Tag: japanese

Thumbnail

Jul 25, 2022

WebAuthnの実装 Yubicoからの新芏アップデヌトの重芁性

WebAuthnではたくさんの略語ずプロトコルが䜿われおいたす。 しかし、これらの意味ず、これらの䞭から重芁なものだけを特定する方法を理解しおいたすか 匊瀟ではわかりやすい説明ずサポヌトの䞡方をご甚意しおいたす。 このブログでは、WebAuthnの実装のコツや、java-webauthn-serverラむブラリのアップデヌト、YubicoのWebAuthnスタヌタヌキットの最新版に぀いおのニュヌスをお䌝えしたす。 初期 Universal 2nd FactorU2Fは、YubiKeyなどのハヌドりェアトヌクンを䜿ったオヌプン認蚌芏栌です。 これは圓初、FIDOアラむアンスによっお2014幎に公開されたした。 Yubicoはこの芏栌を開発者で、YubiKeysは最初のUniversal 2nd FactorU2Fセキュリティキヌのひず぀でした。 この芏栌は䞻に次の2぀から構成されおいたす。 ホストコンピュヌタクラむアントずセキュリティキヌオヌセンティケヌタの間で USB たたは NFC を介しお通信するために䜿甚されるFIDO U2F HIDプロトコル 埌にCTAP1、Client To Authenticator Protocolに改名. りェブサむトで認蚌情報の登録ず認定に䜿甚されるFIDO U2F JavaScript API これらのプロトコルのサポヌトは耇数の異なるブラりザに远加され、この芏栌はコンセプトを実蚌ず蚌明に䜿われおきたしたが、いく぀かの制玄が普及の劚げになっおいたした。 進化 U2Fはセキュリティの匷化ず䜿い勝手の面では優れおいたしたが、ただ改善の䜙地がありたした。 U2Fの埌続゜リュヌションはFIDO2で、「パスワヌドレスログむン」、デバむス䞊でのPINや生䜓認蚌のサポヌト、その他いく぀かの拡匵機胜など、倚数の新しいナヌスケヌスに察応しおいたす。 この補品により、これらの新機胜をセキュリティキヌでサポヌトするCTAP2ず、FIDO U2F JavaScript APIの埌継補品であるWebAuthnずいう新しいAPIが登堎したした。 WebAuthnは埓来のJavaScript APIに完党に代わり、W3Cによっお暙準化され、䞻流ブラりザで実装されおいたす。 旧型のU2F APIのサポヌトは珟圚段階的に終了しおいお、倧半のブラりザでは機胜しおいたせん。 ここで、WebAuthnの出番ずなりたす。WebAuthnは、CTAP1U2FプロトコルおよびCTAP2FIDO2プロトコルの䞡方ず完党な互換性がありたす。 たた、WebAuthn APIを利甚した拡匵機胜により、叀いU2F認蚌情報を継続しお利甚するこずも可胜で、ナヌザヌはセキュリティキヌを再登録しなくおも、匕き続き䜿甚できたす。 WebAuthnはほずんどの開発者が接するAPIなので、「WebAuthn」はブラりザだけでなく、セキュリティキヌからサヌバヌたでの゚ンドツヌ゚ンドの実装党䜓を指す甚語になっおいたす。 WebAuthn実装方法   これたで、ホストから認蚌システムぞの通信CTAP、Webペヌゞからブラりザぞの通信WebAuthnに぀いお説明しおきたしたが、サヌバヌ偎に぀いおはただ確認しおいたせん。 FIDO2仕様曞では、サヌバヌが認蚌情報を怜蚌するために必芁なこずを段階的に説明しおいたすが、実際のWebAuthnの実装は読者の挔習ずしお残されおいたす。 実装に䜿えるラむブラリはいく぀かありたすが、その䞭でもYubicoのjava-webauthn-serverラむブラリバヌゞョン2.0は、公開されたばかりです。 このラむブラリを䜿甚するず、既存のJVMベヌスのバック゚ンドにWebAuthnのサポヌトを远加し、次のこずを実行できたす。  クラむアントに送信する必芁があるバむナリメッセヌゞの䜜成ず読み蟌み 暗号眲名の有効性確認  仕様によっお課された芏則の履行 この新しいラむブラリは、FIDO Metadata Service

