Tag: japanese

WebAuthnの実装： Yubicoからの新規アップデートの重要性

WebAuthnではたくさんの略語とプロトコルが使われています。しかし、これらの意味と、これらの中から重要なものだけを特定する方法を理解していますか？弊社ではわかりやすい説明とサポートの両方をご用意しています。このブログでは、WebAuthnの実装のコツや、java-webauthn-serverライブラリのアップデート、YubicoのWebAuthnスターターキットの最新版についてのニュースをお伝えします。初期 Universal 2nd Factor（U2F）は、YubiKeyなどのハードウェアトークンを使ったオープン認証規格です。これは当初、FIDOアライアンスによって2014年に公開されました。 Yubicoはこの規格を開発者で、YubiKeysは最初のUniversal 2nd Factor（U2F）セキュリティキーのひとつでした。この規格は主に次の2つから構成されています。ホストコンピュータ（クライアント）とセキュリティキー（オーセンティケータ）の間で USB または NFC を介して通信するために使用されるFIDO U2F HIDプロトコル（後にCTAP1、Client To Authenticator Protocolに改名）. ウェブサイトで認証情報の登録と認定に使用されるFIDO U2F JavaScript API これらのプロトコルのサポートは複数の異なるブラウザに追加され、この規格はコンセプトを実証と証明に使われてきましたが、いくつかの制約が普及の妨げになっていました。進化 U2Fはセキュリティの強化と使い勝手の面では優れていましたが、まだ改善の余地がありました。 U2Fの後続ソリューションはFIDO2で、「パスワードレスログイン」、デバイス上でのPINや生体認証のサポート、その他いくつかの拡張機能など、多数の新しいユースケースに対応しています。この製品により、これらの新機能をセキュリティキーでサポートするCTAP2と、FIDO U2F JavaScript APIの後継製品であるWebAuthnという新しいAPIが登場しました。 WebAuthnは従来のJavaScript APIに完全に代わり、W3Cによって標準化され、主流ブラウザで実装されています。旧型のU2F APIのサポートは現在段階的に終了していて、大半のブラウザでは機能していません。ここで、WebAuthnの出番となります。WebAuthnは、CTAP1（U2Fプロトコル）およびCTAP2（FIDO2プロトコル）の両方と完全な互換性があります。また、WebAuthn APIを利用した拡張機能により、古いU2F認証情報を継続して利用することも可能で、ユーザーはセキュリティキーを再登録しなくても、引き続き使用できます。 WebAuthnはほとんどの開発者が接するAPIなので、「WebAuthn」はブラウザだけでなく、セキュリティキーからサーバーまでのエンドツーエンドの実装全体を指す用語になっています。 WebAuthn実装方法これまで、ホストから認証システムへの通信（CTAP）、Webページからブラウザへの通信（WebAuthn）について説明してきましたが、サーバー側についてはまだ確認していません。 FIDO2仕様書では、サーバーが認証情報を検証するために必要なことを段階的に説明していますが、実際のWebAuthnの実装は読者の演習として残されています。実装に使えるライブラリはいくつかありますが、その中でもYubicoのjava-webauthn-serverライブラリバージョン2.0は、公開されたばかりです。このライブラリを使用すると、既存のJVMベースのバックエンドにWebAuthnのサポートを追加し、次のことを実行できます。クライアントに送信する必要があるバイナリメッセージの作成と読み込み暗号署名の有効性確認仕様によって課された規則の履行この新しいライブラリは、FIDO Metadata Service …

