Blog

Stay up to date on company and partner news, product tips, and industry trends.
Thumbnail

バイデン氏のサイバーセキュリティに関連する大統領令を読んで、何をすべきかまだ迷っている人のための7つのヒント

Yubicoは、多くの連邦政府機関や請負業者、規制対象産業のお客様と連携しており、新しいコンプライアンス規制がもたらす課題について理解しています。 5月12日に発表された大統領令は、PIV(個人識別確認)カードやCAC(共通アクセスカード)を使用した認証ができない事例向けの、多要素認証(MFA)への移行を連邦政府が全面的に受け入れたことを示しています。 この命令は、政府職員だけでなく、各省庁をサポートする何千もの請負業者にも影響を与えることが予想され、多くの場合、PIVやCACの資格対象にならないことがあります。 YubicoのQuick Takeという記事では、この指令が連邦政府機関、ひいては連邦政府機関と連携する企業に要求している基本的事項を説明しています。 サイバーセキュリティ大統領令では、MFAとZero Trust Architect(ゼロトラストアーキテクト)が、連邦政府機関の近代化と安全性を確保するための新しい標準になることを明確に示しています。 サイバーセキュリティとプライバシーを専門とする法律事務所Venable LLPのサイバーセキュリティサービス担当シニアディレクターであるロス・ノダーフト氏は、「政府は、最新の認証基準と技術を活用して、政府機関がゼロトラストアーキテクチャや(ゼロトラストの)環境に移行する際のリスクを大幅に軽減する機会を得ました」と言っています。 しかし、省庁と契約しているか、あるいは省庁との契約を推進している企業であれば、必然的に「さて今回は何をすれば良いのか?」という疑問が生じます。  Venable LLPのテクノロジー部門のマネージングディレクターであり、NSTIC(サイバースペースにおける信頼できるアイデンティティに向けた国家戦略)プログラムのアーキテクトでもあるジェレミー・グラント氏は、「コントラクターやベンダーのコミュニティは、この大統領令の施行を注意深く見守る必要があります」と述べています。 「政府に製品やサービスを提供している企業のサイバーセキュリティ対策の強化など、サプライチェーンの安全確保に重点が置かれているため、この業界にも新たなコンプライアンス要件が発生する可能性があります。 MFAはその中心的な役割を担うことになります。」 導入ガイダンスが出るまでは、企業は未知の部分が多いため、計画をたてることができないように感じるかもしれません。 各社はどのくらいのスピード感で命令に従うのか? この命令は、特定のタイプの企業に他の企業よりも大きな影響を与えるだろうか? この命令を受けて、各省庁は請負業者にどのような証明書を要求するのか?  新しい要件の実装方法を詳細に説明するガイダンスが発表されるまで、これらの質問への回答は得られません。 以下に、政府機関がサイバーセキュリティ大統領令に記載されている対策を受け入れるために、今日からできることを記載します。 まずは深呼吸。 これは23ページにもおよぶ命令で、多くの場合、情報収集のデューデリジェンス(適正評価)を行う前に即座に対応することは、かえって逆効果になる可能性があります。 この命令は、あなたの組織がすでに実施しているはずの確立されたサイバーセキュリティのベストプラクティス次第となります。 自社のデータ、ソフトウェア、管理・統制を確認。 請負業者や関連サービスプロバイダー(詳細は国土安全保障省から発表される予定)に対する要件の多くは、ログの保持、インシデントの報告、サプライチェーンの監視が中心となるはずです。 