Thumbnail

Jul 25, 2022

継続的な認蚌のための基盀構築

継続的な認蚌ずは、システム、アプリケヌション、デバむスの間を行き来するナヌザヌのアむデンティティをリアルタむムに怜蚌する機胜を提䟛する、将来の「完党な状態」のセキュリティの抂念のこずです。 理論的には、継続的な認蚌゜リュヌションは、さたざたな監芖゜ヌスからのリスク信号を䜿甚しおナヌザヌを認蚌し、朜圚的な脅嚁を特定し、䟵害されたずフラグが付けられた認蚌情報の機胜を積極的に修埩したす。 しかし、今日、継続的なナヌザヌ認蚌は抂念にすぎず、ただ確立された芏栌ではありたせん。 業皮党䜓で珟圚䜿甚されおいる埓来の認蚌方法は静的であり、ナヌザヌは認蚌ワヌクフロヌの開始時にのみ、認蚌芁玠(䟋:パスワヌドたたはPIN、ワンタむムパスコヌド、生䜓認蚌)の提䟛に積極的に参加する必芁がありたす。 抂念的には、継続的な認蚌は、地理䜍眮情報、生䜓認蚌の倉曎、さらにはキヌストロヌクやマりスパタヌン、コンテキスト、その他の掻動パタヌンなどの動䜜監芖など、機械孊習をベヌスずするむンテリゞェントなリスク監芖゜ヌスぞの積極的な参加に取っお換わるものか、たたは補匷するものです。 継続的な認蚌ぞの取り組み 継続的認蚌の背埌にある明確な掚進力 サむバヌ攻撃はその数ず粟巧さを増し続けおおり、デヌタ䟵害の61%はナヌザヌ認蚌情報が根源ずなっおいたす。 SMSベヌスのOTPワンタむムパスワヌドのような埓来のセカンドファクタヌでセキュリティを高めようずしおも、ナヌザヌの䞍満や安党でない回避策を招くだけで、43%の組織が倚芁玠認蚌MFAの䜿甚における最倧の障害ずしおナヌザヌ゚クスペリ゚ンスを挙げおいたす。 ハむブリッドワヌクやリモヌトワヌクぞの移行は、今日のID管理やアクセス管理の方法における匱点を増倧させおいたす。 IDアクセス管理(IAM)、および特暩アクセス管理(PAM)゜リュヌションを䜿甚しお、゚ンタヌプラむズアプリケヌションぞのアクセス制埡の合理化が詊みられおきたした。倚くの堎合、シングルサむンオン (SSO) を䜿甚しお、ナヌザヌがアクセスできるアプリケヌションごずに個別のトヌクンを割り圓おたす。 IAMやPAMの゜リュヌションの䞭には、リスク分析を適甚しおステップアップ認蚌を促すものもありたすが、これは継続的な認蚌の本質を捉えおいたせん。 さらに、前述の゜リュヌションは、特に蚭定されおいないアプリケヌションを監芖、接続、操䜜するこずができないため、独自の壁によっお制限されるこずが倚く、脅嚁や異垞を怜出できる高床な自動化機胜やむンテリゞェンスによっお、IDずアクセスを管理するための党䜓的なキャパが枛少したす。 継続的な認蚌の抂念は、かなり前から存圚しおおり、2004幎には、枩床、目の動き、クリック圧を枬定するさたざたな方法が研究され、80%以䞊の粟床で本人確認を継続的に認蚌するこずができたした。 今日、コンテキストや行動デヌタにむンテリゞェンスを適甚し、プロセスや認蚌フレヌムワヌクず組み合わせお動的にアクセス制埡を適甚できるポむント゜リュヌションがいく぀か存圚したす。 ただし、IDたたはアクセスを管理する方法では、基になる信頌モデルにナヌザヌ名やパスワヌドなどの埓来の認蚌方法やモバむルベヌスの認蚌システムが含たれおいる堎合、IDベヌスラむン (本人であるこずの蚌明) には本質的に欠陥がありたす。 実際には、継続的な認蚌の抂念を実珟する前に実行しなければならない重芁な手順がありたす。 継続的な認蚌の構成芁玠 最先端で匷力な認蚌は、継続的な認蚌ずれロトラストの䞡方に必芁な構成芁玠の䞀぀です。 「決しお信頌せず、必ず確認する」のれロトラストフレヌムワヌクでは、組織は、ネットワヌクたたはデヌタぞのアクセスを蚱可される前に適切に怜蚌されない限り、ナヌザヌ、パケット、むンタヌフェむス、たたはデバむスを信頌しおはいけたせん。 この信頌は、継続的な認蚌の堎合ず同様に、リスクシグナルを䜿甚しお受動的に確立できたすが、最初に匷力な認蚌を䜿甚しバックアップする必芁がありたす。 ただし、MFAのすべおの圢匏が同じではないこずに泚意しおください。 どのような圢匏のMFAも、䜕もMFAを䜿甚しないよりは優れおいたすが、ナヌザヌ名ずパスワヌド、たたはSMSのワンタむムパスコヌド (OTP) 、プッシュ通知、認蚌アプリなどのあらゆるモバむルベヌスの認蚌は、フィッシング、暙的型攻撃、アカりントの乗っ取りに察しお脆匱です。 これらの認蚌は、マルりェア、䞭間者 (MiTM) 攻撃、SIMスワップ、およびその他の悪意のある行為によっお䟵害される可胜性のある 「共有シヌクレット」 に䟝存しおいたす。  Yubicoは、FIDO2などの最先端芏栌に支えられた匷力な認蚌を䜿甚しお、個人が本人であるこずを確認するように求める、将来のれロトラスト戊略のより進化した状態ずしお継続的認蚌をずらえおいたす。 むンテリゞェントなシステムが個人のパタヌンを孊習するため、ナヌザヌはより頻繁に本人確認を求められるようになりたす。時間の経過ずずもに、日垞的な掻動では認蚌プロンプトの数が枛少し、䞍芏則な掻動や朜圚的にリスクの高い掻動時に特暩アクセスを行うには、匕き続きステップアップ認蚌が必芁になりたす。 これに備えるために、組織は少なくずもフィッシング察策 の2芁玠認蚌 (2FA) たたはMFAのベヌスラむンを確立する必芁がありたす。これには、単玔なタッチや生䜓認蚌に䟝存するYubiKeyなどのハヌドりェアベヌスの認蚌が含たれたす。 理想的なのは、組織がナヌザヌフレンドリでパスワヌド䞍芁の匷力な認蚌に移行した堎合にのみ、れロトラストず継続的な認蚌フレヌムワヌクを構築できるようになるこずです。 珟圚、すべおのシステムずアプリケヌションに継続的な認蚌を適甚できる単䞀の解決策はありたせん。 しかし、今日の組織は、認蚌を向䞊させ、機密性の高いデヌタぞのアクセスを䞀般的に提䟛するミッション・クリティカルなアプリケヌションに継続的な認蚌の抂念を適甚するよう、行動を起こすこずができたす。  FIDO U2FやFIDO2などのフィッシング察策認蚌プロトコルずれロトラスト原則を䜿甚し、認蚌フレヌムワヌクを将来に備え匷化するこずで、将来のより珟代的で応答性の高いセキュリティ戊略の基盀を築くこずができたす。  — 匷力なフィッシング察策認蚌を䜿甚しおれロトラスト戊略を加速する方法の詳现に぀いおは、こちらのホワむトペヌパヌを参照しおください。.

Thumbnail

Jul 25, 2022

リモヌトワヌカヌに察する゜ヌシャル゚ンゞニアリング攻撃の増加ぞの察応

珟圚、パンデミックがさたざたな゜ヌシャル゚ンゞニアリング攻撃にうっお぀けの条件を提䟛しおいるこずは明癜です。 これたでも、リモヌトワヌクの普及やそれに䌎うリスクに適応する䞭で、スピア型フィッシングから、ノィッシング、ランサムりェアなどコロナりむルス関連の攻撃が増えおいるこずに぀いお、FBI やCISA, 、むンタヌポヌルをはじめ信頌できる組織から、倚くの報告や譊告が出されおいたす。 ゜ヌシャルディスタンスずリモヌトワヌクは、倚くの点でハッカヌにずっおより奜たしい環境を䜜り出しおいたすが、今日目にされる゜ヌシャル゚ンゞニアリング攻撃の皮類は、過去に芋られたものずあたり倉わりたせん。 それでは、なぜ今でも倧芏暡な情報挏掩が頻繁にニュヌスの芋出しを賑わせおいるのでしょうか?  歎史から孊ぶこずが䞀぀あるずすれば、ハッカヌは垞に人的芁因を利甚するずいうこずです。 䞍確実性、恐怖、泚意力散挫、孀立、混乱はすべお、ナヌザヌの脆匱性の増倧に぀ながりたす。 そしお、䞖界的なニュヌスの話題が目たぐるしく倉化し続ける䞭で、パンデミックや倧きなニュヌスむベントの䞭で、日和芋䞻矩的なハッカヌが悪甚するような次の展開を予想するこずは䞍可胜です。 䟋ずしお、COVIDの景気刺激策や救枈策に関連したフィッシング攻撃の増加に぀いお芋おみたしょう。  パンデミック収束埌も、゜ヌシャルディスタンスは継続し、仮想䞖界でのやりずりが増加するず予想されおいたす。぀たり、䌁業は゜ヌシャル゚ンゞニアリング攻撃の増加から身を守るために、匷力な認蚌を利甚しなければなりたせん。 分散化が進む䜜業環境では、システムず情報のセキュリティに察する信頌が倱われるため、ナヌザヌずの信頌を再確立するこずが䞍可欠です。 その方法はこちら 埓業員の教育やトレヌニングだけでは䞍十分です 新型コロナりむルス関連の詐欺に泚意するよう埓業員を教育するこずは、䞍可欠ですが、包括的な察応ではありたせん。 フィッシングや゜ヌシャル゚ンゞニアリングに関するナヌザヌ教育をいくら行っおも、攻撃の䞭には成功するものもあるのです。 ナヌザヌの行動を必芁ずし、フィッシング攻撃や䞭間者攻撃の特定がナヌザヌに䟝存しおいる限り、脆匱性は今埌も問題ずなるでしょう。 2FA戊略を芋盎す時期に来おいたす 組織は、将来の゜ヌシャル゚ンゞニアリング攻撃から保護するために、パスワヌド、回埩質問、たたは基本的な2芁玠認蚌 (2FA) に継続的に䟝存する䜙裕はありたせん。 これらの方法は、モバむルマルりェア、, SIMスワップ、フィッシング攻撃に察凊できないこずが䜕床も蚌明されおいたす。 ハッカヌはたすたす賢くなっおきおおり、私たちもそうならなければなりたせん。 ナヌザヌ゚クスペリ゚ンスは、組織の安党にずっお重芁です 同僚やIT郚門から物理的に離れ、自宅ず職堎の生掻を䞡立させおいる䞖界では、匷力な認蚌が、さたざたなデバむス、ビゞネスに䞍可欠なアプリケヌション、さたざたな環境で倧芏暡に機胜する必芁がありたす。 ナヌザヌ゚クスペリ゚ンスが向䞊するほど、特定のナヌザヌのみを保護する耇雑なポむント゜リュヌションずは異なり、䌁業党䜓に展開しおセキュリティを確保するこずが容易になりたす。 ぀たり、新型コロナりむルス関連の攻撃の増加は、珟実に存圚する危険です。 しかし、これが䞀時的な脅嚁であったり、新型コロナりむルスだけの問題であるずは考えられたせん。 これは、゜ヌシャル゚ンゞニアリング攻撃が増え続けおいるこずを瀺す最新の事䟋にすぎず、より匷力な察応が求められおいたす。 圓瀟は日々、倧小の䌁業が新しい日垞に適応できるよう支揎しおいたす。 準備はよろしいでしょうか 䞻芁なクラりドベヌスサヌビスに察しおハヌドりェア支揎を受けた匷力な認蚌を䜿甚しお、デゞタル倉革を加速させたす。 Google Cloud, やMicrosoft Azure Active Directoryをはじめずする倚くの日垞の業務アプリケヌションは、YubiKeyずのシヌムレスな統合を実珟しおいたす。

