YubiKeyはセキュリティチームのために安全な認証を簡素化 デューク大学では、2012年後半にセキュリティチームとアイデンティティ管理チームで最初の2要素認証パイロットを実装しました。 ユーザーがボタンにタッチするだけで安全に認証できるため、YubiKeyはデューク大学の2要素認証戦略の重要なコンポーネントとしてすぐに選択されました。 また、導入のしやすさも大きな要因でした。 「YubiKeyを使い始めた当初は、Yubicoのウェブストアから直接購入していました。 YubiKeyのユーザーが増え続けていたので、まとめて購入するようになり、時間が経つにつれて追加していきました。 2要素アクセスにYubiKeyを使っている人たちは、迅速なログイン機能を高く評価しています」とデューク大学の最高情報セキュリティ責任者であるリチャード・ビーバー氏は述べています。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」 リチャード・ビーバー デューク大学の最高情報セキュリティ責任者 デューク大学はYubiKeyで完全に統合された2要素セキュリティを維持しています YubiKeyはデューク大学の主要な2要素サービスと完全に統合され、Shibbolethのインフラを利用できるようになりました。 さらに、デューク大学は、YubiKey認証を重要なITシステムにも拡大し、SSH、RDP、特定のVPN経由時の2要素アクセスを義務付けました。 ビーバー氏によれば、全体的に成功しているとのことです。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」 出典 デューク大学、重要なITシステムをYubiKeyで保護pdf
Read more -
2021: サイバーセキュリティへの挑戦と期待
2021年は、困難に直面しながらもサイバーセキュリティにとって有望な年でもありました。 この1年は、これまで当たり前だと思っていた重要インフラが侵害され、破壊されるという事態が発生しました。 スウェーデンに住む私の父は、地元の食料品店で食料を買うことができず、アメリカの東海岸に住む同僚や友人は、車に燃料を補給することができませんでした。 私たちの社会は、セキュリティを考慮して設計されていないインターネットにますます依存するようになり、サイバー犯罪者がより洗練され、組織化され、攻撃的なものになっているのを目の当たりにしています。 期待できる面では、世界中の政府、クラウドプロバイダー、企業が行動を起こしています。 すべてのサイバー攻撃の大部分は、認証情報の盗難から始まるか、または認証情報の盗難を伴います。 ホワイトハウスの大統領令は、この事実を認めた上で、フィッシング耐性を持つ多要素認証(MFA)を現代のサイバー防御に不可欠な要素として要求しています。 Yubicoは、サイバーセキュリティにもたらされた変化を謙虚に受け止め、感謝しています。 2021年は、この(Yubi)Key happeningsの動画にまとめられているように、当社は、エコシステムパートナーやオープンスタンダードコミュニティと密接に連携して、お客様へのサービス提供、新製品の発売、生産規模の拡大、チームの成長に努めてきました。 新年を迎え、共に使命を果たしていくにあたり、皆様のご支援に感謝申し上げます。 私たちは、詐欺師たちに現在と未来のインターネットの可能性を制限させません。 皆様にとって幸せで安全な年になりますように。
Read more -
Salesforceの使用にはMFAが必要です:必要な理由とできること
巧妙なサイバー攻撃が中小企業や大企業を対象に執拗に攻撃し続ける中で、企業は顧客、従業員、パートナーのセキュリティをより安全に守るために、サイバーセキュリティインフラの改善を優先させる必要があります。 ユーザー名とパスワードは、進化し続けるサイバー攻撃に対して、もはや十分なセキュリティを提供するものではありません。 昨年末、Salesforceは2022年2月1日以降、同社の製品、ソリューション、プラットフォームにアクセスする際に多要素認証(MFA)を有効にすることを顧客に義務付けると発表し、これに対する強い決意を表明しました。 この要件は、GoogleやTwitterといった他の大手テクノロジ企業や、最近では米国政府が発令した 「大統領令14028」 (2024年までに、ワンタイムパスコードを利用するSMSトークンやプッシュ通知認証アプリは米国政府の要件に準拠しなくなる) による同様の取り組みを補完するものです。 