• 営業部門へのお問い合わせ
  • 購入方法と配送/販売パートナーリスト
Yubico Header Text LogoYubico Header Text Logo
Yubicoの理由expand_more
Yubicoの理由
  • 企業向けのページ
  • 個人向けのページ
  • コンプライアンスのために
  • Yubicoについて
  • 投資家 (EN)
cern sign on building
CERNが管理者アカウントとサーバーへのアクセスを保護するためにYubiKeyを導入
事例を読む
  • japanese
Google headquarters
アカウントの乗っ取りを防止し、ITコストを削減するGoogle社
事例を読む
  • japanese
Hand holding YubiKey behind Apple iPhone
モバイル向けYubiKeyIT
ソリューションの概要を読む
  • japanese
製品expand_more
  • YubiKey
  • 製品比較 (EN)
Laptop with a YubiKey inserted
YubiKey 5シリーズ: マルチプロトコルの Security Key
製品概要を読む
  • japanese
2022年のサプライチェーンセキュリティ
ブログを読む
  • japanese
購入方法expand_more
  • オンラインストア
Person using YubiEnterprise Console on a laptop
FIDO2とWebAuthnでパスワードレスを実現
Read the White Paper
  • japanese
YubiKey on a keychain plugged into a laptop
共有ワークステーションでレガシー認証が機能していない本当の理由
Read the Blog
  • japanese
企業全体のIDフィッシングを阻止する方法:強力な認証を展開するためのガイド
Read the E-book
  • japanese
リソースexpand_more
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
Government building
米国の州が有権者登録データベースをハッカーから守るためにYubiKeyを使用
Read the Case Study
  • japanese
Person looking at a computer with a government building showing
米国 国防総省 ケース スタディ
Read the Case Study
  • japanese
YubiKeys in lots of form factors
世界最小のハードウェア・セキュリティモジュール(HSM)で暗号鍵を保護
Read the Product Brief
  • japanese
お問い合わせストア
  • Home » Yubico Blog | JA » WebAuthnの実装: Yubicoからの新規アップデートの重要性

    WebAuthnの実装: Yubicoからの新規アップデートの重要性

    Dain Nilsson

    Dain Nilsson

    July 25, 2022
    1 minute read
    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    WebAuthnではたくさんの略語とプロトコルが使われています。 しかし、これらの意味と、これらの中から重要なものだけを特定する方法を理解していますか? 弊社ではわかりやすい説明とサポートの両方をご用意しています。 このブログでは、WebAuthnの実装のコツや、java-webauthn-serverライブラリのアップデート、YubicoのWebAuthnスターターキットの最新版についてのニュースをお伝えします。

    初期

    Universal 2nd Factor(U2F)は、YubiKeyなどのハードウェアトークンを使ったオープン認証規格です。 これは当初、FIDOアライアンスによって2014年に公開されました。 Yubicoはこの規格を開発者で、YubiKeysは最初のUniversal 2nd Factor(U2F)セキュリティキーのひとつでした。 この規格は主に次の2つから構成されています。

    • ホストコンピュータ(クライアント)とセキュリティキー(オーセンティケータ)の間で USB または NFC を介して通信するために使用されるFIDO U2F HIDプロトコル (後にCTAP1、Client To Authenticator Protocolに改名).
    • ウェブサイトで認証情報の登録と認定に使用されるFIDO U2F JavaScript API

    これらのプロトコルのサポートは複数の異なるブラウザに追加され、この規格はコンセプトを実証と証明に使われてきましたが、いくつかの制約が普及の妨げになっていました。

    進化

    U2Fはセキュリティの強化と使い勝手の面では優れていましたが、まだ改善の余地がありました。 U2Fの後続ソリューションはFIDO2で、「パスワードレスログイン」、デバイス上でのPINや生体認証のサポート、その他いくつかの拡張機能など、多数の新しいユースケースに対応しています。 この製品により、これらの新機能をセキュリティキーでサポートするCTAP2と、FIDO U2F JavaScript APIの後継製品であるWebAuthnという新しいAPIが登場しました。

