YubiKeyによるウクライナの重要なITインフラの保護

July 25, 2022 1 minute read

ロシアによるウクライナへの侵攻は、物理的な世界とデジタル世界の両方においての戦闘です。 双方にとって、情報戦は戦場において人類史上最も重要な役割を果たしていて、最大の攻撃ベクトルと脅威は脆弱なログイン認証情報です。 

大手政府系エネルギー企業のウクライナのサイバーセキュリティ担当者によると、未遂も含むインフラへの攻撃は2021年全体では2万1000件でしたが、2022年2月24日から3月24日の間だけで76万件以上と、3519%も増加しました。 

3月4日、Yubicoは認証パートナーであるHideezから、ウクライナの重要インフラの保護への協力を依頼されました。 戦争が勃発した時、Hideezチームの多くはウクライナに留まり、最大の標的となるウクライナの企業やITシステムのために自分たちの専門知識や製品、サービスを提供する決断をしました。 

Yubicoは2万個のYubiKeyの寄贈と、技術支援の提供を決定しました。 その後数週間のうちに、YubiKeyは下記をはじめとする12の政府機関と重要なインフラを提供する企業に配布されました。

  • SSSCIP(ウクライナの国家特別通信情報保護局)
  • ITの近代化と次世代政府電子サービスを主導するデジタル転換省
  • 政府系エネルギー企業と発電所 
  • ウクライナの「.ua」ドメイン管理企業であるHostmaster.UA

私は複数の組織の代表者とビデオ通話を行い、彼らが直面しているITセキュリティの課題や、サイバーセキュリティに関する共同の取り組みを公開することが重要である理由について、詳しく教えていただきました。 以下は、私たちが交わした会話の要約です。 

ロシアによる侵攻後、貴社がウクライナの認証会社からサイバーセキュリティを支援する企業に転身した経緯について、詳しく教えてください。 

(Oleg Naumenko、Hideez CEO)「2月24日、私たちは空から降ってくる爆弾の音で目を覚ましました。 突然、私たちの世界は崩壊し、家族、友人、同僚、パートナーは皆、これから自分がとるべき行動を見極めようとしていました。 翌週、ほとんどの人は地下壕や地下駐車場、地下鉄の駅で寝泊まりするという過酷な現実を体験しました。 人々は凍えるような寒さの中、爆弾や銃弾の音を聞きながら、冷たい床で寝ましたが、その状況は今も続いています。 私たちの美しい祖国は、今も攻撃を受けています。 

都市に爆弾を落とすだけでなく、ロシアのハッカー集団は重要インフラ、政府組織、企業に対して前例のないサイバー戦争を始め、暖房、電気、水道、地方議会、軍事司令部、物流業者などを機能不全に陥れようとしました。

すぐに私たちは、ウクライナのできるだけ多くの政府機関や組織と協力し、増加する攻撃から迅速に安全を確保するために、弊社のあらゆるリソースを活用することを決断しました。 

何がサイバーセキュリティ上の最大の脅威と課題でしたか?

(Yuriy Ackermann、Hideez軍事活動VP)「攻撃の大半は、重要なインフラの多くのアカウントにアクセスできる個人とシステムを標的にしていました。 ウクライナの多くの政府機関では、国家に対する高度な攻撃を防御できる強力な多要素認証を使用していません。  

Yubicoとは過去に一緒に仕事をした経験があり、Hideezは既にスマートカード、FIDO認証、YubiKeyのサポートをHideez認証サーバーに統合していました。 そこで、私たちはこのミッションを支援するために、協力をお願いすることに決めたのです。 私たちはYubiKey 5シリーズの2万台のデバイスと、展開を支援するための技術サポートを提供していただいたことに感謝しています。 

YubiKeyを受け取った後、政府系エネルギー企業を含む複数の政府機関や重要インフラ機関に配布しました。 また、YubiKeyを更に広範なハイセキュリティや軍事用途に使用するため、ウクライナ国家特別通信情報保護局(SSSCIP)と協力して、YubiKey 5シリーズの認証取得に取り組みました。」

どうして新しいサイバーセキュリティツールを導入しようと考えたのですか?