Yubicoは、SalesforceのMFAとフィッシングに強いFIDOベースのセキュリティキー認証のサポートを強化する最新の活動を称賛しています。 MFAを導入することで、Salesforceのような企業は、より良いユーザーエクスペリエンスを提供しながら、顧客やプラットフォームのセキュリティを大幅に強化しています。 Salesforceが求めることは、世界中で強力かつ最新のハードウェア認証の導入を大幅に加速させ、何十万もの顧客や企業を、事業を麻痺させる可能性のあるサイバー脅威からより安全に守ることです。 Salesforceのアイデンティティ・プロダクト・マネジメント担当上級副社長であるイアン・グレイザー(Ian Glazer)氏は次のように述べています。「セールスフォースでは、信頼を第一の価値としており、顧客データを守ることは最も重要なことです。 強力なMFAの導入を推進するためには、ユーザーアカウントとデータを保護するためにユーザーと組織が実行できる唯一の最善策である、ハードウェアキーなどの幅広いMFAオプションが必要です。 お客様とのパートナーシップによりMFAを普及させることで、フィッシングやクレデンシャルスタッフィングといった一般的な脅威の成功を困難なものにします。」 MFAを実装する準備ができている場合、どれを選択すればよいでしょうか? SMS、ワンタイムパスコード、モバイル認証アプリなどの従来の(または古くからの)MFA方式のほとんどは、サイバー攻撃の防止に役立てることはできますが、すべてのMFAオプションが同じ仕組みで作られているわけではないことに注意してください。 例えば、SMSベースの認証は、企業のセキュリティを確保するには十分な効果がないことが何度も証明されています。 また、SalesforceではメールやSMSベースのワンタイムパスワードは許可されておらず、強力なMFA手法の使用が義務付けられていることも重要な点です。 最新のFIDOベース(U2F/FIDO 2/WebAuthn)認証に移行することで、組織とそのユーザーはフィッシングに強いMFAを実現できます。 YubiKeyのような物理的なセキュリティキーは、組織に求められるサイバーセキュリティの最も厳しい認証要件を満たしながら、非常に使いやすく、YubiKeyに触れるだけで本人認証と安全なアクセスを提供することができます。 これらのハードウェアベースのセキュリティキーは非常に安全性が高く、SalesforceのMFA要件を完全に満たしています。 あらゆるデバイスやオペレーティングシステムに対応し、(ネットワークサービスやバッテリを必要とせずに)数百ものオンラインサービスやアプリケーションへの安全なログインを可能にすることで、アカウント乗っ取りのリスクをほぼすべて排除することができます。 お客様のビジネスに適したYubiKeyの選択 複雑なハイブリッドIT環境を持つ企業であれ、クラウドネイティブな中小企業であれ、Yubicoにはお客様のインフラと従業員を守るための適切なキーがあります。 YubiKey 5シリーズは、マルチプロトコルのセキュリティキーをあらゆるフォームファクタで提供しています。また、YubiKey 5 FIPSシリーズは、すべてのコンプライアンスと規制要件を満たすように設計されています。 大規模な組織へのサポートをお考えであれば、YubiEnterpriseSubscriptionが柔軟な購入オプションを提供し、今日のリモートワークやハイブリッドワークの環境をお考えであれば、YubiEnterpriseDeliveryが場所を問わずYubiKeyを従業員までお届けします。 組織に最適なYubiKeyをお探しの方は、https://www.yubico.com/quiz/へアクセスしてください。 私たちは、一般の消費者から中小企業、大企業に至るまで、すべての人にとってインターネットをより安全な場所にするために、クラス最高のソリューションを提供することを継続して取り組んでまいります。 ——– YubiKeyでSalesforceのアカウントを保護するMFAを追加する方法については、こちらを参照してください。
Read more -
2021年以降、認証規格はどのように進化していくのでしょうか?