そのため、社内でセキュリティ管理と報告がベスト・プラクティスに従っているかどうかを確認する取り組みを始めることに価値があります。 機密データがオンプレミスやクラウドのどこにあるか、そして誰がデータにアクセスできるのかを正確に把握していますか? サプライチェーンには誰が関わっているか、強力な認証方法は導入されていますか? ログデータを保持しているか、ログデータを保持しているプロバイダーと連携していますか? これらの質問に対する明確な答えを事前に用意しておけば、政府機関のガイドラインを満たすために有利な立場に立つことができます。 また、大統領令のセクション4では、「重要なソフトウェア」の定義と、特に外部ベンダーから購入したソフトウェアに対する適切なセキュリティ対策の確保について言及しています。 あとはプロセスです。 今後数ヶ月の間に、大統領令を進めるための推奨方法についてホワイトハウスに報告書が提出されますが、最終的にどのような結果になるのかは予測できません。 規制案の最新情報を入手し、担当機関と緊密に連携することが重要です。 最終的なアプローチがどのようなものになるかは正確にはわかりませんが、サイバーセキュリティのベストプラクティスに従っていれば、新しい規制に対応できる状態になるはずです。 省庁のカウンターパートとの連携。 省庁も彼らのパートナーと同様に不安な日々を送っています。 連絡先に接触して、大統領令の意味するところを話しあってみませんか? この問題に関して彼らの「裏方」となり、彼らが必要とする可能性のある目録やその他の報告書のすべてをあなたから得て揃っていることを確認します。 あなたは長い間、彼らと苦労をともにしているのです。 「私たちは、連邦政府機関とその請負業者やサプライヤーの両方と密接に仕事をしています」とグラント氏は言っています。 「政府機関の同僚が常々言っているのは、最高のパートナーシップとは、新しい政策が企業に課すと思われる要求事項を予測し、創造的な解決策を考えてくれる企業とのパートナーシップだということです。」 これをセキュリティ・ベンダーにとって手っ取り早い勝利として扱わない。 目先のチャンスについてではなく、国をより安全にするための長旅です。 これを資本投入の新たな棚ぼたとして見たくなりますが、実際には国家の安全保障を改善する本当のチャンスなのです。  ただ単にポイントソリューションを導入するのではなく、セキュリティリスクにどう対処するのがベストかを理解するまでの時間を費やすことは、私たち全員にとってはるかに良いことです。 ゼロトラストのコンセプトやアーキテクチャの導入は、月単位ではなく、数年、数十年単位で評価される継続的なプロセスです。 MFAには様々な選択肢が並んでいますが 、すべてのMFAが同レベルに作られているわけではありません。 脆弱なMFAオプションは、ある程度の保護機能を備えているものの、バイパスすることもできます。 長い目で見て、現在から将来にかけてのセキュリティ投資に備えて、最強レベルのMFAを検討してみてはいかがでしょうか。 今後の予算サイクルの中に、資金要求を組み込む。 現在の潜在的な資金提供機関は、サイバーセキュリティ、近代化、アイデンティティの要件を満たすために、この命令を活用することができます。 それらの機関には、技術近代化基金(TMF)やアメリカン・レスキュー・プラン(ARP)基金なども含まれます。 しかし、多くの中小企業にとって、サイバーセキュリティの追加プロジェクトに予算が使えるようになるまでには、しばらく時間がかかる可能性があり、各省庁の予算増額や将来の予算に期待する必要があります。 これは、今四半期末までに計画を固める必要がないため、待つ必要があるという意味ではありません。 ですが若干の猶予期間はあります。