継続的な認証のための基盤構築

継続的な認証とは、システム、アプリケーション、デバイスの間を行き来するユーザーのアイデンティティをリアルタイムに検証する機能を提供する、将来の「完全な状態」のセキュリティの概念のことです。理論的には、継続的な認証ソリューションは、さまざまな監視ソースからのリスク信号を使用してユーザーを認証し、潜在的な脅威を特定し、侵害されたとフラグが付けられた認証情報の機能を積極的に修復します。しかし、今日、継続的なユーザー認証は概念にすぎず、まだ確立された規格ではありません。業種全体で現在使用されている従来の認証方法は静的であり、ユーザーは認証ワークフローの開始時にのみ、認証要素(例:パスワードまたはPIN、ワンタイムパスコード、生体認証)の提供に積極的に参加する必要があります。概念的には、継続的な認証は、地理位置情報、生体認証の変更、さらにはキーストロークやマウスパターン、コンテキスト、その他の活動パターンなどの動作監視など、機械学習をベースとするインテリジェントなリスク監視ソースへの積極的な参加に取って換わるものか、または補強するものです。継続的な認証への取り組み継続的認証の背後にある明確な推進力：サイバー攻撃はその数と精巧さを増し続けており、データ侵害の61%はユーザー認証情報が根源となっています。 SMSベースのOTP（ワンタイムパスワード）のような従来のセカンドファクターでセキュリティを高めようとしても、ユーザーの不満や安全でない回避策を招くだけで、43%の組織が多要素認証（MFA）の使用における最大の障害としてユーザーエクスペリエンスを挙げています。ハイブリッドワークやリモートワークへの移行は、今日のID管理やアクセス管理の方法における弱点を増大させています。 IDアクセス管理(IAM)、および特権アクセス管理(PAM)ソリューションを使用して、エンタープライズアプリケーションへのアクセス制御の合理化が試みられてきました。多くの場合、シングルサインオン (SSO) を使用して、ユーザーがアクセスできるアプリケーションごとに個別のトークンを割り当てます。 IAMやPAMのソリューションの中には、リスク分析を適用してステップアップ認証を促すものもありますが、これは継続的な認証の本質を捉えていません。さらに、前述のソリューションは、特に設定されていないアプリケーションを監視、接続、操作することができないため、独自の壁によって制限されることが多く、脅威や異常を検出できる高度な自動化機能やインテリジェンスによって、IDとアクセスを管理するための全体的なキャパが減少します。継続的な認証の概念は、かなり前から存在しており、2004年には、温度、目の動き、クリック圧を測定するさまざまな方法が研究され、80%以上の精度で本人確認を継続的に認証することができました。今日、コンテキストや行動データにインテリジェンスを適用し、プロセスや認証フレームワークと組み合わせて動的にアクセス制御を適用できるポイントソリューションがいくつか存在します。ただし、IDまたはアクセスを管理する方法では、基になる信頼モデルにユーザー名やパスワードなどの従来の認証方法やモバイルベースの認証システムが含まれている場合、IDベースライン (本人であることの証明) には本質的に欠陥があります。実際には、継続的な認証の概念を実現する前に実行しなければならない重要な手順があります。継続的な認証の構成要素最先端で強力な認証は、継続的な認証とゼロトラストの両方に必要な構成要素の一つです。「決して信頼せず、必ず確認する」のゼロトラストフレームワークでは、組織は、ネットワークまたはデータへのアクセスを許可される前に適切に検証されない限り、ユーザー、パケット、インターフェイス、またはデバイスを信頼してはいけません。この信頼は、継続的な認証の場合と同様に、リスクシグナルを使用して受動的に確立できますが、最初に強力な認証を使用しバックアップする必要があります。ただし、MFAのすべての形式が同じではないことに注意してください。どのような形式のMFAも、何もMFAを使用しないよりは優れていますが、ユーザー名とパスワード、またはSMSのワンタイムパスコード (OTP) 、プッシュ通知、認証アプリなどのあらゆるモバイルベースの認証は、フィッシング、標的型攻撃、アカウントの乗っ取りに対して脆弱です。これらの認証は、マルウェア、中間者 (MiTM) 攻撃、SIMスワップ、およびその他の悪意のある行為によって侵害される可能性のある「共有シークレット」に依存しています。 Yubicoは、FIDO2などの最先端規格に支えられた強力な認証を使用して、個人が本人であることを確認するように求める、将来のゼロトラスト戦略のより進化した状態として継続的認証をとらえています。インテリジェントなシステムが個人のパターンを学習するため、ユーザーはより頻繁に本人確認を求められるようになります。時間の経過とともに、日常的な活動では認証プロンプトの数が減少し、不規則な活動や潜在的にリスクの高い活動時に特権アクセスを行うには、引き続きステップアップ認証が必要になります。これに備えるために、組織は少なくともフィッシング対策の2要素認証 (2FA) またはMFAのベースラインを確立する必要があります。これには、単純なタッチや生体認証に依存するYubiKeyなどのハードウェアベースの認証が含まれます。理想的なのは、組織がユーザーフレンドリでパスワード不要の強力な認証に移行した場合にのみ、ゼロトラストと継続的な認証フレームワークを構築できるようになることです。現在、すべてのシステムとアプリケーションに継続的な認証を適用できる単一の解決策はありません。しかし、今日の組織は、認証を向上させ、機密性の高いデータへのアクセスを一般的に提供するミッション・クリティカルなアプリケーションに継続的な認証の概念を適用するよう、行動を起こすことができます。 FIDO U2FやFIDO2などのフィッシング対策認証プロトコルとゼロトラスト原則を使用し、認証フレームワークを将来に備え強化することで、将来のより現代的で応答性の高いセキュリティ戦略の基盤を築くことができます。 — 強力なフィッシング対策認証を使用してゼロトラスト戦略を加速する方法の詳細については、こちらのホワイトペーパーを参照してください。.

リモートワーカーに対するソーシャルエンジニアリング攻撃の増加への対応

現在、パンデミックがさまざまなソーシャルエンジニアリング攻撃にうってつけの条件を提供していることは明白です。これまでも、リモートワークの普及やそれに伴うリスクに適応する中で、スピア型フィッシングから、ヴィッシング、ランサムウェアなどコロナウイルス関連の攻撃が増えていることについて、FBI やCISA, 、インターポールをはじめ信頼できる組織から、多くの報告や警告が出されています。ソーシャルディスタンスとリモートワークは、多くの点でハッカーにとってより好ましい環境を作り出していますが、今日目にされるソーシャルエンジニアリング攻撃の種類は、過去に見られたものとあまり変わりません。それでは、なぜ今でも大規模な情報漏洩が頻繁にニュースの見出しを賑わせているのでしょうか? 歴史から学ぶことが一つあるとすれば、ハッカーは常に人的要因を利用するということです。不確実性、恐怖、注意力散漫、孤立、混乱はすべて、ユーザーの脆弱性の増大につながります。そして、世界的なニュースの話題が目まぐるしく変化し続ける中で、パンデミックや大きなニュースイベントの中で、日和見主義的なハッカーが悪用するような次の展開を予想することは不可能です。例として、COVIDの景気刺激策や救済策に関連したフィッシング攻撃の増加について見てみましょう。パンデミック収束後も、ソーシャルディスタンスは継続し、仮想世界でのやりとりが増加すると予想されています。つまり、企業はソーシャルエンジニアリング攻撃の増加から身を守るために、強力な認証を利用しなければなりません。分散化が進む作業環境では、システムと情報のセキュリティに対する信頼が失われるため、ユーザーとの信頼を再確立することが不可欠です。その方法はこちら：従業員の教育やトレーニングだけでは不十分です新型コロナウイルス関連の詐欺に注意するよう従業員を教育することは、不可欠ですが、包括的な対応ではありません。フィッシングやソーシャルエンジニアリングに関するユーザー教育をいくら行っても、攻撃の中には成功するものもあるのです。ユーザーの行動を必要とし、フィッシング攻撃や中間者攻撃の特定がユーザーに依存している限り、脆弱性は今後も問題となるでしょう。 2FA戦略を見直す時期に来ています組織は、将来のソーシャルエンジニアリング攻撃から保護するために、パスワード、回復質問、または基本的な2要素認証 (2FA) に継続的に依存する余裕はありません。これらの方法は、モバイルマルウェア、, SIMスワップ、フィッシング攻撃に対処できないことが何度も証明されています。ハッカーはますます賢くなってきており、私たちもそうならなければなりません。ユーザーエクスペリエンスは、組織の安全にとって重要です同僚やIT部門から物理的に離れ、自宅と職場の生活を両立させている世界では、強力な認証が、さまざまなデバイス、ビジネスに不可欠なアプリケーション、さまざまな環境で大規模に機能する必要があります。ユーザーエクスペリエンスが向上するほど、特定のユーザーのみを保護する複雑なポイントソリューションとは異なり、企業全体に展開してセキュリティを確保することが容易になります。つまり、新型コロナウイルス関連の攻撃の増加は、現実に存在する危険です。しかし、これが一時的な脅威であったり、新型コロナウイルスだけの問題であるとは考えられません。これは、ソーシャルエンジニアリング攻撃が増え続けていることを示す最新の事例にすぎず、より強力な対応が求められています。当社は日々、大小の企業が新しい日常に適応できるよう支援しています。準備はよろしいでしょうか？主要なクラウドベースサービスに対してハードウェア支援を受けた強力な認証を使用して、デジタル変革を加速させます。 Google Cloud, やMicrosoft Azure Active Directoryをはじめとする多くの日常の業務アプリケーションは、YubiKeyとのシームレスな統合を実現しています。