Thumbnail

Jul 25, 2022

補品開発のセキュリティ優先のアプロヌチを怜蚎する4぀の理由

むンタヌネットはパワフルな発明です。 元々はコラボレヌションのために䜜られたしたが、すべおの人が予想した胜力をはるかに超え、瀟䌚の䞭栞的な機胜を担うようになりたした。開発者ずしお、圓瀟は日々これらの玠晎らしい進歩に貢献しおいたすが、むンタヌネットの未来を守り、維持するこずも圓瀟の仕事です。 端的に蚀えば、むンタヌネットは元々、自動車のようにセキュリティを念頭に眮いお構築されたものではありたせんでした。 しかし、時間をかけお、むンタヌネットナヌザヌおよび共有される機密デヌタを保護する必芁性を認識するようになりたした。 珟圚では、自動車を賌入する際に゚アバッグ、シヌトベルト、譊報システムなどが装備されおいるこずを期埅するのず同様、補品やサヌビスにセキュリティ機胜が組み蟌たれるこずが期埅されおいたす。 セキュリティは補品開発ラむフサむクルの䞭で埌から远加するこずができるずはいえ、それは望たしくありたせん。 サむバヌセキュリティの状況は進化しおおり、組織もそれに合わせお進化する必芁がありたす。 ここでは、次䞖代の革新的な゜リュヌションを構築する際に、組織がセキュリティ優先の考え方の採甚を怜蚎すべき4぀の理由を説明したす。 情報挏掩からの埩旧にはコストがかかる  情報挏掩がもたらす経枈的栌差は、特に小芏暡䌁業にずっお壊滅的なものです。 情報挏掩によっお䌁業が被るコストは平均392䞇ドルであり、最初の情報挏掩から数幎間、組織は継続的に残存コストを負うこずになりたす。 このような圱響を元通りにする方が、最初から堅牢なセキュリティ基盀に投資するよりもはるかにコストがかかりたす。 暩限ベヌスのアクセス、匷力な認蚌、リスクの最小化の原則を最初から確立するず、組織の資金ず時間を節玄し、将来的なブランド䟡倀の䜎䞋を抑えるこずができたす。 ネガティブなブランドの評刀が顧客の信頌を䜎䞋させる 情報挏掩は、顧客の信頌を倱うなど、ブランドのむメヌゞず評刀に倧きなダメヌゞを䞎える可胜性があありたす。 実際、調査によるず、情報挏掩の被害者の65%は挏掩埌に組織に察する信頌を倱い、80%の消費者は情報挏掩されるずサヌビスの䜿甚を避けおいたす。 堅牢なセキュリティは競争力のある差別化芁因  リモヌトワヌカヌの増加によりセキュリティの状況が絶えず進化しおいるため、将来を芋据えおセキュリティを匷化する考え方が消費者や䌁業の間で暙準ずなり、堅牢なセキュリティオプションがあるず他の競合他瀟ずの差別化に぀ながりたす。 ペリメヌタ境界に重点を眮いたアプロヌチから、すべおの芁玠 (ネットワヌク、゚ンドポむント、クラりドサヌビス、モバむルデバむス) を保護する包括的な倚局アプロヌチに移行するオペレヌタヌ、システム管理者、および開発者は成功するでしょう。 シヌムレスなナヌザヌ゚クスペリ゚ンスは顧客忠誠心を育おる 適切に行われた堎合、優れたセキュリティは、お客様の補品゚クスペリ゚ンスを向䞊させる重芁な圹割を果たしたす。 実際、これによりすべおの゚クスペリ゚ンスが巊右されるこずもあるのです。 パスワヌドを䟋に挙げおみたしょう。 誰もそれを奜たないし、芚えおいるのも難しく、アカりント乗っ取りから適切に保護するずいう点では、ほずんど圹に立ちたせん。 しかし、これらは今でもむンタヌネット䞊で広く䜿甚されおおり、倚くの堎合、アカりントの䜜成やログむンは、Webサむトやモバむルアプリずの最初のやり取りになりたす。 「補品開発の初期段階でセキュリティを優先するず、結果ずしお埗られる補品は、最初からより優れたナヌザヌ゚クスペリ゚ンスを提䟛したす。」ずLet’s Encryptの゚グれクティブディレクタヌ、ゞョシュ・アヌス氏は説明しおいたす。 「埌付けで远加されたセキュリティメカニズムほど、ナヌザヌ゚クスペリ゚ンスに混乱を生じさせるものはありたせん。」 セキュリティが埌回しではなく事前に考えられおいれば、最初から最埌たでシヌムレスで楜しいナヌザヌ゚クスペリ゚ンスを蚭蚈する機䌚に恵たれたす。 結局のずころ、セキュリティ優先の考え方は、組織が情報挏掩による悪圱響を回避し、最終的な収益、顧客、ブランドに利益をもたらすこずができたす。 Yubicoでは匷力な認蚌をこのパズルの重芁なピヌスずしお重芖しおいたすが、最終的にすべおの人にずっおむンタヌネットを安党な堎所にするために考慮すべき (そしお協力する必芁がある) 他の倚くのセキュリティ偎面があるこずも認識しおいたす。 オヌプンスタンダヌドで匷力なYubiKey認蚌を実装するこずに関心のある開発者は、Yubico開発者プログラムに参加しお、オヌプン゜ヌスラむブラリずサヌバヌ、実装ガむド、トレヌニングリ゜ヌスなどにアクセスできたす。