認証規格の開発は、ゆっくりと流れる曲がりくねった川のようなものです。 新しいマイルストーンに到達するためには、しばしば何年もの献身的な作業が必要となりますが、それがセキュリティエコシステム全体の糧となり、企業全体のデジタルワークフローの安全性を支えているのです。 この川の恩恵はエンドユーザーには見えないことが多いのですが、CISOや開発者は毎日のように川の健全性について考えています。 Yubicoは彼らのそばにいて、川を監視し、Web認証API(WebAuthn)とClient to Authenticator Protocol(クライアント・トゥ・オーセンティケーター・プロトコル)(CTAP2)の両方を包含する(CTAP2)の両方を包含するFIDO2のような近代的な認証規格の開発において、主導的な役割を果たしています。 川のほとりに立っているCISOは、ただ水が流れていくのを見ているだけのつもりはありません。 理想的なのは、数年先のスタンダードの方向性を予測しながら、その先を見据えていることです。 今日は、Yubicoの2人のエキスパート、シニアアーキテクトのジョン・ブラッドリー(JB)とスタンダード担当プログラムマネージャーのジョン・フォンタナ(JF)と一緒に、2021年以降のスタンダードの方向性について議論します。 彼らは川岸に常駐し、新しい基準の開発やインターネットの安全を守るために「未来に向かって働く」のです。 Q:2021年以降の認証規格の注目点は何ですか? JF:Webやオンライン・コンピューティングの進化をサポートするために、最終的に統一されるかもしれない規格が次々と登場しています。 これらの進化により、使いやすさと強固なセキュリティの両立がようやく実現します。 WebAuthn、FIDO、OpenIDはそれぞれ異なる規格ですが、この傘の下に集まることで、より洗練された企業システムや新たなイノベーションを提供することができます。明日には起こらないかもしれないが、これらはそこに向かっているのです。 ここではWebAuthnが現在の目玉です。 第2弾の仕様は、今月初めの4月8日に決定されました。 ワーキンググループは、新しいクレデンシャルタイプ、証明書に関連するデータを保存する機能、iframeの使用制限など、いくつかの機能を追加しました。W3CのWebAuthn仕様のFIDO対応版であるCTAP(Client to Authenticator Protocol=(クライアント・トゥ・オーセンティケーター・プロトコル)2.1は、今年の夏の終わりに予定されており、FIDO2に対応したブラウザやオペレーティングシステムを使用した、パスワードレス、二要素、または多要素認証を定義するものです。 JB:標準が開発されて受け入れられてから、実際に市場で採用されるまでにはタイムラグがあるので、期待を抑えなければなりません。 大手ハイテク企業は、標準規格が承認された後、追いつくのに1年かかるのが常ですが、私たちは、標準規格がどのようなものになるかを形作るために、かなり前から貢献したいと考えています。 現在、私たちの認証基準の仕事を形成している最大のトレンドの一つは、リモートワークとハイブリッドワークだと思います。 具体的には、現場にいない人を安全にオンボーディングしてクレデンシャルを取得するといったことをどのように解決し、それをどのようにして大規模に実現するかということです。 もし、企業がこのように、人に会わずに人を乗せることができ、それを安全に行うことができれば、リモートワークが爆発的に増加している現在、大企業のコストを大幅に削減することができるでしょう。 規格採用を促進するトレンドは他にもあります。 つい先日、AppleがWebAuthnを採用し、MacOS 11とiOS 14.3でサポートしたことで、企業や消費者向けのアプリケーションでの採用の可能性が広がりました。 Q:この規格の将来の応用例にはどんなものがありますか? JF:決済の分野では、多くの標準化作業が行われています。なぜなら、金融機関は、決済プロセスを中断させるようなリダイレクトのない、Webブラウザ内の統合されたフローを求めているからです。 2021年後半には本格的な導入が始まるかもしれません。 3Dセキュアの規格(オープンスタンダードではない「Verified by Visa」(Visaで認証)ツールを思い出してください)も進化しており、このフローを一般的なWebブラウザやプラットフォームに簡単に統合できるようになっています。 