製品開発のセキュリティ優先のアプローチを検討する4つの理由

インターネットはパワフルな発明です。元々はコラボレーションのために作られましたが、すべての人が予想した能力をはるかに超え、社会の中核的な機能を担うようになりました。開発者として、当社は日々これらの素晴らしい進歩に貢献していますが、インターネットの未来を守り、維持することも当社の仕事です。端的に言えば、インターネットは元々、自動車のようにセキュリティを念頭に置いて構築されたものではありませんでした。しかし、時間をかけて、インターネットユーザーおよび共有される機密データを保護する必要性を認識するようになりました。現在では、自動車を購入する際にエアバッグ、シートベルト、警報システムなどが装備されていることを期待するのと同様、製品やサービスにセキュリティ機能が組み込まれることが期待されています。セキュリティは製品開発ライフサイクルの中で後から追加することができるとはいえ、それは望ましくありません。サイバーセキュリティの状況は進化しており、組織もそれに合わせて進化する必要があります。ここでは、次世代の革新的なソリューションを構築する際に、組織がセキュリティ優先の考え方の採用を検討すべき4つの理由を説明します。情報漏洩からの復旧にはコストがかかる情報漏洩がもたらす経済的格差は、特に小規模企業にとって壊滅的なものです。情報漏洩によって企業が被るコストは平均392万ドルであり、最初の情報漏洩から数年間、組織は継続的に残存コストを負うことになります。このような影響を元通りにする方が、最初から堅牢なセキュリティ基盤に投資するよりもはるかにコストがかかります。権限ベースのアクセス、強力な認証、リスクの最小化の原則を最初から確立すると、組織の資金と時間を節約し、将来的なブランド価値の低下を抑えることができます。ネガティブなブランドの評判が顧客の信頼を低下させる情報漏洩は、顧客の信頼を失うなど、ブランドのイメージと評判に大きなダメージを与える可能性がああります。実際、調査によると、情報漏洩の被害者の65%は漏洩後に組織に対する信頼を失い、80%の消費者は情報漏洩されるとサービスの使用を避けています。堅牢なセキュリティは競争力のある差別化要因リモートワーカーの増加によりセキュリティの状況が絶えず進化しているため、将来を見据えてセキュリティを強化する考え方が消費者や企業の間で標準となり、堅牢なセキュリティオプションがあると他の競合他社との差別化につながります。ペリメータ（境界）に重点を置いたアプローチから、すべての要素 (ネットワーク、エンドポイント、クラウドサービス、モバイルデバイス) を保護する包括的な多層アプローチに移行するオペレーター、システム管理者、および開発者は成功するでしょう。シームレスなユーザーエクスペリエンスは顧客忠誠心を育てる適切に行われた場合、優れたセキュリティは、お客様の製品エクスペリエンスを向上させる重要な役割を果たします。実際、これによりすべてのエクスペリエンスが左右されることもあるのです。パスワードを例に挙げてみましょう。誰もそれを好まないし、覚えているのも難しく、アカウント乗っ取りから適切に保護するという点では、ほとんど役に立ちません。しかし、これらは今でもインターネット上で広く使用されており、多くの場合、アカウントの作成やログインは、Webサイトやモバイルアプリとの最初のやり取りになります。「製品開発の初期段階でセキュリティを優先すると、結果として得られる製品は、最初からより優れたユーザーエクスペリエンスを提供します。」とLet’s Encryptのエグゼクティブディレクター、ジョシュ・アース氏は説明しています。「後付けで追加されたセキュリティメカニズムほど、ユーザーエクスペリエンスに混乱を生じさせるものはありません。」セキュリティが後回しではなく事前に考えられていれば、最初から最後までシームレスで楽しいユーザーエクスペリエンスを設計する機会に恵まれます。結局のところ、セキュリティ優先の考え方は、組織が情報漏洩による悪影響を回避し、最終的な収益、顧客、ブランドに利益をもたらすことができます。 Yubicoでは強力な認証をこのパズルの重要なピースとして重視していますが、最終的にすべての人にとってインターネットを安全な場所にするために考慮すべき (そして協力する必要がある) 他の多くのセキュリティ側面があることも認識しています。オープンスタンダードで強力なYubiKey認証を実装することに関心のある開発者は、Yubico開発者プログラムに参加して、オープンソースライブラリとサーバー、実装ガイド、トレーニングリソースなどにアクセスできます。