Thumbnail

Jul 25, 2022

最新の認蚌の未来はどうなっおいくのでしょうか

2008幎にYubiKeyを最初に垂堎投入しお以来、認蚌ずセキュリティの䞖界では倚くの倉化が起こっおいたす。このブログでは、オヌプン認蚌芏栌における圓瀟の立ち䜍眮を確認し、「Passkey」の登堎に぀いお説明し、最新のWebAuthn/FIDO認蚌の未来に぀いお情報を共有したす。  グロヌバル芏栌の䜜成 すべおの人ずすべおのサむトに高床なセキュリティを導入するために、Yubicoは2012幎にGoogleずずもにUniversal Second FactorU2Fを䜜成し、2013幎にそれをFIDO Allianceに移行しお、すべおの人にずっおむンタヌネットをより安党にするグロヌバル芏栌を提案したした。この芏栌では、ハヌドりェアの公開鍵/秘密鍵の暗号によるセキュリティが䜿甚され、USBデバむスずポヌトたたはモバむルのNFC、およびそれをサポヌトするWebサむトしか必芁でないこずが瀺されたした。 U2FをFIDO2/CTAP2および W3C WebAuthnに拡匵するために、圓瀟は暙準化団䜓のメンバヌず協力し革新を続けたした。これらの進化した芏栌では、既存のすべおのU2Fデバむスをサポヌトし、さらに、電話やコンピュヌタヌなどのデバむスに組み蟌たれおいるデバむスPIN、生䜓認蚌、認蚌テクノロゞヌ、およびナヌザヌ名やパスワヌドをたったく䜿甚しない操䜜を可胜にするロヌカルで怜出可胜なクレデンシャルをサポヌトするオプションが远加されおいたす。 珟圚起きおいるこず この暙準化䜜業およびプラットフォヌムずの連携を通じお、すべおの䞻芁なデスクトップおよびモバむルプラットフォヌムぞの普遍的なサポヌトを実珟し、珟圚察凊䞭のいく぀かのたれな問題をプラスたたはマむナスしお、あらゆる堎所でフィッシングに匷い認蚌を行うこずができる゜リュヌションであるWebAuthn/FIDOが完成したした。 SMS、モバむルプッシュ通知、ワンタむムパスワヌドOTPなどの代替の倚芁玠認蚌MFA゜リュヌションには悪甚可胜な 技術的な欠陥が含たれおおり、それにより人々をだたす「䞭間者」フィッシング攻撃が簡単になりたす。これは、 ナヌザヌ名ずパスワヌドにたさるMFAメカニズムが普及する今日、たさに攻撃者が行っおいるこずです。 次に起こるこず FIDO Alliance、World Wide Web ConsortiumW3C、およびプラットフォヌムベンダヌず䜕幎も連携し、WebAuthn/FIDOで可胜な察応をさらに匷化しおきたした。そしお、どんな未来が埅っおいるか楜しみにしおいたす。本日、これらの革新ず远加に関する3点に぀いお説明したす。 甚語の倉曎 倉曎されおいる甚語がいく぀かありたすが、これらはナヌザヌず開発者の䞡方にずっお理解しやすいものになっおいるず思いたす。「Security Key」ずいうフレヌズは、WebAuthn/FIDOクレデンシャルを含む、YubiKeyなどの倖郚FIDO察応ハヌドりェアデバむスを衚す暙準的な衚珟になっおいたす。ただし、「WebAuthn/FIDOクレデンシャル」ずは必ずしも蚀いやすい蚀葉ずいうわけではなく、専門家でない人にずっおはほずんど理解されおいたせん。 「パスワヌド」はすでに広く理解されおいる甚語です。これらのWebAuthn/FIDOクレデンシャルでパスワヌドを眮き換えるこずができるため、業界に「Passkey」ずいう甚語が導入されたした。これは、昚幎Appleが発衚した‘Passkeys in iCloud Keychain’および最近のWIRED蚘事で公に蚀及されたした。この投皿の残りの郚分では、WebAuthn/FIDOクレデンシャルがSecurity Key内にあるか、デバむスのハヌドりェアにバむンドされおいるか、たたはクラりドプロバむダヌによっおコピヌされたデバむス䞊のファむルに保存されおいるかどうかに関係なく、WebAuthn/FIDOクレデンシャルに぀いお蚀及するずきはPasskeyず蚀いたす。 この衚珟が普及し始めたため、Passkeyの定矩、Passkeyが远加の認蚌オプションずしおどのように機胜するか、WebAuthn/FIDO認蚌オプションの拡匵がどのようになるかに぀いお、お客様やパヌトナヌから倚くの問い合わせがありたした。この進化するストヌリヌに぀いおは、以䞋で説明したす。 Bluetoothの改善、およびSecurity Keyずしおの電話 Yubicoは、プロトタむプのBluetooth認蚌システムを構築し、他瀟ず協力しお最初のFIDO Bluetoothトランスポヌトを䜜成したした。しかし圓瀟が䞋した最終的な決定は、Bluetooth YubiKeyの補品を出荷しないこずでした。これは、この取り組みで孊んだ次のこずに基づいお行われたした。 Bluetoothのペアリングはセキュリティや䜿いやすさの特性が䞍十分である バッテリヌは残量を維持するために定期的か぀慎重に充電するか、亀換可胜である必芁がある。これにより、デバむスの堅牢性が損なわれるため、必芁なずきに必芁なだけ代替品を甚意する必芁がある Bluetoothのプロトコルやハヌドりェアの実装は耇雑であり、発芋された脆匱性に察凊するために垞に最新の状態に保぀必芁がある Bluetoothハヌドりェア、ドラむバヌ、およびOSサポヌトの状態に䞀貫性がなく、信頌性がない Bluetooth Security Keyずしお䜿甚するのに適しおいるデバむスは電話だけであるずいう結論に至りたした。特に電話は、次の理由で適しおいたす。 ほずんどすべおの電話に、Bluetoothのペアリングを容易にするカメラがある ほずんどの堎合、所有者が慎重か぀定期的に充電する ゜フトりェアずファヌムりェアを定期的に曎新するメカニズムがすでにそなわっおいる 倚くの時間、所有者が保持しおいるず考えられる 認蚌噚ずしお電話を䜿甚するこずは圓瀟の圓初のビゞョンの䞀郚であり、長い間これに取り組んできたした。電話に組み蟌たれおいる生䜓認蚌を、FIDO2を䜿甚しお同じデバむスにログむンするために䜿甚できるようにしたのず同じ方法で、他のデバむスで認蚌するために䜿甚できるようにするにはどうすればいいでしょうか暙準化団䜓ずプラットフォヌムでの長幎の䜜業を経お、準備はほが敎っおいたす。カメラを利甚したBluetoothのペアリングは、珟圚䞻芁なブラりザずOSで有効になっおおり、プラットフォヌムのBluetoothの癖は、長幎のテスト、アップグレヌド、バグフィックスによっおほずんど修正たたは回避されおおり、Bluetooth+ネットワヌクトランスポヌトは十分にテストされおいたす。 有効にした堎合のmacOS/iOSでの珟圚の衚瀺は次のずおりです倉曎される可胜性がありたす: これは期埅できたすが、電話は壊れやすく、高䟡で、頻繁に亀換され、たたポリシヌや法埋によっお䜿甚が犁止されおいる堎合がありたす。぀たり、Security Keyを䜿甚する䞊で最も難しい郚分は、玛倱した際にどこにいおも再登録したり、新しいものに移行したりできるようにするこずであり、これは、電話の堎合はるかに頻繁に発生したす。 そのため、アカりントに远加されたいく぀かの認蚌噚の1぀ずしお電話を蚭定するこずをお勧めしたす。 コピヌ可胜なマルチデバむスPasskey これたで、Security Keyずプラットフォヌム認蚌噚によっお䜜成されたクレデンシャルは単䞀デバむスであり、䜜成されたハヌドりェアにバむンドされおいたした。これらは単䞀デバむスPasskeyです。これらは優れたセキュリティ特性を備えおおり、デバむスがなくおもアクセスができないため、理解しやすく、信頌できるシステムを構築できたす。 クレデンシャルを䜜成したハヌドりェアに瞛られないこずで、コピヌ可胜なクレデンシャルを远加できたらどうでしょうかこのコピヌ可胜な「マルチデバむスPasskey」は珟圚ベヌタ版ずしお公開されおいたす。 クレデンシャルのコピヌ可胜にするこずは、よりシヌムレスなデバむス移行ずデバむスの損倱/砎損による埩元を可胜にし、Security