(Oleksandr Potii、SSSCIP副長官)「私たちは、政府、重要インフラプロバイダーに対する前例のない攻撃を目の当たりにし、サイバースペースにおけるロシアの侵略から国を守るために24時間365日体制で働いています。 通常なら6カ月以上かかる認証プロセスをわずか数週間で完了し、ウクライナのすべての政府機関、軍、およびその職員がYubiKey 5シリーズを使用できるように認証を取得したのです。 

また、SSSCIPのスタッフが電子文書管理システムで使用するため、3,000個のYubiKeyを配備しているところです。 Hideez社やYubico社とのパートナーシップにより、フィッシング対策やパスワードレス認証のソリューションをできるだけ多くの政府機関に導入しています。 これには計り知れないほどの労力がかかり、YubicoとHideezチームからのサポートがあって初めて可能となります」

YubiKeyの導入と展開が始まってから、どんな効果がありましたか?

(匿名希望、ウクライナ発電所サイバーセキュリティ担当役員)「戦争が始まってから、我々は大量のフィッシング攻撃を受けています。 このリスクを軽減するために我々の組織は毎日パスワードを変更することを要求していましたが、これでは十分なセキュリティが確保できず、時間がかかるだけでなく、戦闘地域で働く従業員に更にストレスを与えていました。 安全性が高いだけでなく、様々なシステムやデバイスでシームレスに動作するソリューションが必要でした。 また、インターネットや携帯電話の接続が不安定な場所でも使えるツールも必要でした。 さらに、フィッシングや中間者攻撃などの手口が巧妙化しているため、レガシー認証やモバイルベースの認証には頼れない状況でした。 

YubiKeyの利点は、汎用マルチプロトコルのデバイスとして構築されているため、PCログイン、VPNアクセス、クラウドベースの生産性の向上、メールシステム、ERPシステム、モバイルアプリケーションに同じ認証器を使用できることです。 展開の拡大に伴い、YubiKeyのユースケースも増えていくでしょう。  

YubiKeyによりセキュリティが大幅に強化され、多くのITシステムに迅速かつ簡単にアクセスできるようになりました。これは従業員に大きな安心感を与えてくれます。 YubiKeyは、地上戦の最前線で活躍する兵士を守る防弾チョッキと同じくらい、サイバー防衛において重要なものだと考えています」 

(Oleg Levchenko、Hostmaster CEO)「Hostmaster.UAは、HideezとYubicoからのサポートに心から感謝しています。 既に大半の社員にYubiKeyを配布していて、既存の全インフラをHideezサーバーとYubiKeyで保護する作業を進めているところです。 DNSSECレコードを保存するために、Yubico HSMの統合を進めています。 今回の提携は画期的なことで、今後数週間のうちに技術的な詳細をお伝えできると思います」

ウクライナ政府では、ITインフラの近代化とサイバーセキュリティの強化に向け、他にどのような取組みを進めているのでしょうか? 

(Julia Troyan、デジタル転換省ウクライナプロジェクト技術作業部会プロジェクトマネージャ)「公式な侵攻の前日2022年2月23日、ウクライナの組織に対して「HermeticWiper」というマルウェアが使用され、Windows端末が標的となり、マスターブートレコードが操作され、その後起動障害が発生しました。 ロシア政府が支援するAPT攻撃グループも、サードパーティー製インフラやソフトウェアの侵害やカスタムマルウェアの開発と展開により、高度な諜報技術やサイバー能力を発揮しています。 最近の情勢と軍事侵攻を踏まえ、EU技術支援プロジェクトのレガシー専門家グループは、ウクライナの重要インフラ、通信、政府システムを支援するための国際的なサイバーレジリエンス専門家チームを結成することを決定しました。 私たちは、経験豊富なサイバーセキュリティチーム、IT専門家、コンピュータ専門家、データアナリストを集めました。

プロジェクト受益者であるデジタル転換省は2019年8月に設立され、2024年までに市民や企業向けのすべての公共サービスの100%をオンライン化すること、交通インフラ、集落、福祉施設の95%に高速インターネットアクセスを提供すること、600万人のウクライナ人にデジタルスキルを習得させること、国のGDPに占めるITシェアを10%まで増やすことで、市民にとって自動化された使いやすい公共サービスの実現を目標としています。 機密データをインターネットに移行することには大きなメリットがありますが、同時にセキュリティ上の課題も発生します。