最新の認証の未来はどうなっていくのでしょうか？

2008年にYubiKeyを最初に市場投入して以来、認証とセキュリティの世界では多くの変化が起こっています。このブログでは、オープン認証規格における当社の立ち位置を確認し、「Passkey」の登場について説明し、最新のWebAuthn/FIDO認証の未来について情報を共有します。グローバル規格の作成すべての人とすべてのサイトに高度なセキュリティを導入するために、Yubicoは2012年にGoogleとともにUniversal Second Factor（U2F）を作成し、2013年にそれをFIDO Allianceに移行して、すべての人にとってインターネットをより安全にするグローバル規格を提案しました。この規格では、ハードウェアの公開鍵/秘密鍵の暗号によるセキュリティが使用され、USBデバイスとポート（またはモバイルのNFC）、およびそれをサポートするWebサイトしか必要でないことが示されました。 U2FをFIDO2/CTAP2および W3C WebAuthnに拡張するために、当社は標準化団体のメンバーと協力し革新を続けました。これらの進化した規格では、既存のすべてのU2Fデバイスをサポートし、さらに、電話やコンピューターなどのデバイスに組み込まれているデバイスPIN、生体認証、認証テクノロジー、およびユーザー名やパスワードをまったく使用しない操作を可能にするローカルで検出可能なクレデンシャルをサポートするオプションが追加されています。現在起きていることこの標準化作業およびプラットフォームとの連携を通じて、すべての主要なデスクトップおよびモバイルプラットフォームへの普遍的なサポートを実現し、現在対処中のいくつかのまれな問題をプラスまたはマイナスして、あらゆる場所でフィッシングに強い認証を行うことができるソリューションであるWebAuthn/FIDOが完成しました。 SMS、モバイルプッシュ通知、ワンタイムパスワード（OTP）などの代替の多要素認証（MFA）ソリューションには悪用可能な技術的な欠陥が含まれており、それにより人々をだます「中間者」フィッシング攻撃が簡単になります。これは、ユーザー名とパスワードにまさるMFAメカニズムが普及する今日、まさに攻撃者が行っていることです。次に起こること FIDO Alliance、World Wide Web Consortium（W3C）、およびプラットフォームベンダーと何年も連携し、WebAuthn/FIDOで可能な対応をさらに強化してきました。そして、どんな未来が待っているか楽しみにしています。本日、これらの革新と追加に関する3点について説明します。用語の変更変更されている用語がいくつかありますが、これらはユーザーと開発者の両方にとって理解しやすいものになっていると思います。「Security Key」というフレーズは、WebAuthn/FIDOクレデンシャルを含む、YubiKeyなどの外部FIDO対応ハードウェアデバイスを表す標準的な表現になっています。ただし、「WebAuthn/FIDOクレデンシャル」とは必ずしも言いやすい言葉というわけではなく、専門家でない人にとってはほとんど理解されていません。「パスワード」はすでに広く理解されている用語です。これらのWebAuthn/FIDOクレデンシャルでパスワードを置き換えることができるため、業界に「Passkey」という用語が導入されました。これは、昨年Appleが発表した‘Passkeys in iCloud Keychain’および最近のWIRED記事で公に言及されました。この投稿の残りの部分では、WebAuthn/FIDOクレデンシャルがSecurity Key内にあるか、デバイスのハードウェアにバインドされているか、またはクラウドプロバイダーによってコピーされたデバイス上のファイルに保存されているかどうかに関係なく、WebAuthn/FIDOクレデンシャルについて言及するときはPasskeyと言います。この表現が普及し始めたため、Passkeyの定義、Passkeyが追加の認証オプションとしてどのように機能するか、WebAuthn/FIDO認証オプションの拡張がどのようになるかについて、お客様やパートナーから多くの問い合わせがありました。この進化するストーリーについては、以下で説明します。 Bluetoothの改善、およびSecurity Keyとしての電話 Yubicoは、プロトタイプのBluetooth認証システムを構築し、他社と協力して最初のFIDO Bluetoothトランスポートを作成しました。しかし当社が下した最終的な決定は、Bluetooth YubiKeyの製品を出荷しないことでした。これは、この取り組みで学んだ次のことに基づいて行われました。 Bluetoothのペアリングはセキュリティや使いやすさの特性が不十分であるバッテリーは残量を維持するために定期的かつ慎重に充電するか、交換可能である必要がある。これにより、デバイスの堅牢性が損なわれるため、必要なときに必要なだけ代替品を用意する必要がある Bluetoothのプロトコルやハードウェアの実装は複雑であり、発見された脆弱性に対処するために常に最新の状態に保つ必要がある Bluetoothハードウェア、ドライバー、およびOSサポートの状態に一貫性がなく、信頼性がない Bluetooth Security Keyとして使用するのに適しているデバイスは電話だけであるという結論に至りました。特に電話は、次の理由で適しています。ほとんどすべての電話に、Bluetoothのペアリングを容易にするカメラがあるほとんどの場合、所有者が慎重かつ定期的に充電するソフトウェアとファームウェアを定期的に更新するメカニズムがすでにそなわっている多くの時間、所有者が保持していると考えられる認証器として電話を使用することは当社の当初のビジョンの一部であり、長い間これに取り組んできました。電話に組み込まれている生体認証を、FIDO2を使用して同じデバイスにログインするために使用できるようにしたのと同じ方法で、他のデバイスで認証するために使用できるようにするにはどうすればいいでしょうか？標準化団体とプラットフォームでの長年の作業を経て、準備はほぼ整っています。カメラを利用したBluetoothのペアリングは、現在主要なブラウザとOSで有効になっており、プラットフォームのBluetoothの癖は、長年のテスト、アップグレード、バグフィックスによってほとんど修正または回避されており、Bluetooth+ネットワークトランスポートは十分にテストされています。有効にした場合のmacOS/iOSでの現在の表示は次のとおりです（変更される可能性があります）: これは期待できますが、電話は壊れやすく、高価で、頻繁に交換され、またポリシーや法律によって使用が禁止されている場合があります。つまり、Security Keyを使用する上で最も難しい部分は、紛失した際にどこにいても再登録したり、新しいものに移行したりできるようにすることであり、これは、電話の場合はるかに頻繁に発生します。そのため、アカウントに追加されたいくつかの認証器の1つとして電話を設定することをお勧めします。コピー可能なマルチデバイスPasskey これまで、Security Keyとプラットフォーム認証器によって作成されたクレデンシャルは単一デバイスであり、作成されたハードウェアにバインドされていました。これらは単一デバイスPasskeyです。これらは優れたセキュリティ特性を備えており、デバイスがなくてもアクセスができないため、理解しやすく、信頼できるシステムを構築できます。クレデンシャルを作成したハードウェアに縛られないことで、コピー可能なクレデンシャルを追加できたらどうでしょうか？このコピー可能な「マルチデバイスPasskey」は現在ベータ版として公開されています。クレデンシャルのコピー可能にすることは、よりシームレスなデバイス移行とデバイスの損失/破損による復元を可能にし、Security …