JB:バイオメトリクス(生体認証)も検討しています。 CTAP 2.1規格は、生体認証の流れをより良くし、より一貫したユーザーエクスペリエンスを提供するもので、これはYubicoにとっても重要な開発分野の一つです。 これらは、第一世代のFIDO2プラットフォームやデバイスでは十分に考えられていなかったことです。 Q: 公共部門のような歴史的に遅れていた業種についてはどうでしょうか? 今年、政府機関はPIVやCACを超えて、FIDOやWebAuthnのような最新の認証規格に移行しようとしていると思いますか? JF:規格に関しては、私たちは常に「未来に向かって仕事をしている」ので、自分たちが知っていること、あるいは知っていると思われること、そして来年や再来年にやってくることを想定して開発しています。 米国の政府機関は導入が遅れていて、いまだにPIVやCACの規格、物理的なリーダー、スマートカードに頼っているかもしれませんが、パンデミックやリモートワークへの移行により、多くの政府機関で危機感が高まっています。 現在のツール(PIV/CAC)に加えて、より良いツール、特に代替品ではなく、より最新のアーキテクチャと機能を備えたツールが必要です。 米国の機関が何ヶ月も停止している間に、ヨーロッパの機関がリモートプロセスをより早く、より少ない労力で稼動させるのを米国も見たのです。 ヨーロッパのシステムは、ID証明のようなリモートサービスに対応していました。 米国の政府機関は、特定の場所やワークステーションに依存しない、強力なリモートオプションの必要性を明確に認識しています。 NISTや他の機関は、PIVやCACを放棄しているわけではありませんが、より新しい技術をデジタル・アイデンティティ・ガイドラインに組み込む作業を行っています。 JB:米国社会保障庁やIRS(米国国税庁)のような大きな機関、あるいは州の失業給付機関などは、近い将来、市民に大規模に展開できる多要素認証(MFA)オプションを求めています。 これにより、多くの政府系需要が発生します。 彼らは、先に述べたような、簡単なリモート・オンボーディング・プロセスなど、システムが機能するために不可欠な機能のすべてを求めるでしょう。 認証規格のアジェンダを追っている人は、2021年には多くのことを見ることができるでしょう。 ソーラーウインズ社の事件をはじめとする最新の情報漏洩事件や、リモートワークの増加に伴い、標準化が加速し、リモートでの身元証明、迅速なオンボーディングプロセス、合理化された支払いフローへの道が開かれることになるでしょう。 これは、リモートワークの時代に向けて、より安全な認証手段を求めている多くのCISOにとって、喜ばしいニュースでしょう。 […]
Read more -
バイデン氏のサイバーセキュリティに関連する大統領令を読んで、何をすべきかまだ迷っている人のための7つのヒント
Yubicoは、多くの連邦政府機関や請負業者、規制対象産業のお客様と連携しており、新しいコンプライアンス規制がもたらす課題について理解しています。 5月12日に発表された大統領令は、PIV(個人識別確認)カードやCAC(共通アクセスカード)を使用した認証ができない事例向けの、多要素認証(MFA)への移行を連邦政府が全面的に受け入れたことを示しています。 この命令は、政府職員だけでなく、各省庁をサポートする何千もの請負業者にも影響を与えることが予想され、多くの場合、PIVやCACの資格対象にならないことがあります。 YubicoのQuick Takeという記事では、この指令が連邦政府機関、ひいては連邦政府機関と連携する企業に要求している基本的事項を説明しています。 サイバーセキュリティ大統領令では、MFAとZero Trust Architect(ゼロトラストアーキテクト)が、連邦政府機関の近代化と安全性を確保するための新しい標準になることを明確に示しています。 サイバーセキュリティとプライバシーを専門とする法律事務所Venable LLPのサイバーセキュリティサービス担当シニアディレクターであるロス・ノダーフト氏は、「政府は、最新の認証基準と技術を活用して、政府機関がゼロトラストアーキテクチャや(ゼロトラストの)環境に移行する際のリスクを大幅に軽減する機会を得ました」と言っています。 しかし、省庁と契約しているか、あるいは省庁との契約を推進している企業であれば、必然的に「さて今回は何をすれば良いのか?」という疑問が生じます。 