Thumbnail

Oct 29, 2021

最新のFIDOベースの認証を実現するUSB-CとNFCを備えた、Yubicoの「Security Key C NFC」のご紹介

より多くのデバイスでUSB-Cの利用が広がるにつれて、当社の「Security Key Series」の対象範囲がより多くの最新デバイスに拡張されていくことを嬉しく思います。 お客様に愛されるようになったYubico社のトレードマークであるセキュリティと品質で構築されたブルーの「Security Key C NFC」は、Security Key Seriesに加わる最新のキーです。.  現在$29で購入可能なこのお手頃価格のセキュリティキーは、NFC機能を備えたUSB-Cフォームファクタで、FIDOのみに対応しています。 デスクトップ認証とモバイル認証の両方で、アプリケーション、サービス、およびユーザーアカウントに対して、強化された最新のセキュリティを提供します。 USB-Aフォームファクタをお探しのお客様は、ぜひ「Security Key NFC」ご検討ください! こちらから$25でご購入いただけます。   「Security Key C NFC」は、次のようなユーザーに最適です: 開封後すぐに最新の物理的認証機能を使用できるシンプルなセキュリティキーを、より手頃な価格で使用したい方 FIDO U2FまたはFIDO2/WebAuthn 認証プロトコルをサポートするアカウントを保護している方。 「Security Key C NFC」は、次のような日常的に使用する数百におよぶ一般的なWebサイトおよびアプリケーションで動作します:  Gmail、YouTube、Dropbox、Twitter、Coinbase、Microsoft アカウント(Office 365、Xbox Live など)、その他多数 パスワードマネージャー、ソーシャルメディアネットワーク、生産性向上およびビジネスのためのアプリケーション、暗号通貨取引所など、対応リストは増え続けています これらはNFCを利用して、対応するアカウントへのタップアンドゴー認証を行っています デスクトップおよびモバイル双方でハードウェアベースの認証が必要な場合  耐水性と耐衝撃性を兼ね備えたキーチェーン型セキュリティキーを希望される場合 Security Key Seriesは、どちらの機器もFIDO U2FとFIDO2/WebAuthnに対応しています。これらはYubico社が 1 つの認証機能をさまざまなアプリケーションで利用できるようにという発想に基づいています。MFAにはさまざまな形式がありますが、すべてが同じ作りではありません。 FIDOベース認証は、フィッシングおよび中間者攻撃からの保護が証明されている唯一の方法です。  YubiKeyを大規模かつ強力な認証、さまざまなビジネスシナリオ、複数の認証プロトコル、Yubico Authenticatorのサポート、さまざまなフォームファクタを管理するために検討されているお客様には、YubiKey 5 Seriesがお勧めです。 お客様にどのキーが適切かを確認するために、クイズにお答えください。.  機能と仕様の詳細については、こちらを参照してください。 Security Key Series key は、 こちらからご購入いただけます.

Thumbnail

Oct 5, 2021

YubiKey Bioシリーズの新しい指紋認証デバイスに指で触れてみましょう

本日、私たちはYubiKey Bioシリーズを発表いたします。これはYubico史上で初の生体認証をサポートするYubiKeyです。 YubiKey BioはMicrosoft Ignite 2019で最初に予告されましたが、ここではMicrosoft Azure Active Directoryアカウントに対するパスワードレスサインインのライブデモが実演されました。 私たちは時間をかけて、高度にセキュアでユーザーフレンドリーな製品の発売までに至りました。 YubiKey Bioシリーズは、指紋をデバイス認証に使用する新しいユーザーエクスペリエンスを兼ね備えた、Yubicoが自信を持って提供するハードウェアセキュリティです。 本日からYubiKey BioシリーズはUSB-AおよびUSB-Cの両方のフォームファクタで一般提供可能になり、デスクトップベースのFIDO認証をサポートするデバイスとアプリケーションに対するセキュアな二要素認証とパスワードレスログインを提供します。 YubiKey Bioシリーズはyubico.comで購入することができ、小売価格はUSB-Aフォームファクタが$80、USB-Cフォームファクタが$85です。 YubiKey Bioシリーズの開発時、私たちはセキュリティキー上の生体認証のアーキテクチャの再考に挑戦しました。 これら一連のキーには3つのチップデザインが採用されており、生体指紋情報を個別のセキュアエレメントに格納することにより物理的攻撃からの防御を強化しています。 最終的に、私たちはモダンで合理的なパスワードレス認証が可能で、最も重要なこととしてセキュリティを犠牲にしないデバイスを製造しました。 YubiKey Bioはポータブルなハードウェア型RoT(Root of Trust)として動作し、ユーザーは異なるデスクトップデバイス、オペレーティングシステム、およびアプリケーション間で同じキーを使用して認証することができます。 以下の内容はYubiKey Bioシリーズの特徴の一部です。 一貫性のある信頼性設計 – YubiKey Bioシリーズは、他のYubiKeyと同様になめらかでシンプルなキーチェーンデザインを採用しており、耐久性と耐水性を備えています。 他のYubiKeyでユーザープレゼンスを確立するために使用される従来の金色の接点の代わりに、YubiKey Bioの指紋センサーでは指紋認識でユーザーを認証します。 パスワードレスの要望に応えます – 企業は複数のパスワードを管理する苦痛からユーザーが解放されることを次第に望むようになり、パスワードレスエクスペリエンスを可能にするソリューションを求めています。 YubiKeyでは単一PINでこれを実現していますが、FIDO2/WebAuthnおよびU2FをサポートするYubiKey BioシリーズではPINの代わりに指紋認証を使用することができます。 ただし、ユーザーの指紋がログイン試行中にデバイス上に登録されていない場合、ユーザーは初期設定中に追加されるパーソナルPINでYubiKey Bioのロックを解除することができます。 ハードウェアセキュリティ –  YubiKey Bioはネイティブな生体認証登録を、最新のプラットフォームおよびオペレーティングシステムでサポートされる管理機能と統合します。 また、Windows、macOSおよびLinux上の デスクトップ用Yubico認証アプリを使用して指紋を登録、追加、および削除することができます。 指紋のテンプレートはキーに登録された指紋に紐づけられ、これら指紋テンプレートは独立したセキュアエレメント上に格納および照合されるので、物理的攻撃からの保護に役立ちます。 指紋情報はYubiKey Bioシリーズの外へ出ることはありません。 新しいユーザーエクスペリエンス、ポータビリティ、およびFIDOプロトコルサポートを使用する拡張ワークフロー – 生体認証をベースにしたセキュアな二要素認証およびパスワードレスログインエクスペリエンスにより、ユーザーエクスペリエンスが強化されます。 FIDOをサポートするサービスおよびアプリケーションでは、アプリケーションを「信頼済み」にすることもでき、サービスにログインする際の初回の認証にのみYubiKey Bioを使うこともできます。 セキュリティのために作成されるポータブルユーザー認証の目的 –