Thumbnail

iOSのスマヌトカヌドずしおのYubiKey

蚌明曞ベヌスのスマヌトカヌドは、20幎以䞊にわたっお、倚芁玠認蚌の最も信頌され、実瞟のある実装の1぀でした。しかし問題が1぀ありたした。䞀般的なクレゞットカヌドの圢をしたスマヌトカヌドは、ハヌドりェアず゜フトりェアを別途甚意しないずモバむルデバむスではうたく機胜したせんでした。  珟圚、スマヌトカヌドには財垃に収たるクレゞットカヌドサむズから、キヌチェヌンに収たるハヌドりェアセキュリティキヌたで、さたざたなフォヌムファクタがありたす。Yubicoのセキュリティキヌの携垯性ずマルチプロトコルのサポヌトにより、Personal Identity VerificationPIV察応のYubiKeyを蚌明曞ベヌスのスマヌトカヌドずしお、サポヌト察象のiOSデバむスで䜿甚できるようになりたした。 iOS 14.2以降、Appleはスマヌトカヌドをネむティブでサポヌトし、PIV互換のスマヌトカヌドをハヌドりェアリヌダヌや゜フトりェアを別途甚意しなくおもiPhoneず通信できるようにしおいたす。YubiKey 5シリヌズのキヌは、ハヌドりェアベヌスのセキュリティず携垯型のクレデンシャルを提䟛し、PIV芏栌をサポヌトし、あらゆるAppleデバむスずLightningコネクタで物理的に、たたはNFCでワむダレスに通信できるため、iOSのスマヌトカヌドずしお適しおいたす。  最近、米囜行政管理予算局OMBも、フィッシング察策MFAを採甚するためのセキュリティ芁件を満たすよう連邊機関に芁求するメモを発衚したした。スマヌトカヌドはこの芁件を満たしおおり、これには、政府機関や芏制察象の業界が最高のAuthenticator Assurance Level 3AAL3芁件を満たすこずができるYubiKey 5 FIPS シリヌズもその䞀぀です。この投皿では、スマヌトカヌドの抂芁、YubiKeyをスマヌトカヌドずしお䜿甚する際の機胜ず利点、およびYubiKeyがiOS䞊のYubico Authenticatorアプリず通信しお、クラむアントの蚌明曞ベヌスの認蚌、メヌルぞの眲名、あらゆるiOSデバむスでのメッセヌゞずドキュメントの埩号化などのナヌスケヌスをサポヌトする方法を確認できたす。 スマヌトカヌドずは 䞀般的なスマヌトカヌドは、さたざたなサむズず圢状キヌからカヌドたでを持぀物理デバむスであり、セキュア゚レメントが埋め蟌たれたコンピュヌタチップを備えおいたす。セキュア゚レメントにより、情報を安党に保存、取埗、送信するこずができたす。これらのスマヌトカヌドの最も䞀般的なタむプには、銀行のATMカヌド、eパスポヌト、グロヌバルIDカヌドがありたす。  PIVスマヌトカヌド この投皿の目的ずしお、NISTのPIV芏栌に準拠したPersonal Identity VerificationPIVスマヌトカヌドに焊点を圓おおいたす。PIV察応のスマヌトカヌドでは、すべおの電子通信、デヌタ保存、デヌタ怜玢がより安党に、より良く保護されるこずが保蚌されおいたす。 PIVスマヌトカヌドは、本人確認、物理的アクセス、および安党なコンピュヌタヌネットワヌクおよびシステムぞの認蚌アクセスのために米囜軍の党員に発行されるCommon Access CardCACずしお最も䞀般的に䜿甚されおいたす2018幎以降。  スマヌトカヌドずしおのYubiKey YubiKeyは、匷力な二芁玠、倚芁玠、およびパスワヌドレスの認蚌噚ずしおよく知られおいたす。倚くの人には知られおいたせんが、 PIV-互換の スマヌト カヌドでもありたす。すべおのYubiKey 5シリヌズのキヌは、PIVむンタヌフェヌスに基づいたスマヌトカヌド機胜を備えおいたす。これはYubiKeyが本人確認、物理的アクセス、および安党なコンピュヌタヌネットワヌクずシステムぞの認蚌アクセスのためのPIV互換のCACず同じ暗号化機胜を備えおいるこずを意味したす。  掟生PIVクレデンシャル 米囜政府は20幎以䞊にわたっおスマヌトカヌドを発行しおきたしたが、䜕を倉え、なぜ今行ったのでしょうかiOSデバむスがスマヌトカヌドず通信する方法に察しお行った最近のAppleの倉曎に加えお、NISTガむドラむンは、掟生PIVクレデンシャルの承認された䜿甚を通じお、モバむルデバむス経由の電子認蚌の䜿いやすさも倧幅に改善したした。 掟生PIVクレデンシャルの承認ずは、これらのクレデンシャルず関連する秘密鍵をFIPS Series YubiKeyのPIV互換のセキュア゚レメントにプロビゞョニングできるようになったこずを意味したす。したがっお、掟生PIVクレデンシャルに察応する秘密鍵は、政府発行のPIVクレゞットカヌドの方匏に加えお、代替のフォヌムファクタの暗号化モゞュヌルに栌玍するこずもできたす。 YubiKeyの利点 YubiKeyをスマヌトカヌドずしお䜿甚する利点は、携垯性、フォヌムファクタヌの小型化、およびカヌドリヌダヌや゜フトりェアを別途必芁ずせずに、Lightningコネクタおよび非接觊NFCむンタヌフェむスを介しおiOSデバむスず通信できるこずです。  YubiKeyのPIV互換のスマヌトカヌドモゞュヌル内では、個別のスロットにさたざたなナヌスケヌスに察する耇数のデゞタル蚌明曞を保存できたす。YubiKeyのスマヌトカヌドモゞュヌルの各PIVスロットは、付随する秘密鍵ずずもにX.509蚌明曞を保持できたす。  掟生PIVクレデンシャルの所有者、たたはNISTの保蚌レベルが必芁な人の堎合、YubiKey FIPSシリヌズのキヌはPIV準拠のFIPS 140-2で怜蚌枈みのスマヌトカヌドであり、NIST SP800-63Bガむダンスにおける最高のAuthenticator Assurance Level 3AAL3を達成する芁件を満たしおいたす。 Yubico Authenticator Yubico Authenticator for iOSは、モバむルナヌザヌずデスクトップナヌザヌ向けにセキュリティレむダヌを远加する認蚌アプリです。Yubico Authenticatorアプリは、圓初、二芁玠認蚌の圢匏ずしお1回限りのパスコヌド甚にYubiKeyのOATH-TOTPモゞュヌルず連動するように蚭蚈されたした。  バヌゞョン1.6以降、iOS甚のYubico Authenticatorアプリを䜿甚するこずで、YubiKeyスマヌトカヌドをLightningコネクタたたはNFCを介しおPIVモゞュヌル䞊のX.509蚌明曞ず通信できるようになりたした。 iOSでYubiKeyをスマヌトカヌドずしお䜿甚する堎合、Yubico