iOSのスマートカードとしてのYubiKey

証明書ベースのスマートカードは、20年以上にわたって、多要素認証の最も信頼され、実績のある実装の1つでした。しかし問題が1つありました。一般的なクレジットカードの形をしたスマートカードは、ハードウェアとソフトウェアを別途用意しないとモバイルデバイスではうまく機能しませんでした。現在、スマートカードには財布に収まるクレジットカードサイズから、キーチェーンに収まるハードウェアセキュリティキーまで、さまざまなフォームファクタがあります。Yubicoのセキュリティキーの携帯性とマルチプロトコルのサポートにより、Personal Identity Verification（PIV）対応のYubiKeyを証明書ベースのスマートカードとして、サポート対象のiOSデバイスで使用できるようになりました。 iOS 14.2以降、Appleはスマートカードをネイティブでサポートし、PIV互換のスマートカードをハードウェアリーダーやソフトウェアを別途用意しなくてもiPhoneと通信できるようにしています。YubiKey 5シリーズのキーは、ハードウェアベースのセキュリティと携帯型のクレデンシャルを提供し、PIV規格をサポートし、あらゆるAppleデバイスとLightningコネクタで物理的に、またはNFCでワイヤレスに通信できるため、iOSのスマートカードとして適しています。最近、米国行政管理予算局（OMB）も、フィッシング対策MFAを採用するためのセキュリティ要件を満たすよう連邦機関に要求するメモを発表しました。スマートカードはこの要件を満たしており、これには、政府機関や規制対象の業界が最高のAuthenticator Assurance Level 3（AAL3）要件を満たすことができるYubiKey 5 FIPS シリーズもその一つです。この投稿では、スマートカードの概要、YubiKeyをスマートカードとして使用する際の機能と利点、およびYubiKeyがiOS上のYubico Authenticatorアプリと通信して、クライアントの証明書ベースの認証、メールへの署名、あらゆるiOSデバイスでのメッセージとドキュメントの復号化などのユースケースをサポートする方法を確認できます。スマートカードとは一般的なスマートカードは、さまざまなサイズと形状（キーからカードまで）を持つ物理デバイスであり、セキュアエレメントが埋め込まれたコンピュータチップを備えています。セキュアエレメントにより、情報を安全に保存、取得、送信することができます。これらのスマートカードの最も一般的なタイプには、銀行のATMカード、eパスポート、グローバルIDカードがあります。 PIVスマートカードこの投稿の目的として、NISTのPIV規格に準拠したPersonal Identity Verification（PIV）スマートカードに焦点を当てています。PIV対応のスマートカードでは、すべての電子通信、データ保存、データ検索がより安全に、より良く保護されることが保証されています。 PIVスマートカードは、本人確認、物理的アクセス、および安全なコンピューターネットワークおよびシステムへの認証アクセスのために米国軍の全員に発行されるCommon Access Card（CAC）として最も一般的に使用されています（2018年以降）。スマートカードとしてのYubiKey YubiKeyは、強力な二要素、多要素、およびパスワードレスの認証器としてよく知られています。多くの人には知られていませんが、 PIV-互換のスマートカードでもあります。すべてのYubiKey 5シリーズのキーは、PIVインターフェースに基づいたスマートカード機能を備えています。これはYubiKeyが本人確認、物理的アクセス、および安全なコンピューターネットワークとシステムへの認証アクセスのための（PIV互換のCACと）同じ暗号化機能を備えていることを意味します。派生PIVクレデンシャル米国政府は20年以上にわたってスマートカードを発行してきましたが、何を変え、なぜ今行ったのでしょうか？iOSデバイスがスマートカードと通信する方法に対して行った最近のAppleの変更に加えて、NISTガイドラインは、派生PIVクレデンシャルの承認された使用を通じて、モバイルデバイス経由の電子認証の使いやすさも大幅に改善しました。派生PIVクレデンシャルの承認とは、これらのクレデンシャルと関連する秘密鍵をFIPS Series YubiKeyのPIV互換のセキュアエレメントにプロビジョニングできるようになったことを意味します。したがって、派生PIVクレデンシャルに対応する秘密鍵は、政府発行のPIVクレジットカードの方式に加えて、代替のフォームファクタの暗号化モジュールに格納することもできます。 YubiKeyの利点 YubiKeyをスマートカードとして使用する利点は、携帯性、フォームファクターの小型化、およびカードリーダーやソフトウェアを別途必要とせずに、Lightningコネクタおよび非接触（NFC）インターフェイスを介してiOSデバイスと通信できることです。 YubiKeyのPIV互換のスマートカードモジュール内では、個別のスロットにさまざまなユースケースに対する複数のデジタル証明書を保存できます。YubiKeyのスマートカードモジュールの各PIVスロットは、付随する秘密鍵とともにX.509証明書を保持できます。派生PIVクレデンシャルの所有者、またはNISTの保証レベルが必要な人の場合、YubiKey FIPSシリーズのキーはPIV準拠のFIPS 140-2で検証済みのスマートカードであり、NIST SP800-63Bガイダンスにおける最高のAuthenticator Assurance Level 3（AAL3）を達成する要件を満たしています。 Yubico Authenticator Yubico Authenticator for iOSは、モバイルユーザーとデスクトップユーザー向けにセキュリティレイヤーを追加する認証アプリです。Yubico Authenticatorアプリは、当初、二要素認証の形式として1回限りのパスコード用にYubiKeyのOATH-TOTPモジュールと連動するように設計されました。バージョン1.6以降、iOS用のYubico Authenticatorアプリを使用することで、YubiKeyスマートカードをLightningコネクタまたはNFCを介してPIVモジュール上のX.509証明書と通信できるようになりました。 iOSでYubiKeyをスマートカードとして使用する場合、Yubico …