Thumbnail

Sep 30, 2020

YubiKeyの新しいファミリーを紹介します!YubiKey 5C NFC誕生!

今日は多くのYubiファンの皆様にとって、待望の日です―Yubicoの最新作、YubiKey 5C NFCが誕生しました! この商品は、マルチ認証プロトコルとスマートカードログインのためのPIVに加え、USB-Cと近距離無線通信(NFC)の双方を利用可能であるという特徴を備えています。 私たちが待ち望んでいたこと、そして私たちの最大の関心事の一つとして、この興奮を皆様と共有できることをこころから楽しみにしています。これからご説明させていただくことが、私たちがYubiKey 5C NFCを愛する理由の一部です。そして、皆様も同じように気に入ってくださると確信しています。 最新のデバイスに対応する、最新のセキュリティキーです USB-Cの人気は飛躍的に向上しており、MacBookやWindows Surface Proをはじめとする多くのノートパソコンやコンピューターが本来のUSB-AポートからUSB-Cタイプに移行しています。一方で、主要なモバイルプラットフォーム―AndroidやiOS — はNFCを利用したタップアンドゴー方式のハードウェア認証をサポートしています。 そこで、YubiKey 5C NFCは、USB-CとNFCをひとつのセキュリティキーで利用可能にすることにより、iOS, Android, Windows, macOS, そしてLinuxなどの先進的なプラットフォームと、最先端のデバイスからも認証が可能になるような完全なる解決策を編み出しました。 USB-CとNFCの双方が利用できる初めてのセキュリティキーであり、スマートカードを含むマルチ認証プロトコルをサポート YubiKey 5シリーズの一製品として、YubiKey 5C NFCはYubicoのシンボルであるマルチプロトコルをサポートしています。FIDO2やWebAuthnなどの最新認証標準との互換性だけでなく、YubiKey 5C NFCはスマートカードとしても重宝されることが期待されます。これは、政府機関を含む数千もの企業にとって有益な特長です。  マルチプロトコルサポートには以下が含まれます:FIDO2とWebAuthn、FIDO U2F、PIV(スマートカード)、OATH-HOTPとOATH-TOTP(ハッシュベース、タイムベースのワンタイムパスワード)、OpenPGP、YubiOTP、チャレンジ/レスポンス認証。これらの適応性は企業にとっては特に重要な利点で、ひとつのキーがEmailアカウント、アイデンティティ管理(IAM)、VPNのプロバイダー、パスワード管理ツール、SNSプラットフォーム、コラボレーションツールやその他多くのサービスに対応することができます。 リモートワークを簡単にセキュアにできる最新のセキュリティキー 家から働く、というスタイルはすぐに無くなるものではなく、ソーシャルディスタンスのガイドラインが取り払われた後でも、世界中でリモートワークの需要が高まることが予測されます。企業は顧客との信頼のおける関係を、従来の方法で保護されたオフィスの外で確立することが求められています。 セキュリティキーは、100%の確率でフィッシング詐欺や中間者攻撃から守る信頼のおける手段であるだけでなく、使いやすいというメリットもあります。必要なのはワンタッチするか、NFCならばタップするだけの認証です。多くの従業員がパーソナルライフと仕事というそれぞれの責任のバランスを取るのに苦労している中で、大きな利点になると考えています。最新のデバイスにアクセスすることが可能であれば、YubiKey 5C NFCは自宅から働く従業員を守るのにぴったりです。 あなたのYubiKeyコレクションにYubiKey 5C NFCを追加してみませんか?(もちろん初めての方も大歓迎!)YubiKey 5C NFC はYubico storeにてUS$55でご購入いただけます。また、YubiStyle カバーも併せて購入していただくと、あなたのキーを自分好みのスタイルに変えることもできます。 また、企業ユーザーはYubiKey 5C NFCを最近追加されたYubiEnterprise Service からも利用することができます。YubiEnterprise Subscription、YubiEnterprise Deliveryを利用することにより、御社のIT管理者からYubiKeyを迅速かつ効率的なコストで従業員の所在地に届けることができます。

