Author: Stina Ehrensvard

Thumbnail

Jul 25, 2022

YubiKeyによるウクライナの重要なITインフラの保護

ロシアによるウクライナへの侵攻は、物理的な世界とデジタル世界の両方においての戦闘です。 双方にとって、情報戦は戦場において人類史上最も重要な役割を果たしていて、最大の攻撃ベクトルと脅威は脆弱なログイン認証情報です。  大手政府系エネルギー企業のウクライナのサイバーセキュリティ担当者によると、未遂も含むインフラへの攻撃は2021年全体では2万1000件でしたが、2022年2月24日から3月24日の間だけで76万件以上と、3519%も増加しました。  3月4日、Yubicoは認証パートナーであるHideezから、ウクライナの重要インフラの保護への協力を依頼されました。 戦争が勃発した時、Hideezチームの多くはウクライナに留まり、最大の標的となるウクライナの企業やITシステムのために自分たちの専門知識や製品、サービスを提供する決断をしました。  Yubicoは2万個のYubiKeyの寄贈と、技術支援の提供を決定しました。 その後数週間のうちに、YubiKeyは下記をはじめとする12の政府機関と重要なインフラを提供する企業に配布されました。 SSSCIP(ウクライナの国家特別通信情報保護局) ITの近代化と次世代政府電子サービスを主導するデジタル転換省 政府系エネルギー企業と発電所  ウクライナの「.ua」ドメイン管理企業であるHostmaster.UA 私は複数の組織の代表者とビデオ通話を行い、彼らが直面しているITセキュリティの課題や、サイバーセキュリティに関する共同の取り組みを公開することが重要である理由について、詳しく教えていただきました。 以下は、私たちが交わした会話の要約です。  ロシアによる侵攻後、貴社がウクライナの認証会社からサイバーセキュリティを支援する企業に転身した経緯について、詳しく教えてください。  (Oleg Naumenko、Hideez CEO)「2月24日、私たちは空から降ってくる爆弾の音で目を覚ましました。 突然、私たちの世界は崩壊し、家族、友人、同僚、パートナーは皆、これから自分がとるべき行動を見極めようとしていました。 翌週、ほとんどの人は地下壕や地下駐車場、地下鉄の駅で寝泊まりするという過酷な現実を体験しました。 人々は凍えるような寒さの中、爆弾や銃弾の音を聞きながら、冷たい床で寝ましたが、その状況は今も続いています。 私たちの美しい祖国は、今も攻撃を受けています。  都市に爆弾を落とすだけでなく、ロシアのハッカー集団は重要インフラ、政府組織、企業に対して前例のないサイバー戦争を始め、暖房、電気、水道、地方議会、軍事司令部、物流業者などを機能不全に陥れようとしました。 すぐに私たちは、ウクライナのできるだけ多くの政府機関や組織と協力し、増加する攻撃から迅速に安全を確保するために、弊社のあらゆるリソースを活用することを決断しました。  何がサイバーセキュリティ上の最大の脅威と課題でしたか? (Yuriy Ackermann、Hideez軍事活動VP)「攻撃の大半は、重要なインフラの多くのアカウントにアクセスできる個人とシステムを標的にしていました。 ウクライナの多くの政府機関では、国家に対する高度な攻撃を防御できる強力な多要素認証を使用していません。   Yubicoとは過去に一緒に仕事をした経験があり、Hideezは既にスマートカード、FIDO認証、YubiKeyのサポートをHideez認証サーバーに統合していました。 そこで、私たちはこのミッションを支援するために、協力をお願いすることに決めたのです。 私たちはYubiKey 5シリーズの2万台のデバイスと、展開を支援するための技術サポートを提供していただいたことに感謝しています。  YubiKeyを受け取った後、政府系エネルギー企業を含む複数の政府機関や重要インフラ機関に配布しました。 また、YubiKeyを更に広範なハイセキュリティや軍事用途に使用するため、ウクライナ国家特別通信情報保護局(SSSCIP)と協力して、YubiKey 5シリーズの認証取得に取り組みました。」 どうして新しいサイバーセキュリティツールを導入しようと考えたのですか? (Oleksandr Potii、SSSCIP副長官)「私たちは、政府、重要インフラプロバイダーに対する前例のない攻撃を目の当たりにし、サイバースペースにおけるロシアの侵略から国を守るために24時間365日体制で働いています。 通常なら6カ月以上かかる認証プロセスをわずか数週間で完了し、ウクライナのすべての政府機関、軍、およびその職員がYubiKey 5シリーズを使用できるように認証を取得したのです。  また、SSSCIPのスタッフが電子文書管理システムで使用するため、3,000個のYubiKeyを配備しているところです。 Hideez社やYubico社とのパートナーシップにより、フィッシング対策やパスワードレス認証のソリューションをできるだけ多くの政府機関に導入しています。 これには計り知れないほどの労力がかかり、YubicoとHideezチームからのサポートがあって初めて可能となります」 YubiKeyの導入と展開が始まってから、どんな効果がありましたか? (匿名希望、ウクライナ発電所サイバーセキュリティ担当役員)「戦争が始まってから、我々は大量のフィッシング攻撃を受けています。 このリスクを軽減するために我々の組織は毎日パスワードを変更することを要求していましたが、これでは十分なセキュリティが確保できず、時間がかかるだけでなく、戦闘地域で働く従業員に更にストレスを与えていました。 安全性が高いだけでなく、様々なシステムやデバイスでシームレスに動作するソリューションが必要でした。 また、インターネットや携帯電話の接続が不安定な場所でも使えるツールも必要でした。 さらに、フィッシングや中間者攻撃などの手口が巧妙化しているため、レガシー認証やモバイルベースの認証には頼れない状況でした。  YubiKeyの利点は、汎用マルチプロトコルのデバイスとして構築されているため、PCログイン、VPNアクセス、クラウドベースの生産性の向上、メールシステム、ERPシステム、モバイルアプリケーションに同じ認証器を使用できることです。 展開の拡大に伴い、YubiKeyのユースケースも増えていくでしょう。   YubiKeyによりセキュリティが大幅に強化され、多くのITシステムに迅速かつ簡単にアクセスできるようになりました。これは従業員に大きな安心感を与えてくれます。 YubiKeyは、地上戦の最前線で活躍する兵士を守る防弾チョッキと同じくらい、サイバー防衛において重要なものだと考えています」  (Oleg Levchenko、Hostmaster CEO)「Hostmaster.UAは、HideezとYubicoからのサポートに心から感謝しています。