Thumbnail

Jul 25, 2022

認蚌や最新のMFA甚語のアルファベットスヌプに぀いおの解説

倧半のサむバヌ攻撃は、ログむンパスワヌドやその他認蚌情報の盗難から始たりたす。 クラりド化が進む䞖界では、䌁業、個人、政府機関の通信システムには、むンタヌネット経由で誰でもアクセスでき、攻撃を受けやすくなっおいたす。 様々なサむバヌ攻撃の䞭でも、クレデンシャルフィッシングは最も重倧な問題で、これらの脅嚁から自分を保護するためにはガむダンスの意味を理解するこずが倧切です。   Yubicoでは、フィッシング察策の倚芁玠認蚌MFA)ガむドの共有をはじめずする保護ツヌルをご甚意しおいたす。 セキュリティ業界には、頭字語や耇雑な技術ツヌルから構成される「アルファベットスヌプ」の悪いむメヌゞがありたすが、MFAも䟋倖ではありたせん。 MFAのすべおを理解しようずする気が遠くなりたすが、MFAの甚語や皮類を垞識的なカテゎリヌに分類しおみるず、思っおいたよりもわかりやすくなりたす。 連邊政府は、䌁業に察しお堅牢な認蚌プロセスを採甚するように、たすたす匷く芁請しおいたす。 バむデン倧統領による昚幎のサむバヌセキュリティに関する倧統領什ずその他の今幎の緊急声明から、行政管理予算局OMBによる公的機関向けのフィッシング察策MFAのためのれロトラスト戊略の策定蚈画、サむバヌセキュリティ・むンフラストラクチャセキュリティ庁CISAの最近の声明ずShield Upプログラムたでを螏たえるず、今こそサむバヌセキュリティ脅嚁から身を守り、すべおのMFA専門甚語を確実に理解する時です。  以䞋は、組織で䜿甚できる重芁な甚語です。 これには、䞻芁な認蚌甚語ずその定矩、および䞻流認蚌ツヌルずMFAツヌルのリストが含たれおいたす。 たた、パスワヌドの萜ずし穎ず、未来のパスワヌドレス認蚌に向けた重芁なステップに぀いおも、こちらのダむゞェスト版ビデオで玹介しおいたす。 MFA甚語2FA、MFA、フィッシング察策MFAの定矩  2芁玠認蚌2FA 2FAずは、2皮類の違う芁玠を組み合わせお䜿い、ナヌザヌが䞻匵するオンラむンIDを確認する方法です。 これを「2段階認蚌」ず呌ぶ堎合もありたすが、略語ずしお2FAが䜿甚されおいたす。 2FAに䜿甚される芁玠には、本人が知る芁玠䟋パスワヌドやPIN、本人が持぀芁玠䟋セキュリティキヌや電話番号、本人が備える芁玠䟋顔認蚌が含たれたす。  倚芁玠認蚌MFA MFAでは、アカりントにサむンむンするために、耇数の蚌拠たたは芁玠を䜿っお、3぀以䞊の方法でログむンするこずが芁求されたす。 MFAにはSMSベヌスのワンタむムパスワヌドOTP、モバむルアプリ、生䜓認蚌、磁気ストラむプカヌド、スマヌトカヌド、物理セキュリティキヌなど様々な皮類がありたす。  フィッシング フィッシングずは、ナヌザヌが隙されおナヌザヌ名、パスワヌド、クレゞットカヌドなどの個人情報を、そのナヌザヌのアカりントの乗っ取りを謀る第䞉者に教えるように誘導されるこずです。 フィッシング攻撃の59%が金銭目的です。 フィッシング察策MFA フィッシング察策MFAずは、攻撃者がアクセス情報を傍受するこずや、ナヌザヌを隙しお情報を開瀺させるこずを防ぐ認蚌プロセスのこずです。 パスワヌド、SMSやその他のワンタむムパスワヌドOTP、セキュリティの質問、さらにはモバむルプッシュ通知など䞀般的に䜿甚されるMFAは、前述の攻撃のいずれかたたは䞡方の圱響を受けやすいため、フィッシング攻撃ぞの耐性はありたせん。 曎に、このプロセスでは垞に各圓事者はその有効性ず開始の意思を瀺す蚌拠を提出しなければなりたせん。 アメリカ合衆囜行政管理予算局が最近発行した芚曞7ペヌゞによるず、フィッシング察策MFAは、連邊政府のPIVPersonal Identity Verificationカヌドおよびスマヌトカヌドず、最新のFIDOおよびWebAuthnの2぀の認蚌技術ずしお定矩されおいたす。   認蚌ずMFAでよく䜿われおいる甚語 認蚌アプリ 認蚌アプリは、モバむルたたはデスクトップ端末で時間ベヌスのワンタむムパスコヌド (TOTP) を生成するこずで、オンラむンアカりントのセキュリティ局を远加したす。 TOTP方匏は2局目のセキュリティを远加する蚭蚈で、倚数の認蚌アプリで採甚されおいたす。 これには、モバむルずデスクトップにおいお最も安党な認蚌アプリであるYubico Authenticatorが䟋に挙げられたす。 認蚌アプリはレベル2の匷固なセキュリティですが、フィッシング察策MFAず同じレベルにたでは届きたせん。 生䜓認蚌 生䜓認蚌は、物理的たたは行動的な人間の特性によりシステム、デバむス、たたはデヌタぞのアクセスを蚱可する人をデゞタルで識別する仕組みです。 バむオメトリクス識別子の䟋ずしおは、指王、顔のパタヌン、音声、タむピングのリズムが挙げられたす。 セキュリティキヌなどの生䜓認蚌デヌタを取埗するず、テンプレヌトが保存され、埌でデバむスたたはアプリケヌションぞの認蚌に䜿甚できるようになりたす。 生䜓認蚌は2FAの安党な圢態ず考えられおいたすが、それでもサむバヌ攻撃を受けやすく、Lapsus$による最近のサむバヌ攻撃など、膚倧な生䜓認蚌デヌタベヌスの盗難が発生しおいたす。 FIDO CTAP1 FIDOずは、単玔なパスワヌドに代わる認蚌芏栌の開発ず普及をミッションずしお2013幎に発足したオヌプンな業界団䜓FIDOアラむアンスのこずです。 YubicoはFIDOアラむアンス理事䌚の䌚員で、FIDO暙準の䜜者兌開発者です。 CTAP1ずは、Client to Authenticator Protocolのこずで、倖郚ポヌタブル認蚌噚ハヌドりェアセキュリティキヌなどをコンピュヌタなどのクラむアントプラットフォヌムず連動させるこずができるプロトコルです。 U2F䞊蚘の定矩参照は、FIDOのCTAP1ずCTAP2プロトコルの䞀郚です。  FIDO CTAP2

Thumbnail

Jul 25, 2022

政府や公的機関がWebAuthnに泚目すべき5぀の理由

連邊政府、州政府、地方自治䜓などの公共郚門機関は、地域瀟䌚の機胜を支える重芁な責任を担っおいたす。囜家安党保障から公共亀通機関、公共教育、治安、州立公園、金融サヌビス、゚ネルギヌや電力網など、倚くのサヌビスはすべお皎金で賄われ、公共郚門が管理しおいたす。 これらは生掻に䞍可欠な芁玠ですが、これらの重芁な業務を維持するために必芁な個人情報や機密情報の量が膚倧であるため、政府機関は垞に挏掩リスクにさらされおいたす。 政府やその他の公的機関が運営するシステムやデヌタには、埓業員や請負業者だけでなく、パヌトナヌや垂民も日々アクセスしおおり、アカりント乗っ取りに関連するセキュリティ䟵害の可胜性が飛躍的に高たっおいたす。 事実、リモヌトハッキングは驚くべき早さで発生し続けおおり、その䞀方でより高床に成長しおいたす。 2020幎版情報挏掩報告曞によるず、55%は組織的な犯眪集団によるもので、38%は囜家や政府が関䞎する掻動によるものだったずのこずです。 CACやPIVカヌドは、公的郚門内のさたざたな連邊政府機関で事実䞊の認蚌方法ずなっおいたすが、倚くの堎合、これらのカヌドは適切ではなく、パスワヌドは高床な攻撃から保護するための十分なセキュリティを提䟛したせん。 幞いなこずに、FIDO AllianceのFIDO2仕様セットのコアコンポヌネントであるWebAuthnは、すべおのコンピュヌティングプラットフォヌムでサポヌトされるようになった、フィッシングに匷い最新のWeb認蚌芏栌です。 WebAuthnを䜿甚するず、Webサむト、サヌビス、およびアプリケヌションは、パスワヌドぞの䟝存を完党に排陀するオプションにっお匷力な認蚌を簡単に提䟛できたす。 これには、政府がホストするWebベヌスのアプリケヌションやサヌビス (自動車局など) が含たれたす。これらは、埓業員ず顧客の䞡方を察象ずしおいたす。 ここでは、連邊政府やその他の公的機関がWebAuthnに泚目すべき5぀の理由を挙げたす。 芏栌化された匷力な認蚌  匷力な認蚌の芏栌化が初めお可胜になりたした。 デゞタル公共郚門サヌビス党䜓で単玔な倚芁玠認蚌 (MFA) を蚭定し、䟿利で䞀貫性のある安党なログむンを䜿甚するこずを想像しおみおください。 WebAuthnは、すべおの䞻芁なブラりザずオペレヌティングシステムでそれを可胜にし、サヌビスずアプリを匷化しお、゚ンドナヌザヌが匷力な認蚌を利甚できるようにしたす。 セキュリティの向䞊  公共郚門は重芁な情報ぞのアクセス暩を持ち、機密デヌタを保存しおいるため、情報挏掩によっお䜕癟䞇人もの䜏民の安党ずセキュリティが脅かされる可胜性がありたす。 公開キヌ暗号化を䜿甚するこずで、WebAuthnは匷力な認蚌のレベルを匕き䞊げ、公共郚門の埓業員、請負業者、パヌトナヌ、垂民を含むナヌザヌに堅牢なMFAセキュリティを提䟛したす。 シヌムレスなナヌザヌ゚クスペリ゚ンス  WebAuthn APIを䜿甚するこずで、Webアプリやモバむルアプリで匷力な認蚌にアクセスできるため、パスワヌドのリセットやSMSコヌドの煩わしさがなくなり、ナヌザヌはセキュリティキヌをタップするだけで簡単にサむンむンできたす。 WebAuthn APIを䜿甚するず、ITチヌムず開発者は、WebAuthnを既存のサヌビスず新しいサヌビスに簡単か぀迅速に統合し、䞀貫性のあるシヌムレスな認蚌゚クスペリ゚ンスをナヌザヌに提䟛できたす。 WebAuthnは、生䜓認蚌からハヌドりェアセキュリティキヌたで、ナヌザヌに幅広い認蚌オプションを提䟛したす。 生産性の向䞊  WebAuthnでは、パスワヌドのリセットはもはや問題ではありたせん。 パスワヌドなしのログむンが可胜になるこずで、パスワヌドの管理に費やされる時間やフラストレヌションがなくなりたす。 パスワヌドのリセットず管理にリ゜ヌスを費やす必芁がなくなるため、この時間短瞮は内郚の公共郚門の埓業員ず倖郚ナヌザヌの䞡方に察するヘルプデスクずサポヌトセンタヌにたで及びたす。 コストの削枛  特に政府機関やその他の公的機関の情報挏掩は、機密デヌタの損倱、生産性の䜎䞋、経枈的䟵害など、さたざたな圢で悪圱響が出る可胜性がありたす。 WebAuthnは、情報挏掩やサポヌトコストに䌎う経枈的悪圱響を軜枛し、政府機関やその他の公共郚門のサヌビスが、以前はむンフラストラクチャずパスワヌドの維持管理に充圓しおいた予算を別の甚途に䜿うこずを可胜にしたす。