May 13, 2020

国家を守るYubiKey – 欧州のeIDAS・eIDプロジェクト

セキュリティは、政府による規制の最重要部へと移行しつつあります。それは当然のことです。 DFARSからFIPS、PSD2、GDPR、そしてeIDASまで、国家やサービスプロバイダーはより高い意識を持ってユーザーのセキュリティとプライバシーに対応することが求められています。 Yubicoでは、何年も前から GOV.UKなどの組織が安全な認証オプションを導入し、法令遵守の要件を満たすためのサポートを行ってきました。そして今日、その業務はさらに拡大しています。 欧州諸国では現在、市民のために最新のWeb認証を導入しつつあります。その中にYubikeyも含まれています。 これは、Yubicoが最近行ってきた eIDAS規則 (Electronic Identification, Authentication and Trust Services)に関連する取り組みに起因するものが大きいと思われます。eIDAS規則は、欧州単一市場における安全かつシームレスな電子取引のための予測可能な規制環境を整えることを目的として、2014年に欧州委員会によって施行されました。 この5年間に、eIDAS規則はEU加盟国に広く採用され、eIDASに準拠するサービスやスキームもヨーロッパ大陸のあちこちで提供が開始されています。 しかし、eIDAS Qualified Trust Service Providers(eIDASの適格トラストサービスプロバイダー)が今でも頭を悩ませている点があります。ユーザーがリモート署名の作成を単独で管理できるようにするために、ユーザーを自社サービスに安全に認証できるようにするには、どうすればよいのでしょうか。 この課題に対応するため、Yubicoはあるソリューションを設計しました。FIDO2を使用してリモート署名サービスへのアクセスを保護し、ユーザーが署名作成プロセスを単独で管理できるようにするものです。 リモート署名ソリューションの保護以外にも、YubiKeyは国民電子IDカード事業や eIDASに準拠するeIDスキーム(フェロー諸島の National Digitalisation Programme など)にも利用可能です。 デジタルIDは新たなデジタル基盤の4大柱のひとつであり、2020年に運用開始予定です。 Yubicoでは Nexus社 と提携してeIDソリューションを提供しています。これにより、フェロー諸島の15歳以上の全市民がYubiKey 5シリーズデバイスを使用して政府サービスや銀行サービスに簡単かつ安全にアクセスできるようになります。 こうしてできたeIDスキームは、eIDASの保証レベル「高」に分類される見通しのため、ヨーロッパのすべてのオンラインサービスで認知されることでしょう。 「我々がYubicoのYubiKeyを選んだ理由のひとつは、ほぼすべての主要なモバイルとデスクトップのプラットフォームでサポートされており、ブラウザーのサプライヤーを含めたインターネット業界のトップ企業で採用されていることです。 近いうちに、このことが市民にeIDを提供し、それと同時にオンライン活動を簡単に保護する方法を提供するというメリットにつながっていくことと思います」と、Talgildu FøroyaのChief IT Architect(主任ITアーキテクト)であるJanus Læarsson(ヤヌス・ラーソン)氏は述べています。. フェロー諸島の次世代National Digitalisation Programme(国家デジタル化プログラム)では、Web認証の新たなオープンスタンダードであるFIDO2に対応する予定のため、YubiKeyがeIDカードとして認定されることになるでしょう。 Yubicoは、ヨーロッパのeIDASや国民eID事業に関連する、数々の事業や標準化、最先端テクノロジーの分野において積極的に活動しています。 当社のニュースレターにぜひご登録ください。注目のニュースをお届けします。