Venable LLPのテクノロジー部門のマネージングディレクターであり、NSTIC(サイバースペースにおける信頼できるアイデンティティに向けた国家戦略)プログラムのアーキテクトでもあるジェレミー・グラント氏は、「コントラクターやベンダーのコミュニティは、この大統領令の施行を注意深く見守る必要があります」と述べています。 「政府に製品やサービスを提供している企業のサイバーセキュリティ対策の強化など、サプライチェーンの安全確保に重点が置かれているため、この業界にも新たなコンプライアンス要件が発生する可能性があります。 MFAはその中心的な役割を担うことになります。」 導入ガイダンスが出るまでは、企業は未知の部分が多いため、計画をたてることができないように感じるかもしれません。 各社はどのくらいのスピード感で命令に従うのか? この命令は、特定のタイプの企業に他の企業よりも大きな影響を与えるだろうか? この命令を受けて、各省庁は請負業者にどのような証明書を要求するのか? 新しい要件の実装方法を詳細に説明するガイダンスが発表されるまで、これらの質問への回答は得られません。 以下に、政府機関がサイバーセキュリティ大統領令に記載されている対策を受け入れるために、今日からできることを記載します。 まずは深呼吸。 これは23ページにもおよぶ命令で、多くの場合、情報収集のデューデリジェンス(適正評価)を行う前に即座に対応することは、かえって逆効果になる可能性があります。 この命令は、あなたの組織がすでに実施しているはずの確立されたサイバーセキュリティのベストプラクティス次第となります。 自社のデータ、ソフトウェア、管理・統制を確認。 請負業者や関連サービスプロバイダー(詳細は国土安全保障省から発表される予定)に対する要件の多くは、ログの保持、インシデントの報告、サプライチェーンの監視が中心となるはずです。 そのため、社内でセキュリティ管理と報告がベスト・プラクティスに従っているかどうかを確認する取り組みを始めることに価値があります。 機密データがオンプレミスやクラウドのどこにあるか、そして誰がデータにアクセスできるのかを正確に把握していますか? サプライチェーンには誰が関わっているか、強力な認証方法は導入されていますか? ログデータを保持しているか、ログデータを保持しているプロバイダーと連携していますか? これらの質問に対する明確な答えを事前に用意しておけば、政府機関のガイドラインを満たすために有利な立場に立つことができます。 また、大統領令のセクション4では、「重要なソフトウェア」の定義と、特に外部ベンダーから購入したソフトウェアに対する適切なセキュリティ対策の確保について言及しています。 あとはプロセスです。 今後数ヶ月の間に、大統領令を進めるための推奨方法についてホワイトハウスに報告書が提出されますが、最終的にどのような結果になるのかは予測できません。 規制案の最新情報を入手し、担当機関と緊密に連携することが重要です。 最終的なアプローチがどのようなものになるかは正確にはわかりませんが、サイバーセキュリティのベストプラクティスに従っていれば、新しい規制に対応できる状態になるはずです。 省庁のカウンターパートとの連携。 省庁も彼らのパートナーと同様に不安な日々を送っています。 連絡先に接触して、大統領令の意味するところを話しあってみませんか? この問題に関して彼らの「裏方」となり、彼らが必要とする可能性のある目録やその他の報告書のすべてをあなたから得て揃っていることを確認します。 あなたは長い間、彼らと苦労をともにしているのです。 「私たちは、連邦政府機関とその請負業者やサプライヤーの両方と密接に仕事をしています」とグラント氏は言っています。 「政府機関の同僚が常々言っているのは、最高のパートナーシップとは、新しい政策が企業に課すと思われる要求事項を予測し、創造的な解決策を考えてくれる企業とのパートナーシップだということです。」 これをセキュリティ・ベンダーにとって手っ取り早い勝利として扱わない。 目先のチャンスについてではなく、国をより安全にするための長旅です。 これを資本投入の新たな棚ぼたとして見たくなりますが、実際には国家の安全保障を改善する本当のチャンスなのです。 ただ単にポイントソリューションを導入するのではなく、セキュリティリスクにどう対処するのがベストかを理解するまでの時間を費やすことは、私たち全員にとってはるかに良いことです。 