プロジェクトコンポーネント1の一環として、私たちはデータ保護のためのリスク軽減と幅広いセキュリティツールの導入に取り組んでいますが、強力な多要素認証の活用は特に重要な構成要素になるでしょう。 現在、デジタルエコシステムとプロジェクト関係者は、YubiKeyとHideezをネイティブにサポートする主要なクラウドサービス上での業務が増えていて、フィッシング攻撃から自分たちのチームを守るためのキーを配備しているところです。 

これらの推奨ソリューションを導入する目的は、脅威の発見から緩和措置までにかかる時間を短縮し、脅威への対応能力を高めることで、公共インフラや重要インフラの耐障害性を向上させることです」

全ての人がインターネットを安全に利用するためのYubicoのミッションの詳細 

Hideezとの取り組みの他に、Yubicoはポーランドに本社を置き、ウクライナ支援のための軍事戦術用キーの配布を支援しているパートナーであるePrinusにもデバイスを提供しました。 また、地域の安全に必要な情報を共有するために精力的に活動している何百もの地元記者や他の人道支援団体を支援するために、Secure it Forwardプログラムを通じてYubiKeyを寄贈しています。 

Yubicoは世界中に従業員がおり、今回の戦争で被災された方々に思いを寄せています。 私たちは、従業員、お客様、パートナー、記者、人道支援団体などのデジタルセーフティを確保するというミッションに対して、今後も揺るぎない姿勢で臨み続けます。 私たちは、先ほどご紹介したような話をパートナーから聞いた時、自分たちの努力が実を結んでいることを実感しています。

Share this article:

Recommended content

Thumbnail
japanese

WebAuthnの実装: Yubicoからの新規アップデートの重要性

WebAuthnではたくさんの略語とプロトコルが使われています。 しかし、これらの意味と、これらの中から重要なものだけを特定する方法を理解していますか? 弊社ではわかりやすい説明とサポートの両方をご用意しています。 このブログでは、WebAuthnの実装のコツや、java-webauthn-serverライブラリのアップデート、YubicoのWebAuthnスターターキットの最新版についてのニュースをお伝えします。 初期 Universal 2nd Factor(U2F)は、YubiKeyなどのハードウェアトークンを使ったオープン認証規格です。 これは当初、FIDOアライアンスによって2014年に公開されました。 Yubicoはこの規格を開発者で、YubiKeysは最初のUniversal 2nd Factor(U2F)セキュリティキーのひとつでした。 この規格は主に次の2つから構成されています。 ホストコンピュータ(クライアント)とセキュリティキー(オーセンティケータ)の間で USB または NFC を介して通信するために使用されるFIDO U2F HIDプロトコル (後にCTAP1、Client To Authenticator Protocolに改名). ウェブサイトで認証情報の登録と認定に使用されるFIDO U2F JavaScript API これらのプロトコルのサポートは複数の異なるブラウザに追加され、この規格はコンセプトを実証と証明に使われてきましたが、いくつかの制約が普及の妨げになっていました。 進化 U2Fはセキュリティの強化と使い勝手の面では優れていましたが、まだ改善の余地がありました。 U2Fの後続ソリューションはFIDO2で、「パスワードレスログイン」、デバイス上でのPINや生体認証のサポート、その他いくつかの拡張機能など、多数の新しいユースケースに対応しています。 この製品により、これらの新機能をセキュリティキーでサポートするCTAP2と、FIDO U2F JavaScript APIの後継製品であるWebAuthnという新しいAPIが登場しました。 WebAuthnは従来のJavaScript APIに完全に代わり、W3Cによって標準化され、主流ブラウザで実装されています。 旧型のU2F APIのサポートは現在段階的に終了していて、大半のブラウザでは機能していません。 ここで、WebAuthnの出番となります。WebAuthnは、CTAP1(U2Fプロトコル)およびCTAP2(FIDO2プロトコル)の両方と完全な互換性があります。 また、WebAuthn APIを利用した拡張機能により、古いU2F認証情報を継続して利用することも可能で、ユーザーはセキュリティキーを再登録しなくても、引き続き使用できます。 WebAuthnはほとんどの開発者が接するAPIなので、「WebAuthn」はブラウザだけでなく、セキュリティキーからサーバーまでのエンドツーエンドの実装全体を指す用語になっています。 WebAuthn実装方法   これまで、ホストから認証システムへの通信(CTAP)、Webページからブラウザへの通信(WebAuthn)について説明してきましたが、サーバー側についてはまだ確認していません。 FIDO2仕様書では、サーバーが認証情報を検証するために必要なことを段階的に説明していますが、実際のWebAuthnの実装は読者の演習として残されています。 実装に使えるライブラリはいくつかありますが、その中でもYubicoのjava-webauthn-serverライブラリバージョン2.0は、公開されたばかりです。 このライブラリを使用すると、既存のJVMベースのバックエンドにWebAuthnのサポートを追加し、次のことを実行できます。  クライアントに送信する必要があるバイナリメッセージの作成と読み込み 暗号署名の有効性確認  仕様によって課された規則の履行 この新しいライブラリは、FIDO Metadata Service ...