認証や最新のMFA用語のアルファベットスープについての解説

大半のサイバー攻撃は、ログインパスワードやその他認証情報の盗難から始まります。クラウド化が進む世界では、企業、個人、政府機関の通信システムには、インターネット経由で誰でもアクセスでき、攻撃を受けやすくなっています。様々なサイバー攻撃の中でも、クレデンシャルフィッシングは最も重大な問題で、これらの脅威から自分を保護するためにはガイダンスの意味を理解することが大切です。 Yubicoでは、フィッシング対策の多要素認証（MFA)ガイドの共有をはじめとする保護ツールをご用意しています。セキュリティ業界には、頭字語や複雑な技術ツールから構成される「アルファベットスープ」の悪いイメージがありますが、MFAも例外ではありません。 MFAのすべてを理解しようとする気が遠くなりますが、MFAの用語や種類を常識的なカテゴリーに分類してみると、思っていたよりもわかりやすくなります。連邦政府は、企業に対して堅牢な認証プロセスを採用するように、ますます強く要請しています。バイデン大統領による昨年のサイバーセキュリティに関する大統領令とその他の今年の緊急声明から、行政管理予算局（OMB）による公的機関向けのフィッシング対策MFAのためのゼロトラスト戦略の策定計画、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の最近の声明とShield Upプログラムまでを踏まえると、今こそサイバーセキュリティ脅威から身を守り、すべてのMFA専門用語を確実に理解する時です。以下は、組織で使用できる重要な用語です。これには、主要な認証用語とその定義、および主流認証ツールとMFAツールのリストが含まれています。また、パスワードの落とし穴と、未来のパスワードレス認証に向けた重要なステップについても、こちらのダイジェスト版ビデオで紹介しています。 MFA用語：2FA、MFA、フィッシング対策MFAの定義 2要素認証（2FA） 2FAとは、2種類の違う要素を組み合わせて使い、ユーザーが主張するオンラインIDを確認する方法です。これを「2段階認証」と呼ぶ場合もありますが、略語として2FAが使用されています。 2FAに使用される要素には、本人が知る要素（例：パスワードやPIN）、本人が持つ要素（例：セキュリティキーや電話番号）、本人が備える要素（例：顔認証）が含まれます。多要素認証（MFA） MFAでは、アカウントにサインインするために、複数の証拠または要素を使って、3つ以上の方法でログインすることが要求されます。 MFAにはSMSベースのワンタイムパスワード（OTP）、モバイルアプリ、生体認証、磁気ストライプカード、スマートカード、物理セキュリティキーなど様々な種類があります。フィッシングフィッシングとは、ユーザーが騙されてユーザー名、パスワード、クレジットカードなどの個人情報を、そのユーザーのアカウントの乗っ取りを謀る第三者に教えるように誘導されることです。フィッシング攻撃の59%が金銭目的です。フィッシング対策MFA フィッシング対策MFAとは、攻撃者がアクセス情報を傍受することや、ユーザーを騙して情報を開示させることを防ぐ認証プロセスのことです。パスワード、SMSやその他のワンタイムパスワード（OTP）、セキュリティの質問、さらにはモバイルプッシュ通知など一般的に使用されるMFAは、前述の攻撃のいずれかまたは両方の影響を受けやすいため、フィッシング攻撃への耐性はありません。更に、このプロセスでは常に各当事者はその有効性と開始の意思を示す証拠を提出しなければなりません。アメリカ合衆国行政管理予算局が最近発行した覚書（7ページ）によると、フィッシング対策MFAは、連邦政府のPIV（Personal Identity Verification）カードおよびスマートカードと、最新のFIDOおよびWebAuthnの2つの認証技術として定義されています。認証とMFAでよく使われている用語認証アプリ認証アプリは、モバイルまたはデスクトップ端末で時間ベースのワンタイムパスコード (TOTP) を生成することで、オンラインアカウントのセキュリティ層を追加します。 TOTP方式は2層目のセキュリティを追加する設計で、多数の認証アプリで採用されています。これには、モバイルとデスクトップにおいて最も安全な認証アプリであるYubico Authenticatorが例に挙げられます。認証アプリはレベル2の強固なセキュリティですが、フィッシング対策MFAと同じレベルにまでは届きません。生体認証生体認証は、物理的または行動的な人間の特性によりシステム、デバイス、またはデータへのアクセスを許可する人をデジタルで識別する仕組みです。バイオメトリクス識別子の例としては、指紋、顔のパターン、音声、タイピングのリズムが挙げられます。セキュリティキーなどの生体認証データを取得すると、テンプレートが保存され、後でデバイスまたはアプリケーションへの認証に使用できるようになります。生体認証は2FAの安全な形態と考えられていますが、それでもサイバー攻撃を受けやすく、Lapsus$による最近のサイバー攻撃など、膨大な生体認証データベースの盗難が発生しています。 FIDO CTAP1 FIDOとは、単純なパスワードに代わる認証規格の開発と普及をミッションとして2013年に発足したオープンな業界団体FIDOアライアンスのことです。 YubicoはFIDOアライアンス理事会の会員で、FIDO標準の作者兼開発者です。 CTAP1とは、Client to Authenticator Protocolのことで、外部ポータブル認証器（ハードウェアセキュリティキーなど）をコンピュータなどのクライアントプラットフォームと連動させることができるプロトコルです。 U2F（上記の定義参照）は、FIDOのCTAP1とCTAP2プロトコルの一部です。 FIDO CTAP2 …

政府や公的機関がWebAuthnに注目すべき5つの理由

連邦政府、州政府、地方自治体などの公共部門機関は、地域社会の機能を支える重要な責任を担っています。国家安全保障から公共交通機関、公共教育、治安、州立公園、金融サービス、エネルギーや電力網など、多くのサービスはすべて税金で賄われ、公共部門が管理しています。これらは生活に不可欠な要素ですが、これらの重要な業務を維持するために必要な個人情報や機密情報の量が膨大であるため、政府機関は常に漏洩リスクにさらされています。政府やその他の公的機関が運営するシステムやデータには、従業員や請負業者だけでなく、パートナーや市民も日々アクセスしており、アカウント乗っ取りに関連するセキュリティ侵害の可能性が飛躍的に高まっています。事実、リモートハッキングは驚くべき早さで発生し続けており、その一方でより高度に成長しています。 2020年版情報漏洩報告書によると、55%は組織的な犯罪集団によるもので、38%は国家や政府が関与する活動によるものだったとのことです。 CACやPIVカードは、公的部門内のさまざまな連邦政府機関で事実上の認証方法となっていますが、多くの場合、これらのカードは適切ではなく、パスワードは高度な攻撃から保護するための十分なセキュリティを提供しません。幸いなことに、FIDO AllianceのFIDO2仕様セットのコアコンポーネントであるWebAuthnは、すべてのコンピューティングプラットフォームでサポートされるようになった、フィッシングに強い最新のWeb認証規格です。 WebAuthnを使用すると、Webサイト、サービス、およびアプリケーションは、パスワードへの依存を完全に排除するオプションにって強力な認証を簡単に提供できます。これには、政府がホストするWebベースのアプリケーションやサービス (自動車局など) が含まれます。これらは、従業員と顧客の両方を対象としています。ここでは、連邦政府やその他の公的機関がWebAuthnに注目すべき5つの理由を挙げます。規格化された強力な認証強力な認証の規格化が初めて可能になりました。デジタル公共部門サービス全体で単純な多要素認証 (MFA) を設定し、便利で一貫性のある安全なログインを使用することを想像してみてください。 WebAuthnは、すべての主要なブラウザとオペレーティングシステムでそれを可能にし、サービスとアプリを強化して、エンドユーザーが強力な認証を利用できるようにします。セキュリティの向上公共部門は重要な情報へのアクセス権を持ち、機密データを保存しているため、情報漏洩によって何百万人もの住民の安全とセキュリティが脅かされる可能性があります。公開キー暗号化を使用することで、WebAuthnは強力な認証のレベルを引き上げ、公共部門の従業員、請負業者、パートナー、市民を含むユーザーに堅牢なMFAセキュリティを提供します。シームレスなユーザーエクスペリエンス WebAuthn APIを使用することで、Webアプリやモバイルアプリで強力な認証にアクセスできるため、パスワードのリセットやSMSコードの煩わしさがなくなり、ユーザーはセキュリティキーをタップするだけで簡単にサインインできます。 WebAuthn APIを使用すると、ITチームと開発者は、WebAuthnを既存のサービスと新しいサービスに簡単かつ迅速に統合し、一貫性のあるシームレスな認証エクスペリエンスをユーザーに提供できます。 WebAuthnは、生体認証からハードウェアセキュリティキーまで、ユーザーに幅広い認証オプションを提供します。生産性の向上 WebAuthnでは、パスワードのリセットはもはや問題ではありません。パスワードなしのログインが可能になることで、パスワードの管理に費やされる時間やフラストレーションがなくなります。パスワードのリセットと管理にリソースを費やす必要がなくなるため、この時間短縮は内部の公共部門の従業員と外部ユーザーの両方に対するヘルプデスクとサポートセンターにまで及びます。コストの削減特に政府機関やその他の公的機関の情報漏洩は、機密データの損失、生産性の低下、経済的侵害など、さまざまな形で悪影響が出る可能性があります。 WebAuthnは、情報漏洩やサポートコストに伴う経済的悪影響を軽減し、政府機関やその他の公共部門のサービスが、以前はインフラストラクチャとパスワードの維持管理に充当していた予算を別の用途に使うことを可能にします。