ゼロトラストのコンセプトやアーキテクチャの導入は、月単位ではなく、数年、数十年単位で評価される継続的なプロセスです。 MFAには様々な選択肢が並んでいますが 、すべてのMFAが同レベルに作られているわけではありません。 脆弱なMFAオプションは、ある程度の保護機能を備えているものの、バイパスすることもできます。 長い目で見て、現在から将来にかけてのセキュリティ投資に備えて、最強レベルのMFAを検討してみてはいかがでしょうか。 今後の予算サイクルの中に、資金要求を組み込む。 現在の潜在的な資金提供機関は、サイバーセキュリティ、近代化、アイデンティティの要件を満たすために、この命令を活用することができます。 それらの機関には、技術近代化基金(TMF)やアメリカン・レスキュー・プラン(ARP)基金なども含まれます。 しかし、多くの中小企業にとって、サイバーセキュリティの追加プロジェクトに予算が使えるようになるまでには、しばらく時間がかかる可能性があり、各省庁の予算増額や将来の予算に期待する必要があります。 これは、今四半期末までに計画を固める必要がないため、待つ必要があるという意味ではありません。 ですが若干の猶予期間はあります。 […]
Read more -
最新のFIDOベースの認証を実現するUSB-CとNFCを備えた、Yubicoの「Security Key C NFC」のご紹介
より多くのデバイスでUSB-Cの利用が広がるにつれて、当社の「Security Key Series」の対象範囲がより多くの最新デバイスに拡張されていくことを嬉しく思います。 お客様に愛されるようになったYubico社のトレードマークであるセキュリティと品質で構築されたブルーの「Security Key C NFC」は、Security Key Seriesに加わる最新のキーです。. 現在$29で購入可能なこのお手頃価格のセキュリティキーは、NFC機能を備えたUSB-Cフォームファクタで、FIDOのみに対応しています。 デスクトップ認証とモバイル認証の両方で、アプリケーション、サービス、およびユーザーアカウントに対して、強化された最新のセキュリティを提供します。 USB-Aフォームファクタをお探しのお客様は、ぜひ「Security Key NFC」ご検討ください! こちらから$25でご購入いただけます。 「Security Key C NFC」は、次のようなユーザーに最適です: 開封後すぐに最新の物理的認証機能を使用できるシンプルなセキュリティキーを、より手頃な価格で使用したい方 FIDO U2FまたはFIDO2/WebAuthn 認証プロトコルをサポートするアカウントを保護している方。 「Security Key C NFC」は、次のような日常的に使用する数百におよぶ一般的なWebサイトおよびアプリケーションで動作します: Gmail、YouTube、Dropbox、Twitter、Coinbase、Microsoft アカウント(Office 365、Xbox Live など)、その他多数 パスワードマネージャー、ソーシャルメディアネットワーク、生産性向上およびビジネスのためのアプリケーション、暗号通貨取引所など、対応リストは増え続けています これらはNFCを利用して、対応するアカウントへのタップアンドゴー認証を行っています デスクトップおよびモバイル双方でハードウェアベースの認証が必要な場合 耐水性と耐衝撃性を兼ね備えたキーチェーン型セキュリティキーを希望される場合 Security Key Seriesは、どちらの機器もFIDO U2FとFIDO2/WebAuthnに対応しています。これらはYubico社が 1 つの認証機能をさまざまなアプリケーションで利用できるようにという発想に基づいています。MFAにはさまざまな形式がありますが、すべてが同じ作りではありません。 FIDOベース認証は、フィッシングおよび中間者攻撃からの保護が証明されている唯一の方法です。 YubiKeyを大規模かつ強力な認証、さまざまなビジネスシナリオ、複数の認証プロトコル、Yubico Authenticatorのサポート、さまざまなフォームファクタを管理するために検討されているお客様には、YubiKey 5 Seriesがお勧めです。 お客様にどのキーが適切かを確認するために、クイズにお答えください。. 機能と仕様の詳細については、こちらを参照してください。 Security Key Series key は、 こちらからご購入いただけます.