Read More
Thumbnail
japanese

継続的な認証のための基盤構築

継続的な認証とは、システム、アプリケーション、デバイスの間を行き来するユーザーのアイデンティティをリアルタイムに検証する機能を提供する、将来の「完全な状態」のセキュリティの概念のことです。 理論的には、継続的な認証ソリューションは、さまざまな監視ソースからのリスク信号を使用してユーザーを認証し、潜在的な脅威を特定し、侵害されたとフラグが付けられた認証情報の機能を積極的に修復します。 しかし、今日、継続的なユーザー認証は概念にすぎず、まだ確立された規格ではありません。 業種全体で現在使用されている従来の認証方法は静的であり、ユーザーは認証ワークフローの開始時にのみ、認証要素(例:パスワードまたはPIN、ワンタイムパスコード、生体認証)の提供に積極的に参加する必要があります。 概念的には、継続的な認証は、地理位置情報、生体認証の変更、さらにはキーストロークやマウスパターン、コンテキスト、その他の活動パターンなどの動作監視など、機械学習をベースとするインテリジェントなリスク監視ソースへの積極的な参加に取って換わるものか、または補強するものです。 継続的な認証への取り組み 継続的認証の背後にある明確な推進力: サイバー攻撃はその数と精巧さを増し続けており、データ侵害の61%はユーザー認証情報が根源となっています。 SMSベースのOTP(ワンタイムパスワード)のような従来のセカンドファクターでセキュリティを高めようとしても、ユーザーの不満や安全でない回避策を招くだけで、43%の組織が多要素認証(MFA)の使用における最大の障害としてユーザーエクスペリエンスを挙げています。 ハイブリッドワークやリモートワークへの移行は、今日のID管理やアクセス管理の方法における弱点を増大させています。 IDアクセス管理(IAM)、および特権アクセス管理(PAM)ソリューションを使用して、エンタープライズアプリケーションへのアクセス制御の合理化が試みられてきました。多くの場合、シングルサインオン (SSO) を使用して、ユーザーがアクセスできるアプリケーションごとに個別のトークンを割り当てます。 IAMやPAMのソリューションの中には、リスク分析を適用してステップアップ認証を促すものもありますが、これは継続的な認証の本質を捉えていません。 さらに、前述のソリューションは、特に設定されていないアプリケーションを監視、接続、操作することができないため、独自の壁によって制限されることが多く、脅威や異常を検出できる高度な自動化機能やインテリジェンスによって、IDとアクセスを管理するための全体的なキャパが減少します。 継続的な認証の概念は、かなり前から存在しており、2004年には、温度、目の動き、クリック圧を測定するさまざまな方法が研究され、80%以上の精度で本人確認を継続的に認証することができました。 今日、コンテキストや行動データにインテリジェンスを適用し、プロセスや認証フレームワークと組み合わせて動的にアクセス制御を適用できるポイントソリューションがいくつか存在します。 