Thumbnail

Mar 12, 2020

YubiKeyがリモートワーカーをフィッシングやその他の攻撃から守る5つの仕組み

デジタルトランスフォーメーションへと向かう今日の企業の取り組みの中で、リモートワークが注目を集め始めています。 テクノロジーの進歩により、従業員はどこからでも仕事をすることが可能になりますが、同時にIT部門には新たな課題もいくつか浮かび上がっています。 セキュリティ対策のないWi-Fiネットワーク、正しく管理されていない個人用のモバイルデバイス、フィッシング詐欺などによって、ユーザーの認証情報を盗むことが容易になり、逆に地理的に分散したチームを安全に管理することが難しくなります。 リモートワークという概念自体は新しいものではありませんが、現代のビジネスにおいていっそう普及が進んでいます。 近年の世界的な出来事により、その導入件数は増加を続けています。そのため、企業や組織にとっては、ただリモートワーカーのセキュリティを守るだけでなく、生産性を妨げることなくその対策を講じるためのプロセスやシステムを整えることが喫緊の課題となっています。 既にハッカーらは標的型フィッシング攻撃によって現在のビジネスの不安定な状況につけ込んでおり、リモートで勤務する従業員の保護を含めた善後策を作成することが極めて重要です。 企業の皆様は、「従業員は新たなリスクや脆弱性を持ち込むことなくリモートでシステムにアクセスできるか?」と考える必要があります。 在宅勤務の方針を立てる上で最重要な要件のひとつが、多要素認証(MFA)を取り入れることです。 YubiKey 5シリーズとFIPS認定のYubiKeyシリーズは、デバイスの種類やオペレーティングシステム、勤務地を問わず、使いやすく耐久性の高い多機能なソリューションを全ての従業員に提供します。 皆様の組織で既にYubiKeyをご利用中、またはご検討中の場合は、従業員の保護以外にも、さまざまな面でハードウェアベースの強力な認証のメリットを得ることが可能です。 リモートワーカーや分散型ワーカーという考え方が普及しつつある中、YubiKeyを用いて皆様の従業員をフィッシングその他の脅威から確実に保護するためのヒントが5つあります。 IDアクセス管理(IAM)システムとIDプロバイダー(IdP)向けにMFAを有効化 — 最高水準のクラウドおよびハイブリッド環境でIAMソリューションを活用することにより、従業員が大変な思いをして複数のユーザー名とパスワードを使い分けなくても作業できるようになります。 IAMベンダー大手の多くは、Axiad、Duo、Google Cloud、Microsoft Azure Active Directory、Okta Workforce Identity、PingID、RSA SecurIDⓇ Suiteなど、YubiKeyをネイティブサポートしたサービスを提供しています。 既にこれらのサービスをご利用の組織は、YubiKeyでMFAを有効にするだけで、組織全体のセキュリティレベルを速やかに向上させることができます。 また、IAMベンダーやIdPを活用して、Microsoft TeamsやGoogle Hangouts、Zoomといったビジネスクリティカルなメッセージ送信およびビデオ会議アプリにSingle Sign On(SSO)を導入することも可能です。 MFAによる安全なVPNアクセス ― リモートワーカーの増加に伴い、VPNを利用して会社のネットワークにアクセスする人も増えています。 YubiKeyにPulse SecureとCisco AnyConnectを組み合わせることで、リモートアクセス用のスマートカード(PIV)として使うことできます。 YubiKeyをネイティブサポートする他のVPNアプリケーションでは、ワンタイムパスワード(OTP)機能を使用します。 コンピューターログイン用のMFA― お使いのパソコンがMacでもWindowsでも、YubiKeyなら複数のオプションでコンピューターのログインを保護できます。 効率的な方法のひとつは、YubiKeyのスマートカード機能を活用し、PINとキーを併用してコンピューターのアクセスをロックダウンすることです。 最近では、YubicoとMicrosoftとの連携により、Microsoft Azure Active DirectoryにおいてYubiKeyをネイティブサポートし、FIDOベースのパスワードレスログインが可能になりました。 この機能は現在、ハイブリッド環境に向けたパブリックプレビューのために公開されています。 -パスワードマネージャーのためのステップアップ認証― 最近のPonemon Instituteの報告書における大半の回答と同意見で、今でも付箋や記憶に頼ってパスワードを管理させている組織は、今こそその慣習を捨て去るときです。 リモートワーカーであってもなくても、従業員にはパスワードをシンプルかつ安全に作成、保管、管理する方法が必要です。 YubiKeyは、1PasswordやDashlane、Keeper Security、LastPassなど数多くのエンタープライズ向けパスワードマネージャーと統合します。 YubiKeyによるワンタイムパスワードベースのパスコード生成― 皆様の業務で使用しているサービスやアプリケーションの多くは、Google AuthenticatorやAuthyなど、二要素認証方式である時間ベースのワンタイムパスコード(OTP)をサポートしているはずです。 Yubico