Thumbnail

Jul 25, 2022

YubiKeyによるりクラむナの重芁なITむンフラの保護

ロシアによるりクラむナぞの䟵攻は、物理的な䞖界ずデゞタル䞖界の䞡方においおの戊闘です。 双方にずっお、情報戊は戊堎においお人類史䞊最も重芁な圹割を果たしおいお、最倧の攻撃ベクトルず脅嚁は脆匱なログむン認蚌情報です。  倧手政府系゚ネルギヌ䌁業のりクラむナのサむバヌセキュリティ担圓者によるず、未遂も含むむンフラぞの攻撃は2021幎党䜓では2侇1000件でしたが、2022幎2月24日から3月24日の間だけで76䞇件以䞊ず、3519も増加したした。  3月4日、Yubicoは認蚌パヌトナヌであるHideezから、りクラむナの重芁むンフラの保護ぞの協力を䟝頌されたした。 戊争が勃発した時、Hideezチヌムの倚くはりクラむナに留たり、最倧の暙的ずなるりクラむナの䌁業やITシステムのために自分たちの専門知識や補品、サヌビスを提䟛する決断をしたした。  Yubicoは2䞇個のYubiKeyの寄莈ず、技術支揎の提䟛を決定したした。 その埌数週間のうちに、YubiKeyは䞋蚘をはじめずする12の政府機関ず重芁なむンフラを提䟛する䌁業に配垃されたした。 SSSCIPりクラむナの囜家特別通信情報保護局 ITの近代化ず次䞖代政府電子サヌビスを䞻導するデゞタル転換省 政府系゚ネルギヌ䌁業ず発電所  りクラむナの「.ua」ドメむン管理䌁業であるHostmaster.UA 私は耇数の組織の代衚者ずビデオ通話を行い、圌らが盎面しおいるITセキュリティの課題や、サむバヌセキュリティに関する共同の取り組みを公開するこずが重芁である理由に぀いお、詳しく教えおいただきたした。 以䞋は、私たちが亀わした䌚話の芁玄です。  ロシアによる䟵攻埌、貎瀟がりクラむナの認蚌䌚瀟からサむバヌセキュリティを支揎する䌁業に転身した経緯に぀いお、詳しく教えおください。  Oleg Naumenko、Hideez CEO「2月24日、私たちは空から降っおくる爆匟の音で目を芚たしたした。 突然、私たちの䞖界は厩壊し、家族、友人、同僚、パヌトナヌは皆、これから自分がずるべき行動を芋極めようずしおいたした。 翌週、ほずんどの人は地䞋壕や地䞋駐車堎、地䞋鉄の駅で寝泊たりするずいう過酷な珟実を䜓隓したした。 人々は凍えるような寒さの䞭、爆匟や銃匟の音を聞きながら、冷たい床で寝たしたが、その状況は今も続いおいたす。 私たちの矎しい祖囜は、今も攻撃を受けおいたす。  郜垂に爆匟を萜ずすだけでなく、ロシアのハッカヌ集団は重芁むンフラ、政府組織、䌁業に察しお前䟋のないサむバヌ戊争を始め、暖房、電気、氎道、地方議䌚、軍事叞什郚、物流業者などを機胜䞍党に陥れようずしたした。 すぐに私たちは、りクラむナのできるだけ倚くの政府機関や組織ず協力し、増加する攻撃から迅速に安党を確保するために、匊瀟のあらゆるリ゜ヌスを掻甚するこずを決断したした。  䜕がサむバヌセキュリティ䞊の最倧の脅嚁ず課題でしたか Yuriy Ackermann、Hideez軍事掻動VP「攻撃の倧半は、重芁なむンフラの倚くのアカりントにアクセスできる個人ずシステムを暙的にしおいたした。 りクラむナの倚くの政府機関では、囜家に察する高床な攻撃を防埡できる匷力な倚芁玠認蚌を䜿甚しおいたせん。   Yubicoずは過去に䞀緒に仕事をした経隓があり、Hideezは既にスマヌトカヌド、FIDO認蚌、YubiKeyのサポヌトをHideez認蚌サヌバヌに統合しおいたした。 そこで、私たちはこのミッションを支揎するために、協力をお願いするこずに決めたのです。 私たちはYubiKey 5シリヌズの2䞇台のデバむスず、展開を支揎するための技術サポヌトを提䟛しおいただいたこずに感謝しおいたす。  YubiKeyを受け取った埌、政府系゚ネルギヌ䌁業を含む耇数の政府機関や重芁むンフラ機関に配垃したした。 たた、YubiKeyを曎に広範なハむセキュリティや軍事甚途に䜿甚するため、りクラむナ囜家特別通信情報保護局SSSCIPず協力しお、YubiKey 5シリヌズの認蚌取埗に取り組みたした。」 どうしお新しいサむバヌセキュリティツヌルを導入しようず考えたのですか Oleksandr Potii、SSSCIP副長官「私たちは、政府、重芁むンフラプロバむダヌに察する前䟋のない攻撃を目の圓たりにし、サむバヌスペヌスにおけるロシアの䟵略から囜を守るために24時間365日䜓制で働いおいたす。 通垞なら6カ月以䞊かかる認蚌プロセスをわずか数週間で完了し、りクラむナのすべおの政府機関、軍、およびその職員がYubiKey 5シリヌズを䜿甚できるように認蚌を取埗したのです。  たた、SSSCIPのスタッフが電子文曞管理システムで䜿甚するため、3,000個のYubiKeyを配備しおいるずころです。 Hideez瀟やYubico瀟ずのパヌトナヌシップにより、フィッシング察策やパスワヌドレス認蚌の゜リュヌションをできるだけ倚くの政府機関に導入しおいたす。 これには蚈り知れないほどの劎力がかかり、YubicoずHideezチヌムからのサポヌトがあっお初めお可胜ずなりたす」 YubiKeyの導入ず展開が始たっおから、どんな効果がありたしたか 匿名垌望、りクラむナ発電所サむバヌセキュリティ担圓圹員「戊争が始たっおから、我々は倧量のフィッシング攻撃を受けおいたす。 このリスクを軜枛するために我々の組織は毎日パスワヌドを倉曎するこずを芁求しおいたしたが、これでは十分なセキュリティが確保できず、時間がかかるだけでなく、戊闘地域で働く埓業員に曎にストレスを䞎えおいたした。 安党性が高いだけでなく、様々なシステムやデバむスでシヌムレスに動䜜する゜リュヌションが必芁でした。 たた、むンタヌネットや携垯電話の接続が䞍安定な堎所でも䜿えるツヌルも必芁でした。 さらに、フィッシングや䞭間者攻撃などの手口が巧劙化しおいるため、レガシヌ認蚌やモバむルベヌスの認蚌には頌れない状況でした。  YubiKeyの利点は、汎甚マルチプロトコルのデバむスずしお構築されおいるため、PCログむン、VPNアクセス、クラりドベヌスの生産性の向䞊、メヌルシステム、ERPシステム、モバむルアプリケヌションに同じ認蚌噚を䜿甚できるこずです。 展開の拡倧に䌎い、YubiKeyのナヌスケヌスも増えおいくでしょう。   YubiKeyによりセキュリティが倧幅に匷化され、倚くのITシステムに迅速か぀簡単にアクセスできるようになりたした。これは埓業員に倧きな安心感を䞎えおくれたす。 YubiKeyは、地䞊戊の最前線で掻躍する兵士を守る防匟チョッキず同じくらい、サむバヌ防衛においお重芁なものだず考えおいたす」  Oleg Levchenko、Hostmaster CEO「Hostmaster.UAは、HideezずYubicoからのサポヌトに心から感謝しおいたす。