    WebAuthnは従来のJavaScript APIに完全に代わり、W3Cによって標準化され、主流ブラウザで実装されています。 旧型のU2F APIのサポートは現在段階的に終了していて、大半のブラウザでは機能していません。 ここで、WebAuthnの出番となります。WebAuthnは、CTAP1(U2Fプロトコル)およびCTAP2(FIDO2プロトコル)の両方と完全な互換性があります。 また、WebAuthn APIを利用した拡張機能により、古いU2F認証情報を継続して利用することも可能で、ユーザーはセキュリティキーを再登録しなくても、引き続き使用できます。 WebAuthnはほとんどの開発者が接するAPIなので、「WebAuthn」はブラウザだけでなく、セキュリティキーからサーバーまでのエンドツーエンドの実装全体を指す用語になっています。

    WebAuthn実装方法  

    これまで、ホストから認証システムへの通信(CTAP)、Webページからブラウザへの通信(WebAuthn)について説明してきましたが、サーバー側についてはまだ確認していません。 FIDO2仕様書では、サーバーが認証情報を検証するために必要なことを段階的に説明していますが、実際のWebAuthnの実装は読者の演習として残されています。 実装に使えるライブラリはいくつかありますが、その中でもYubicoのjava-webauthn-serverライブラリバージョン2.0は、公開されたばかりです。 このライブラリを使用すると、既存のJVMベースのバックエンドにWebAuthnのサポートを追加し、次のことを実行できます。 

    • クライアントに送信する必要があるバイナリメッセージの作成と読み込み
    • 暗号署名の有効性確認 
    • 仕様によって課された規則の履行

    この新しいライブラリは、FIDO Metadata Service 3(FIDO MDS3)にも対応しているため、ユーザーが使用しているセキュリティキーのベンダー名や製品名などのメタデータを取得できます。 このデータはサーバー側でのWebAuthn実装には必要ありませんが、ユーザー体験の充実化や、必要であれば、既知の問題があるセキュリティキーの使用の禁止にお使いいただけます。

    Pythonを好まれるお客様向けに、弊社ではpython-fido2ライブラリのバージョン1.0もリリースする予定です。 最初のRelease Candidate 1.0(RC1)を公開した約1ヶ月後に最終版をリリースする予定です。 Python-fido2は、Javaライブラリで実施する大半のことを実行できるWebAuthnサーバライブラリである上に、クライアントライブラリでもあります。 つまりCTAPプロトコルも実装しているので、USBやNFCを介してYubiKeyと直接通信することで、ブラウザ外からでもFIDO2機能にアクセスできるのです。

    もう少し下位レベルで十分な方は、 Cライブラリのlibfido2をお試しください。libfido2には多言語用の複数のサードパーティ製バインディングも含まれています。 これはCTAPを扱うクライアントライブラリで、署名や証明書を検証する機能も搭載されています。 これは他のプロジェクトの中でもOpenSSHで使用され、YubiKeyを使ってSSHセッションを認証できます。

    WebAuthn実装スターターキット

    また、弊社では新バージョンのWebAuthnスターターキットを公開します。このキットはオープンソースプロジェクトとリファレンスアーキテクチャで、開発者がアプリケーションにパスワードレス認証と適応型多要素認証を導入するためのガイドとしてお使いいただけます。 このバージョンでは、証明書とFIDO Metadata Serviceを使用して、証明書利用者にセキュリティキーの有効性とIDの両方を証明する方法について掘り下げると同時に、デバイス自体の詳細情報も提供します。

    また、信頼できるデバイスとしてのプラットフォーム認証器の概念についても説明します。この情報は、信頼できるデバイスの現在のパラダイムを、クッキーやローカルストレージを使って実装されているパラダイムから、一般的な消費者向けデバイスに存在するWebAuthnベースの認証情報を使ったパラダイムにシフトさせる上で役立ちます。 このようにプラットフォーム認証器を使用することで、セキュリティキーを適切に補完できます。