Thumbnail

当社が現在のYubiKeyを設計するに至った理由

初代YubiKeyは2008年に発売されました。「ubiquity(遍在)」という言葉からインスピレーションを得て、全ての人がシンプルで安全なログインを利用できるようにするという使命を背負った製品でした。 当時の当社は10人にも満たない小企業でしたが、戦略は実にシンプルなものでした。 ほんの一握りでも大手テクノロジー企業と緊密に協力してYubiKeyの技術を発展させることに注力すれば、全ての人にとってインターネットをもっと安全なものにできる、というものです。 それから12年後の今、当社はその目標に近づきつつあります。 Yubicoが初めてのFIDO対応セキュリティキーをリリースした2014年以降、今では全で使いやすての主要プラットフォームおよびブラウザーがYubiKeyとFIDO、そして当社が主唱してきたWebAuthn規格に対応しています。 FIDOと互換性のある認証ツールも続々と市場に参入してきており、コンピューターやスマートフォンに内蔵されるものも増えてきています。まさに当社が思い描いていた姿です。 これらの規格を採用する組織が増えることで、エコシステムが継続的に成長し、ひいてはYubiKeyのユーザー様にとってもメリットとなります。 全ての認証ニーズに応える魔法の解決策などはおそらく存在しませんが、YubiKeyは可能な限り多くのケースに対応できるよう設計されています。 最高レベルのセキュリティと使い勝手、耐久性を実現するための継続的なイノベーション、そしてお客様やパートナー様、ユーザー様との協力が直接実を結び、現在のYubiKey製品ラインナップが出来上がりました。 設計・生産においてYubicoがこれまで行ってきた選択とその理由を、以下にまとめてみます。 外付け認証ツールにより攻撃対象領域を最小限に抑える 現在ではFIDO認証方式がスマートフォンやコンピューターに直接内蔵されるようになっています。消費者への普及や小規模かつ多種多様なユースケースという観点では良いことです。 ただし、こういった多目的コンポーネントでは、攻撃のベクトルが増加するほか、インテルのSpectre問題のような潜在的なセキュリティの問題も伴います。 物理的セキュリティとデジタルセキュリティどちらの専門家も、防御を強化するためには攻撃対象領域を最小限に抑えることが重要であると同意しています。 オンラインアカウントのセキュリティ改善のため、当社は、認証と暗号化のみにフォーカスし、インターネットに依存しない外付け認証ツールとしてYubiKeyを製作しました。 内蔵型の認証ツールと比較して、YubiKeyはバッテリー不要で機能し、全てのコンピューターとスマートフォンで動作し、手頃な価格のデバイス横断型RoT(信頼の基点)となるように作られています。 デバイスの小型化で環境に優しく YubiKeyは、堅牢な一体型のデザインで、バッテリーも可動パーツも搭載しない長寿命のデバイスとして設計されています。 最人気のYubiKeyキーチェーン用デザインは、クレジットカードほどの軽さ。出荷時の体積とカーボンフットプリントを最小限に抑えるため、全ての製品とパッケージを可能な限り軽量・薄型に設計しました。 安全で使いやすいフォームファクター、USBとNFC スマートフォンやコンピューター、セキュリティキーといった一部のFIDO対応認証ツールでは、認証フローの最中にBluetooth Low Energy(BLE)通信を使用します。 しかし、Bluetoothはもともと音声のために作られたものであり、セキュリティは想定していません。 最初のBLEの仕様が策定されてからセキュリティ面の改善は行われてきているものの、数メートルの範囲内で危険にさらされるリスクはやはり存在します。 また、BLEによってユーザー側の操作が煩雑になり、ヘルプデスクへのサポート依頼件数と関連コストが増加することにもなります。 