ただし、IDまたはアクセスを管理する方法では、基になる信頼モデルにユーザー名やパスワードなどの従来の認証方法やモバイルベースの認証システムが含まれている場合、IDベースライン (本人であることの証明) には本質的に欠陥があります。 実際には、継続的な認証の概念を実現する前に実行しなければならない重要な手順があります。 継続的な認証の構成要素 最先端で強力な認証は、継続的な認証とゼロトラストの両方に必要な構成要素の一つです。 「決して信頼せず、必ず確認する」のゼロトラストフレームワークでは、組織は、ネットワークまたはデータへのアクセスを許可される前に適切に検証されない限り、ユーザー、パケット、インターフェイス、またはデバイスを信頼してはいけません。 この信頼は、継続的な認証の場合と同様に、リスクシグナルを使用して受動的に確立できますが、最初に強力な認証を使用しバックアップする必要があります。 ただし、MFAのすべての形式が同じではないことに注意してください。 どのような形式のMFAも、何もMFAを使用しないよりは優れていますが、ユーザー名とパスワード、またはSMSのワンタイムパスコード (OTP) 、プッシュ通知、認証アプリなどのあらゆるモバイルベースの認証は、フィッシング、標的型攻撃、アカウントの乗っ取りに対して脆弱です。 これらの認証は、マルウェア、中間者 (MiTM) 攻撃、SIMスワップ、およびその他の悪意のある行為によって侵害される可能性のある 「共有シークレット」 に依存しています。  Yubicoは、FIDO2などの最先端規格に支えられた強力な認証を使用して、個人が本人であることを確認するように求める、将来のゼロトラスト戦略のより進化した状態として継続的認証をとらえています。 インテリジェントなシステムが個人のパターンを学習するため、ユーザーはより頻繁に本人確認を求められるようになります。時間の経過とともに、日常的な活動では認証プロンプトの数が減少し、不規則な活動や潜在的にリスクの高い活動時に特権アクセスを行うには、引き続きステップアップ認証が必要になります。 これに備えるために、組織は少なくともフィッシング対策 の2要素認証 (2FA) またはMFAのベースラインを確立する必要があります。これには、単純なタッチや生体認証に依存するYubiKeyなどのハードウェアベースの認証が含まれます。 理想的なのは、組織がユーザーフレンドリでパスワード不要の強力な認証に移行した場合にのみ、ゼロトラストと継続的な認証フレームワークを構築できるようになることです。 現在、すべてのシステムとアプリケーションに継続的な認証を適用できる単一の解決策はありません。 しかし、今日の組織は、認証を向上させ、機密性の高いデータへのアクセスを一般的に提供するミッション・クリティカルなアプリケーションに継続的な認証の概念を適用するよう、行動を起こすことができます。  FIDO U2FやFIDO2などのフィッシング対策認証プロトコルとゼロトラスト原則を使用し、認証フレームワークを将来に備え強化することで、将来のより現代的で応答性の高いセキュリティ戦略の基盤を築くことができます。  — 強力なフィッシング対策認証を使用してゼロトラスト戦略を加速する方法の詳細については、こちらのホワイトペーパーを参照してください。.