YubiKeyによるウクライナの重要なITインフラの保護

ロシアによるウクライナへの侵攻は、物理的な世界とデジタル世界の両方においての戦闘です。双方にとって、情報戦は戦場において人類史上最も重要な役割を果たしていて、最大の攻撃ベクトルと脅威は脆弱なログイン認証情報です。大手政府系エネルギー企業のウクライナのサイバーセキュリティ担当者によると、未遂も含むインフラへの攻撃は2021年全体では2万1000件でしたが、2022年2月24日から3月24日の間だけで76万件以上と、3519％も増加しました。 3月4日、Yubicoは認証パートナーであるHideezから、ウクライナの重要インフラの保護への協力を依頼されました。戦争が勃発した時、Hideezチームの多くはウクライナに留まり、最大の標的となるウクライナの企業やITシステムのために自分たちの専門知識や製品、サービスを提供する決断をしました。 Yubicoは2万個のYubiKeyの寄贈と、技術支援の提供を決定しました。その後数週間のうちに、YubiKeyは下記をはじめとする12の政府機関と重要なインフラを提供する企業に配布されました。 SSSCIP（ウクライナの国家特別通信情報保護局） ITの近代化と次世代政府電子サービスを主導するデジタル転換省政府系エネルギー企業と発電所ウクライナの「.ua」ドメイン管理企業であるHostmaster.UA 私は複数の組織の代表者とビデオ通話を行い、彼らが直面しているITセキュリティの課題や、サイバーセキュリティに関する共同の取り組みを公開することが重要である理由について、詳しく教えていただきました。以下は、私たちが交わした会話の要約です。ロシアによる侵攻後、貴社がウクライナの認証会社からサイバーセキュリティを支援する企業に転身した経緯について、詳しく教えてください。（Oleg Naumenko、Hideez CEO）「2月24日、私たちは空から降ってくる爆弾の音で目を覚ましました。突然、私たちの世界は崩壊し、家族、友人、同僚、パートナーは皆、これから自分がとるべき行動を見極めようとしていました。翌週、ほとんどの人は地下壕や地下駐車場、地下鉄の駅で寝泊まりするという過酷な現実を体験しました。人々は凍えるような寒さの中、爆弾や銃弾の音を聞きながら、冷たい床で寝ましたが、その状況は今も続いています。私たちの美しい祖国は、今も攻撃を受けています。都市に爆弾を落とすだけでなく、ロシアのハッカー集団は重要インフラ、政府組織、企業に対して前例のないサイバー戦争を始め、暖房、電気、水道、地方議会、軍事司令部、物流業者などを機能不全に陥れようとしました。すぐに私たちは、ウクライナのできるだけ多くの政府機関や組織と協力し、増加する攻撃から迅速に安全を確保するために、弊社のあらゆるリソースを活用することを決断しました。何がサイバーセキュリティ上の最大の脅威と課題でしたか？（Yuriy Ackermann、Hideez軍事活動VP）「攻撃の大半は、重要なインフラの多くのアカウントにアクセスできる個人とシステムを標的にしていました。ウクライナの多くの政府機関では、国家に対する高度な攻撃を防御できる強力な多要素認証を使用していません。 Yubicoとは過去に一緒に仕事をした経験があり、Hideezは既にスマートカード、FIDO認証、YubiKeyのサポートをHideez認証サーバーに統合していました。そこで、私たちはこのミッションを支援するために、協力をお願いすることに決めたのです。私たちはYubiKey 5シリーズの2万台のデバイスと、展開を支援するための技術サポートを提供していただいたことに感謝しています。 YubiKeyを受け取った後、政府系エネルギー企業を含む複数の政府機関や重要インフラ機関に配布しました。また、YubiKeyを更に広範なハイセキュリティや軍事用途に使用するため、ウクライナ国家特別通信情報保護局（SSSCIP）と協力して、YubiKey 5シリーズの認証取得に取り組みました。」どうして新しいサイバーセキュリティツールを導入しようと考えたのですか？（Oleksandr Potii、SSSCIP副長官）「私たちは、政府、重要インフラプロバイダーに対する前例のない攻撃を目の当たりにし、サイバースペースにおけるロシアの侵略から国を守るために24時間365日体制で働いています。通常なら6カ月以上かかる認証プロセスをわずか数週間で完了し、ウクライナのすべての政府機関、軍、およびその職員がYubiKey 5シリーズを使用できるように認証を取得したのです。また、SSSCIPのスタッフが電子文書管理システムで使用するため、3,000個のYubiKeyを配備しているところです。 Hideez社やYubico社とのパートナーシップにより、フィッシング対策やパスワードレス認証のソリューションをできるだけ多くの政府機関に導入しています。これには計り知れないほどの労力がかかり、YubicoとHideezチームからのサポートがあって初めて可能となります」 YubiKeyの導入と展開が始まってから、どんな効果がありましたか？（匿名希望、ウクライナ発電所サイバーセキュリティ担当役員）「戦争が始まってから、我々は大量のフィッシング攻撃を受けています。このリスクを軽減するために我々の組織は毎日パスワードを変更することを要求していましたが、これでは十分なセキュリティが確保できず、時間がかかるだけでなく、戦闘地域で働く従業員に更にストレスを与えていました。安全性が高いだけでなく、様々なシステムやデバイスでシームレスに動作するソリューションが必要でした。また、インターネットや携帯電話の接続が不安定な場所でも使えるツールも必要でした。さらに、フィッシングや中間者攻撃などの手口が巧妙化しているため、レガシー認証やモバイルベースの認証には頼れない状況でした。 YubiKeyの利点は、汎用マルチプロトコルのデバイスとして構築されているため、PCログイン、VPNアクセス、クラウドベースの生産性の向上、メールシステム、ERPシステム、モバイルアプリケーションに同じ認証器を使用できることです。展開の拡大に伴い、YubiKeyのユースケースも増えていくでしょう。 YubiKeyによりセキュリティが大幅に強化され、多くのITシステムに迅速かつ簡単にアクセスできるようになりました。これは従業員に大きな安心感を与えてくれます。 YubiKeyは、地上戦の最前線で活躍する兵士を守る防弾チョッキと同じくらい、サイバー防衛において重要なものだと考えています」（Oleg Levchenko、Hostmaster CEO）「Hostmaster.UAは、HideezとYubicoからのサポートに心から感謝しています。 …