Thumbnail

当社が現在のYubiKeyを設計するに至った理由

初代YubiKeyは2008年に発売されました。「ubiquity(遍在)」という言葉からインスピレーションを得て、全ての人がシンプルで安全なログインを利用できるようにするという使命を背負った製品でした。 当時の当社は10人にも満たない小企業でしたが、戦略は実にシンプルなものでした。 ほんの一握りでも大手テクノロジー企業と緊密に協力してYubiKeyの技術を発展させることに注力すれば、全ての人にとってインターネットをもっと安全なものにできる、というものです。 それから12年後の今、当社はその目標に近づきつつあります。 Yubicoが初めてのFIDO対応セキュリティキーをリリースした2014年以降、今では全で使いやすての主要プラットフォームおよびブラウザーがYubiKeyとFIDO、そして当社が主唱してきたWebAuthn規格に対応しています。 FIDOと互換性のある認証ツールも続々と市場に参入してきており、コンピューターやスマートフォンに内蔵されるものも増えてきています。まさに当社が思い描いていた姿です。 これらの規格を採用する組織が増えることで、エコシステムが継続的に成長し、ひいてはYubiKeyのユーザー様にとってもメリットとなります。 全ての認証ニーズに応える魔法の解決策などはおそらく存在しませんが、YubiKeyは可能な限り多くのケースに対応できるよう設計されています。 最高レベルのセキュリティと使い勝手、耐久性を実現するための継続的なイノベーション、そしてお客様やパートナー様、ユーザー様との協力が直接実を結び、現在のYubiKey製品ラインナップが出来上がりました。 設計・生産においてYubicoがこれまで行ってきた選択とその理由を、以下にまとめてみます。 外付け認証ツールにより攻撃対象領域を最小限に抑える 現在ではFIDO認証方式がスマートフォンやコンピューターに直接内蔵されるようになっています。消費者への普及や小規模かつ多種多様なユースケースという観点では良いことです。 ただし、こういった多目的コンポーネントでは、攻撃のベクトルが増加するほか、インテルのSpectre問題のような潜在的なセキュリティの問題も伴います。 物理的セキュリティとデジタルセキュリティどちらの専門家も、防御を強化するためには攻撃対象領域を最小限に抑えることが重要であると同意しています。 オンラインアカウントのセキュリティ改善のため、当社は、認証と暗号化のみにフォーカスし、インターネットに依存しない外付け認証ツールとしてYubiKeyを製作しました。 内蔵型の認証ツールと比較して、YubiKeyはバッテリー不要で機能し、全てのコンピューターとスマートフォンで動作し、手頃な価格のデバイス横断型RoT(信頼の基点)となるように作られています。 デバイスの小型化で環境に優しく YubiKeyは、堅牢な一体型のデザインで、バッテリーも可動パーツも搭載しない長寿命のデバイスとして設計されています。 最人気のYubiKeyキーチェーン用デザインは、クレジットカードほどの軽さ。出荷時の体積とカーボンフットプリントを最小限に抑えるため、全ての製品とパッケージを可能な限り軽量・薄型に設計しました。 安全で使いやすいフォームファクター、USBとNFC スマートフォンやコンピューター、セキュリティキーといった一部のFIDO対応認証ツールでは、認証フローの最中にBluetooth Low Energy(BLE)通信を使用します。 しかし、Bluetoothはもともと音声のために作られたものであり、セキュリティは想定していません。 最初のBLEの仕様が策定されてからセキュリティ面の改善は行われてきているものの、数メートルの範囲内で危険にさらされるリスクはやはり存在します。 また、BLEによってユーザー側の操作が煩雑になり、ヘルプデスクへのサポート依頼件数と関連コストが増加することにもなります。 