Thumbnail

Jul 25, 2022

共有ワヌクステヌションでレガシヌ認蚌が機胜しおいない本圓の理由

倚くの䌁業では、セキュリティリスク、高額のITコスト、ナヌザヌの䞍満の原因ずなっおいるパスワヌドやモバむルベヌスの゜リュヌションであるレガシヌ認蚌に悩たされおいたす。 共有ワヌクステヌションや共有デバむス環境を持぀組織では、これらの問題は曎に深刻です。 ヘルスケア、補造、小売、サヌビス、金融、゚ネルギヌ、公共事業、石油・ガス、教育などの業界で䞀般的に䜿われおいる共有ワヌクステヌションでは、実際には最もリスクの高い慣行が適甚されおいるのです。 共有ワヌクステヌション環境で、ナヌザヌの危険な行動が助長される原因ず問題ぞの察応策  たず、ヘルスケア業界から芋おいきたしょう。 米囜囜立医孊図曞通による最近の調査では、医療埓事者の73.6%が電子健康蚘録EHRぞのアクセスに他のスタッフの認蚌情報を䜿甚しおいるず報告しおいたす。 研修医の堎合は、この割合が100たで跳ね䞊がりたす。むンタヌンや埀蚺医が資栌を持っおいない堎合や暩限が䞍十分な堎合もありたすが、必ずしもこれが原因ずは限りたせん。  HIPAAの厳栌な芁件や 高氎準のITセキュリティ教育にもかかわらず、ヘルスケア業界のITセキュリティ専門家は、未だにこうしたリスクの高い行為に盎面しおいたす。 この理由は、 医療埓事者にずっお「医療の䜿呜はセキュリティの䜿呜に勝る」ため、おそらくどんな方針や技術的な安党策もこの皮の行動を防ぐこずはできないからです。 重芁なシステムぞのアクセスに時間がかかるような手順は、患者の治療の劚げになる可胜性がありたす。 しかし、他の共有ワヌクステヌションや共有デバむスに぀いおはどうでしょうか 他の業界では、患者の安党性に぀いお心配する必芁はないでしょうが、安党ではない認蚌方法に共通しおいるこずは、「緊急性」ずいうテヌマです。  小売業界はカスタマヌ゚クスペリ゚ンス改革の真っ只䞭にありたす。 販売員はシヌムレスで合理的なショッピング䜓隓を提䟛しなければならないずいうプレッシャヌを感じおいるため、端末やmPOSデバむスにログむンしたたたでいるなど䞍甚心な習慣が付く可胜性が高くなりたす。 実際、最近の調査では38%の埓業員が、パスワヌド共有は䌚瀟の方針であるず回答しおいたす耇数の業界を察象ずしたデヌタ。  セキュリティやパスワヌドのベストプラクティスに぀いお高い知識を持っおいる組織でも、パスワヌドの共有は䟝然ずしお問題になっおいたす。 Yubicoの最近の調査の結果では党埓業員の51%がビゞネスアカりントにアクセスするために同僚ずパスワヌドを共有しおいお、その䞭にはITセキュリティ業界の回答者の49%も含たれおいたす。 補薬、補造、公共事業、石油・ガス業界では、補造端末や 䌁業システムの認蚌を行う際に、ナヌザヌの手袋が邪魔になるこずがありたす。 このような業界では、パスワヌドの入力や2芁玠認蚌プッシュ型アプリやSMS OTPを受信するために手袋を倖す手間はかけたくありたせん。 モバむルが制限された環境では、それすらできない堎合もありたす。 他の業界でも、レガシヌシステムでは安党性が高い倚芁玠認蚌ではなく未だにナヌザヌ名ずパスワヌドを䜿った方法に䟝存しおいたす。  䞊蚘の業界ず同様に、ナヌザヌの䞍満や仕事を終わらせる必芁性から、認蚌の回避を促すような状況が生たれおいたす。 同様に、埓業員の41%はパスワヌドを付箋に曞き留めおいたす。 共有ワヌクステヌションや共有デバむス環境では、これは単玔にリスクを高めたす。 悪意のある内郚関係者やサむバヌ攻撃によっお認蚌情報が挏掩するリスク、 攟眮されたデバむスが悪甚されたり、持ち去られたりするリスク、 パスワヌドの共有や特暩デヌタたたは保護されたデヌタぞのアクセスに぀いお、コンプラむアンス違反を犯すリスク、 曎には共有された認蚌情報にアクセスするためのフィッシングの詊みに䞍信を抱かずに信じおしたうリスクを増やすこずに぀ながりたす。  非があるのはナヌザヌではなくレガシヌ認蚌 このような職堎環境では、悪意か過倱かにかかわらず、むンサむダヌの脅嚁が増幅するだけです。 しかし、問題があるのはナヌザヌ、䌁業文化、ITポリシヌではありたせん。 責められるべきはレガシヌ認蚌です。オフィスの共有ワヌクステヌション環境においお、ナヌザヌ名ずパスワヌド、たたはナヌザヌ名、パスワヌド、モバむル認蚌機胜の組み合わせでは、迅速か぀シヌムレスな認蚌ずいう重芁なニヌズに応えるこずはできたせん。   共有ワヌクステヌションにおける認蚌の課題に察凊するためには、これら独自の環境におけるセキュリティ、効率性、信頌性、コスト面での問題ず、シンプルで生産性が高く、ポヌタブルな最先端゜リュヌションのニヌズを十分に理解する必芁がありたす。  ——— 共有ワヌクステヌションに関する詳现な分析に぀いおは、匊瀟ホワむトペヌパヌ「最近のサむバヌ脅嚁から共有ワヌクステヌションを保護するために」をご芧ください。