共有ワークステーションでレガシー認証が機能していない本当の理由

多くの企業では、セキュリティリスク、高額のITコスト、ユーザーの不満の原因となっているパスワードやモバイルベースのソリューションであるレガシー認証に悩まされています。共有ワークステーションや共有デバイス環境を持つ組織では、これらの問題は更に深刻です。ヘルスケア、製造、小売、サービス、金融、エネルギー、公共事業、石油・ガス、教育などの業界で一般的に使われている共有ワークステーションでは、実際には最もリスクの高い慣行が適用されているのです。共有ワークステーション環境で、ユーザーの危険な行動が助長される原因と問題への対応策まず、ヘルスケア業界から見ていきましょう。米国国立医学図書館による最近の調査では、医療従事者の73.6%が電子健康記録（EHR）へのアクセスに他のスタッフの認証情報を使用していると報告しています。研修医の場合は、この割合が100％まで跳ね上がります。インターンや往診医が資格を持っていない場合や権限が不十分な場合もありますが、必ずしもこれが原因とは限りません。 HIPAAの厳格な要件や高水準のITセキュリティ教育にもかかわらず、ヘルスケア業界のITセキュリティ専門家は、未だにこうしたリスクの高い行為に直面しています。この理由は、医療従事者にとって「医療の使命はセキュリティの使命に勝る」ため、おそらくどんな方針や技術的な安全策もこの種の行動を防ぐことはできないからです。重要なシステムへのアクセスに時間がかかるような手順は、患者の治療の妨げになる可能性があります。しかし、他の共有ワークステーションや共有デバイスについてはどうでしょうか？他の業界では、患者の安全性について心配する必要はないでしょうが、安全ではない認証方法に共通していることは、「緊急性」というテーマです。小売業界はカスタマーエクスペリエンス改革の真っ只中にあります。販売員はシームレスで合理的なショッピング体験を提供しなければならないというプレッシャーを感じているため、端末やmPOSデバイスにログインしたままでいるなど不用心な習慣が付く可能性が高くなります。実際、最近の調査では38%の従業員が、パスワード共有は会社の方針であると回答しています（複数の業界を対象としたデータ）。セキュリティやパスワードのベストプラクティスについて高い知識を持っている組織でも、パスワードの共有は依然として問題になっています。 Yubicoの最近の調査の結果では全従業員の51%がビジネスアカウントにアクセスするために同僚とパスワードを共有していて、その中にはITセキュリティ業界の回答者の49%も含まれています。製薬、製造、公共事業、石油・ガス業界では、製造端末や企業システムの認証を行う際に、ユーザーの手袋が邪魔になることがあります。このような業界では、パスワードの入力や2要素認証（プッシュ型アプリやSMS OTP）を受信するために手袋を外す手間はかけたくありません。モバイルが制限された環境では、それすらできない場合もあります。他の業界でも、レガシーシステムでは安全性が高い多要素認証ではなく未だにユーザー名とパスワードを使った方法に依存しています。上記の業界と同様に、ユーザーの不満や仕事を終わらせる必要性から、認証の回避を促すような状況が生まれています。同様に、従業員の41%はパスワードを付箋に書き留めています。共有ワークステーションや共有デバイス環境では、これは単純にリスクを高めます。悪意のある内部関係者やサイバー攻撃によって認証情報が漏洩するリスク、放置されたデバイスが悪用されたり、持ち去られたりするリスク、パスワードの共有や特権データまたは保護されたデータへのアクセスについて、コンプライアンス違反を犯すリスク、更には共有された認証情報にアクセスするためのフィッシングの試みに不信を抱かずに信じてしまうリスクを増やすことにつながります。非があるのはユーザーではなくレガシー認証このような職場環境では、悪意か過失かにかかわらず、インサイダーの脅威が増幅するだけです。しかし、問題があるのはユーザー、企業文化、ITポリシーではありません。責められるべきはレガシー認証です。オフィスの共有ワークステーション環境において、ユーザー名とパスワード、またはユーザー名、パスワード、モバイル認証機能の組み合わせでは、迅速かつシームレスな認証という重要なニーズに応えることはできません。共有ワークステーションにおける認証の課題に対処するためには、これら独自の環境におけるセキュリティ、効率性、信頼性、コスト面での問題と、シンプルで生産性が高く、ポータブルな最先端ソリューションのニーズを十分に理解する必要があります。 ——— 共有ワークステーションに関する詳細な分析については、弊社ホワイトペーパー「最近のサイバー脅威から共有ワークステーションを保護するために」をご覧ください。

Yubicoの理由

製品

購入方法

リソース