    WebAuthnスターターキットには、WebAuthn対応アプリケーションのユーザーエクスペリエンス向上のためのベストプラクティスも盛り込まれています。 プラットフォーム、ブラウザ、認証デバイスの順列が異なるため、ユーザー名とパスワードを使った従来の認証に慣れているユーザーにとっては、WebAuthnへの移行が難しいことがわかりました。 弊社では、実装により高い透明性を実現し、ユーザーに自分が取るべき行動および行動と処理のタイミングを確実に理解してもらうことを目的としています。 

    一般ユーザーとの信頼関係を構築しない限り、フィッシングやその他のサイバー脅威によるアカウント乗っ取りを防ぐWebAuthnの実装は普及しないでしょう。 今こそU2FからWebAuthnに移行する時であり、あるいは遅すぎるくらいかもしれません。 ブラウザがU2Fサポートを終了するだけでなく、WebAuthnによって多くの新機能を使えるようになるからです。 規格の実装が少しでも簡単になるように、弊社のライブラリをお役立てください。また、弊社では今後更に改良を重ねるために、皆様からのフィードバックをお待ちしています。 最後になりますが、今回のリリースによりパスワードレスの導入が進むことと、WebAuthnを構成するパーツを理解していただけることを期待しています。

    ———

    WebAuthnの新機能の詳細とWebAuthn実装についての最新情報は、弊社オンデマンドウェビナー「WebAuthnによる多要素認証:実装に関する最新情報と今後の展望」をご覧ください。 また、近日開催予定のウェビナー「YubicoのJava WebAuthnサーバによる適応型多要素認証戦略の強化」については、こちらからお申し込みください。

    Share this article:

    Share on FacebookShare on TwitterShare on LinkedInShare via Email

    Recommended Posts

    • Salesforceの使用にはMFAが必要です:必要な理由とできること

      巧妙なサイバー攻撃が中小企業や大企業を対象に執拗に攻撃し続ける中で、企業は顧客、従業員、パートナーのセキュリティをより安全に守るために、サイバーセキュリティインフラの改善を優先させる必要があります。 ユーザー名とパスワードは、進化し続けるサイバー攻撃に対して、もはや十分なセキュリティを提供するものではありません。   昨年末、Salesforceは2022年2月1日以降、同社の製品、ソリューション、プラットフォームにアクセスする際に多要素認証(MFA)を有効にすることを顧客に義務付けると発表し、これに対する強い決意を表明しました。 この要件は、GoogleやTwitterといった他の大手テクノロジ企業や、最近では米国政府が発令した 「大統領令14028」 (2024年までに、ワンタイムパスコードを利用するSMSトークンやプッシュ通知認証アプリは米国政府の要件に準拠しなくなる) による同様の取り組みを補完するものです。 Yubicoは、SalesforceのMFAとフィッシングに強いFIDOベースのセキュリティキー認証のサポートを強化する最新の活動を称賛しています。 MFAを導入することで、Salesforceのような企業は、より良いユーザーエクスペリエンスを提供しながら、顧客やプラットフォームのセキュリティを大幅に強化しています。 Salesforceが求めることは、世界中で強力かつ最新のハードウェア認証の導入を大幅に加速させ、何十万もの顧客や企業を、事業を麻痺させる可能性のあるサイバー脅威からより安全に守ることです。 Salesforceのアイデンティティ・プロダクト・マネジメント担当上級副社長であるイアン・グレイザー(Ian Glazer)氏は次のように述べています。「セールスフォースでは、信頼を第一の価値としており、顧客データを守ることは最も重要なことです。 強力なMFAの導入を推進するためには、ユーザーアカウントとデータを保護するためにユーザーと組織が実行できる唯一の最善策である、ハードウェアキーなどの幅広いMFAオプションが必要です。 お客様とのパートナーシップによりMFAを普及させることで、フィッシングやクレデンシャルスタッフィングといった一般的な脅威の成功を困難なものにします。」 MFAを実装する準備ができている場合、どれを選択すればよいでしょうか? SMS、ワンタイムパスコード、モバイル認証アプリなどの従来の(または古くからの)MFA方式のほとんどは、サイバー攻撃の防止に役立てることはできますが、すべてのMFAオプションが同じ仕組みで作られているわけではないことに注意してください。 例えば、SMSベースの認証は、企業のセキュリティを確保するには十分な効果がないことが何度も証明されています。 また、SalesforceではメールやSMSベースのワンタイムパスワードは許可されておらず、強力なMFA手法の使用が義務付けられていることも重要な点です。 最新のFIDOベース(U2F/FIDO 2/WebAuthn)認証に移行することで、組織とそのユーザーはフィッシングに強いMFAを実現できます。 YubiKeyのような物理的なセキュリティキーは、組織に求められるサイバーセキュリティの最も厳しい認証要件を満たしながら、非常に使いやすく、YubiKeyに触れるだけで本人認証と安全なアクセスを提供することができます。  これらのハードウェアベースのセキュリティキーは非常に安全性が高く、SalesforceのMFA要件を完全に満たしています。 あらゆるデバイスやオペレーティングシステムに対応し、(ネットワークサービスやバッテリを必要とせずに)数百ものオンラインサービスやアプリケーションへの安全なログインを可能にすることで、アカウント乗っ取りのリスクをほぼすべて排除することができます。  お客様のビジネスに適したYubiKeyの選択 複雑なハイブリッドIT環境を持つ企業であれ、クラウドネイティブな中小企業であれ、Yubicoにはお客様のインフラと従業員を守るための適切なキーがあります。 YubiKey 5シリーズは、マルチプロトコルのセキュリティキーをあらゆるフォームファクタで提供しています。また、YubiKey 5 FIPSシリーズは、すべてのコンプライアンスと規制要件を満たすように設計されています。  大規模な組織へのサポートをお考えであれば、YubiEnterpriseSubscriptionが柔軟な購入オプションを提供し、今日のリモートワークやハイブリッドワークの環境をお考えであれば、YubiEnterpriseDeliveryが場所を問わずYubiKeyを従業員までお届けします。 組織に最適なYubiKeyをお探しの方は、https://www.yubico.com/quiz/へアクセスしてください。  私たちは、一般の消費者から中小企業、大企業に至るまで、すべての人にとってインターネットをより安全な場所にするために、クラス最高のソリューションを提供することを継続して取り組んでまいります。  ——– YubiKeyでSalesforceのアカウントを保護するMFAを追加する方法については、こちらを参照してください。 

      Read more
      • japanese
      • Salesforce
      • YubiKey
    • How to get started with the YubiKey to secure energy and natural resources Thank You

      We hope you enjoy reading the Yubico Best Practices Guide, How to get started with the YubiKey to secure energy and natural resources.

      Read more
      • best practices guide
      • energy and natural resources
      • YubiKey
    • energy and natural resources best practice guide feature image
      Energy and Natural Resources Deployment Best Practices Guide

      Learn the six deployment best practices that can help accelerate the adoption of modern, phishing-resistant MFA at scale using the YubiKey.

      Read more
      • best practices guide
      • energy and natural resources
      • YubiKey
    • Web Authentication

      Learn the definition of Web Authentication and get answers to FAQs regarding: What is Web Authentication? How does it work? and more.

      Read more
      • passwordless
      • strong authentication
      • WebAuthn
      • YubiKey
Yubico Footer Text Logo
  • RSS
  • Twitter
  • LinkedIn
  • Instagram
  • YouTube
  • GitHub
  • 製品クイズ
  • セットアップ
  • オンラインストア
  • YubiKey
  • ホワイトペーパー
  • ソリューションの概要
  • 製品概要
  • Yubico Blog | JA
  • 購入方法
Yubico © 2023 All Rights Reserved.
  • Sitemap
  • Cookieについて
  • 法的情報
  • プライバシー通知
  • 利用規約