FIDOベースでUSBおよびNFCのYubiKeyを大規模に導入した結果、アカウントの乗っ取りがゼロになり、サポート依頼件数が92%減少して、コストが数千万ドル削減されたという研究あります。 セキュアエレメントが実現する強力な物理保護機能 一般的に、より多くの人がコードを精査できるようにすることがセキュリティ面で望ましいものの、残念ながら、Heartbleedなどのオープンソースのセキュリティについて大きな問題があるのも事実です。 初期のYubiKeyは、市販のUSBコンポーネントをベースに構築されていました。 YubiKeyの物理的なセキュリティを改善するため、当社は後に全てのハードウェアをセキュアエレメントで構築することにしました。ICチップベースのクレジットカードやパスポートにも用いられているものです。 セキュアエレメントを使用することでコンポーネントの出所の真正性を示すことができ、物理的なデバイスを使用する詐欺犯罪でコードを抜き取られたり改変されたりすることを防止できます。 最先端のセキュアエレメントでは、チップが独自開発になり、ドキュメンテーションやツールの点で制限されているため、オープンソースでの実装が不可能になっています。 Yubico製品の品質と完全性を守るため、当社のセキュリティおよびエンジニアリングチームは、社内とサードパーティによるセキュリティレビューを継続的に実施しています。 生体認証とPINが共存するパスワードレスの世界 FIDOとWebAuthnにより、そのうち複雑なパスワードを忘れることができるようになるでしょう。そして、強力な公開鍵暗号化によって、パスワードの代わりに物理的なFIDO認証ツールを用いる日が来るはずです。 これらのデバイスは、初めての強力なファクター(持っている)となり、PIN(知っている)や生体認証(身元)と組み合わせることが可能になるでしょう。 生体認証は便利なものではありますが、指紋のような静的イメージは必ずしもPINより安全というわけではありません。 そこでYubicoでは、今年中に指紋とPINの両方に対応するYubiKey Bioの発売を予定しています。 この製品はスリムで堅牢な設計となり、現在の市場にある製品よりもセキュリティ機能が向上します。 大切なサプライチェーン Yubicoの製品は米国とスウェーデンで製造されています。 この2ヶ国を選択したのは、製品の完全性を確保することを意識したためです。 FIDOが認証するのはあくまでも相互運用性であり、セキュリティに関する方針の設定や製品セキュリティの審査については今のところ行っていません。 そのため、信頼するベンダーの選択は、ユーザーとサービスプロバイダーに委ねられています。 進化し続ける認証機能 YubiKeyは未来のことを考えて設計されています。 現在から未来へのシームレスな移行を可能にするため、当社ではひとつのデバイスに従来と最新の両方のセキュリティプロトコルを盛り込みました。 一つの認証ツールで幅広いシステムやサービス、アプリケーションに対応できるようにするため、YubiKeyは固定パスワードやワンタイムパスワード(OTP)、スマートカード(PIV)、OpenPGP、FIDO U2FおよびFIDO2に対応しています。 Yubicoの新しいYubiEnterpriseサブスクリプションモデルは、新モデルや新機能の導入時に、事業者様がお持ちのYubiKeyを一定割合でアップグレードできるサービスです。 全ての人に安全なインターネットを実現するという使命を求めて FIDO対応認証ツールの市場成長に伴い、当社ではどの製品を選べばよいかという質問をお客様から受けられるようになっています。 当社の通常な対応としては、FIDO2とWebAuthnに対応し、入手可能な認証ツールをいろいろ試して、ユーザーからのフィードバックと導入に関する統計を活用して判断していただくようにしています。