FIDOベースでUSBおよびNFCのYubiKeyを大規模に導入した結果、アカウントの乗っ取りがゼロになり、サポート依頼件数が92%減少して、コストが数千万ドル削減されたという研究あります。 セキュアエレメントが実現する強力な物理保護機能 一般的に、より多くの人がコードを精査できるようにすることがセキュリティ面で望ましいものの、残念ながら、Heartbleedなどのオープンソースのセキュリティについて大きな問題があるのも事実です。 初期のYubiKeyは、市販のUSBコンポーネントをベースに構築されていました。 YubiKeyの物理的なセキュリティを改善するため、当社は後に全てのハードウェアをセキュアエレメントで構築することにしました。ICチップベースのクレジットカードやパスポートにも用いられているものです。 セキュアエレメントを使用することでコンポーネントの出所の真正性を示すことができ、物理的なデバイスを使用する詐欺犯罪でコードを抜き取られたり改変されたりすることを防止できます。 最先端のセキュアエレメントでは、チップが独自開発になり、ドキュメンテーションやツールの点で制限されているため、オープンソースでの実装が不可能になっています。 Yubico製品の品質と完全性を守るため、当社のセキュリティおよびエンジニアリングチームは、社内とサードパーティによるセキュリティレビューを継続的に実施しています。 生体認証とPINが共存するパスワードレスの世界 FIDOとWebAuthnにより、そのうち複雑なパスワードを忘れることができるようになるでしょう。そして、強力な公開鍵暗号化によって、パスワードの代わりに物理的なFIDO認証ツールを用いる日が来るはずです。 これらのデバイスは、初めての強力なファクター(持っている)となり、PIN(知っている)や生体認証(身元)と組み合わせることが可能になるでしょう。 生体認証は便利なものではありますが、指紋のような静的イメージは必ずしもPINより安全というわけではありません。 そこでYubicoでは、今年中に指紋とPINの両方に対応するYubiKey Bioの発売を予定しています。 この製品はスリムで堅牢な設計となり、現在の市場にある製品よりもセキュリティ機能が向上します。 大切なサプライチェーン Yubicoの製品は米国とスウェーデンで製造されています。 この2ヶ国を選択したのは、製品の完全性を確保することを意識したためです。 FIDOが認証するのはあくまでも相互運用性であり、セキュリティに関する方針の設定や製品セキュリティの審査については今のところ行っていません。 そのため、信頼するベンダーの選択は、ユーザーとサービスプロバイダーに委ねられています。 進化し続ける認証機能 YubiKeyは未来のことを考えて設計されています。 現在から未来へのシームレスな移行を可能にするため、当社ではひとつのデバイスに従来と最新の両方のセキュリティプロトコルを盛り込みました。 一つの認証ツールで幅広いシステムやサービス、アプリケーションに対応できるようにするため、YubiKeyは固定パスワードやワンタイムパスワード(OTP)、スマートカード(PIV)、OpenPGP、FIDO U2FおよびFIDO2に対応しています。 Yubicoの新しいYubiEnterpriseサブスクリプションモデルは、新モデルや新機能の導入時に、事業者様がお持ちのYubiKeyを一定割合でアップグレードできるサービスです。 全ての人に安全なインターネットを実現するという使命を求めて FIDO対応認証ツールの市場成長に伴い、当社ではどの製品を選べばよいかという質問をお客様から受けられるようになっています。 当社の通常な対応としては、FIDO2とWebAuthnに対応し、入手可能な認証ツールをいろいろ試して、ユーザーからのフィードバックと導入に関する統計を活用して判断していただくようにしています。