Read more -
YubiKey Bioシリーズの新しい指紋認証デバイスに指で触れてみましょう
本日、私たちはYubiKey Bioシリーズを発表いたします。これはYubico史上で初の生体認証をサポートするYubiKeyです。 YubiKey BioはMicrosoft Ignite 2019で最初に予告されましたが、ここではMicrosoft Azure Active Directoryアカウントに対するパスワードレスサインインのライブデモが実演されました。 私たちは時間をかけて、高度にセキュアでユーザーフレンドリーな製品の発売までに至りました。 YubiKey Bioシリーズは、指紋をデバイス認証に使用する新しいユーザーエクスペリエンスを兼ね備えた、Yubicoが自信を持って提供するハードウェアセキュリティです。 本日からYubiKey BioシリーズはUSB-AおよびUSB-Cの両方のフォームファクタで一般提供可能になり、デスクトップベースのFIDO認証をサポートするデバイスとアプリケーションに対するセキュアな二要素認証とパスワードレスログインを提供します。 YubiKey Bioシリーズはyubico.comで購入することができ、小売価格はUSB-Aフォームファクタが$80、USB-Cフォームファクタが$85です。 YubiKey Bioシリーズの開発時、私たちはセキュリティキー上の生体認証のアーキテクチャの再考に挑戦しました。 これら一連のキーには3つのチップデザインが採用されており、生体指紋情報を個別のセキュアエレメントに格納することにより物理的攻撃からの防御を強化しています。 最終的に、私たちはモダンで合理的なパスワードレス認証が可能で、最も重要なこととしてセキュリティを犠牲にしないデバイスを製造しました。 YubiKey Bioはポータブルなハードウェア型RoT(Root of Trust)として動作し、ユーザーは異なるデスクトップデバイス、オペレーティングシステム、およびアプリケーション間で同じキーを使用して認証することができます。 以下の内容はYubiKey Bioシリーズの特徴の一部です。 一貫性のある信頼性設計 – YubiKey Bioシリーズは、他のYubiKeyと同様になめらかでシンプルなキーチェーンデザインを採用しており、耐久性と耐水性を備えています。 他のYubiKeyでユーザープレゼンスを確立するために使用される従来の金色の接点の代わりに、YubiKey Bioの指紋センサーでは指紋認識でユーザーを認証します。 パスワードレスの要望に応えます – 企業は複数のパスワードを管理する苦痛からユーザーが解放されることを次第に望むようになり、パスワードレスエクスペリエンスを可能にするソリューションを求めています。 YubiKeyでは単一PINでこれを実現していますが、FIDO2/WebAuthnおよびU2FをサポートするYubiKey BioシリーズではPINの代わりに指紋認証を使用することができます。 ただし、ユーザーの指紋がログイン試行中にデバイス上に登録されていない場合、ユーザーは初期設定中に追加されるパーソナルPINでYubiKey Bioのロックを解除することができます。 ハードウェアセキュリティ – YubiKey Bioはネイティブな生体認証登録を、最新のプラットフォームおよびオペレーティングシステムでサポートされる管理機能と統合します。 また、Windows、macOSおよびLinux上の デスクトップ用Yubico認証アプリを使用して指紋を登録、追加、および削除することができます。 指紋のテンプレートはキーに登録された指紋に紐づけられ、これら指紋テンプレートは独立したセキュアエレメント上に格納および照合されるので、物理的攻撃からの保護に役立ちます。 指紋情報はYubiKey Bioシリーズの外へ出ることはありません。 新しいユーザーエクスペリエンス、ポータビリティ、およびFIDOプロトコルサポートを使用する拡張ワークフロー – 生体認証をベースにしたセキュアな二要素認証およびパスワードレスログインエクスペリエンスにより、ユーザーエクスペリエンスが強化されます。 FIDOをサポートするサービスおよびアプリケーションでは、アプリケーションを「信頼済み」にすることもでき、サービスにログインする際の初回の認証にのみYubiKey Bioを使うこともできます。 セキュリティのために作成されるポータブルユーザー認証の目的 – […]
Read more