Read More
Thumbnail
japanese

リモートワーカーに対するソーシャルエンジニアリング攻撃の増加への対応

現在、パンデミックがさまざまなソーシャルエンジニアリング攻撃にうってつけの条件を提供していることは明白です。 これまでも、リモートワークの普及やそれに伴うリスクに適応する中で、スピア型フィッシングから、ヴィッシング、ランサムウェアなどコロナウイルス関連の攻撃が増えていることについて、FBI やCISA, 、インターポールをはじめ信頼できる組織から、多くの報告や警告が出されています。 ソーシャルディスタンスとリモートワークは、多くの点でハッカーにとってより好ましい環境を作り出していますが、今日目にされるソーシャルエンジニアリング攻撃の種類は、過去に見られたものとあまり変わりません。 それでは、なぜ今でも大規模な情報漏洩が頻繁にニュースの見出しを賑わせているのでしょうか?  歴史から学ぶことが一つあるとすれば、ハッカーは常に人的要因を利用するということです。 不確実性、恐怖、注意力散漫、孤立、混乱はすべて、ユーザーの脆弱性の増大につながります。 そして、世界的なニュースの話題が目まぐるしく変化し続ける中で、パンデミックや大きなニュースイベントの中で、日和見主義的なハッカーが悪用するような次の展開を予想することは不可能です。 例として、COVIDの景気刺激策や救済策に関連したフィッシング攻撃の増加について見てみましょう。  パンデミック収束後も、ソーシャルディスタンスは継続し、仮想世界でのやりとりが増加すると予想されています。つまり、企業はソーシャルエンジニアリング攻撃の増加から身を守るために、強力な認証を利用しなければなりません。 分散化が進む作業環境では、システムと情報のセキュリティに対する信頼が失われるため、ユーザーとの信頼を再確立することが不可欠です。 その方法はこちら: 従業員の教育やトレーニングだけでは不十分です 新型コロナウイルス関連の詐欺に注意するよう従業員を教育することは、不可欠ですが、包括的な対応ではありません。 フィッシングやソーシャルエンジニアリングに関するユーザー教育をいくら行っても、攻撃の中には成功するものもあるのです。 ユーザーの行動を必要とし、フィッシング攻撃や中間者攻撃の特定がユーザーに依存している限り、脆弱性は今後も問題となるでしょう。 2FA戦略を見直す時期に来ています 組織は、将来のソーシャルエンジニアリング攻撃から保護するために、パスワード、回復質問、または基本的な2要素認証 (2FA) に継続的に依存する余裕はありません。 これらの方法は、モバイルマルウェア、, SIMスワップ、フィッシング攻撃に対処できないことが何度も証明されています。 ハッカーはますます賢くなってきており、私たちもそうならなければなりません。 ユーザーエクスペリエンスは、組織の安全にとって重要です 同僚やIT部門から物理的に離れ、自宅と職場の生活を両立させている世界では、強力な認証が、さまざまなデバイス、ビジネスに不可欠なアプリケーション、さまざまな環境で大規模に機能する必要があります。 ユーザーエクスペリエンスが向上するほど、特定のユーザーのみを保護する複雑なポイントソリューションとは異なり、企業全体に展開してセキュリティを確保することが容易になります。 つまり、新型コロナウイルス関連の攻撃の増加は、現実に存在する危険です。 しかし、これが一時的な脅威であったり、新型コロナウイルスだけの問題であるとは考えられません。 これは、ソーシャルエンジニアリング攻撃が増え続けていることを示す最新の事例にすぎず、より強力な対応が求められています。 当社は日々、大小の企業が新しい日常に適応できるよう支援しています。 準備はよろしいでしょうか? 主要なクラウドベースサービスに対してハードウェア支援を受けた強力な認証を使用して、デジタル変革を加速させます。 Google Cloud, やMicrosoft Azure Active Directoryをはじめとする多くの日常の業務アプリケーションは、YubiKeyとのシームレスな統合を実現しています。

Read More
Thumbnail
japanese

製品開発のセキュリティ優先のアプローチを検討する4つの理由

インターネットはパワフルな発明です。 元々はコラボレーションのために作られましたが、すべての人が予想した能力をはるかに超え、社会の中核的な機能を担うようになりました。開発者として、当社は日々これらの素晴らしい進歩に貢献していますが、インターネットの未来を守り、維持することも当社の仕事です。 端的に言えば、インターネットは元々、自動車のようにセキュリティを念頭に置いて構築されたものではありませんでした。 しかし、時間をかけて、インターネットユーザーおよび共有される機密データを保護する必要性を認識するようになりました。 現在では、自動車を購入する際にエアバッグ、シートベルト、警報システムなどが装備されていることを期待するのと同様、製品やサービスにセキュリティ機能が組み込まれることが期待されています。 セキュリティは製品開発ライフサイクルの中で後から追加することができるとはいえ、それは望ましくありません。 サイバーセキュリティの状況は進化しており、組織もそれに合わせて進化する必要があります。 ここでは、次世代の革新的なソリューションを構築する際に、組織がセキュリティ優先の考え方の採用を検討すべき4つの理由を説明します。 情報漏洩からの復旧にはコストがかかる  情報漏洩がもたらす経済的格差は、特に小規模企業にとって壊滅的なものです。 情報漏洩によって企業が被るコストは平均392万ドルであり、最初の情報漏洩から数年間、組織は継続的に残存コストを負うことになります。 このような影響を元通りにする方が、最初から堅牢なセキュリティ基盤に投資するよりもはるかにコストがかかります。 権限ベースのアクセス、強力な認証、リスクの最小化の原則を最初から確立すると、組織の資金と時間を節約し、将来的なブランド価値の低下を抑えることができます。 ネガティブなブランドの評判が顧客の信頼を低下させる 情報漏洩は、顧客の信頼を失うなど、ブランドのイメージと評判に大きなダメージを与える可能性がああります。 実際、調査によると、情報漏洩の被害者の65%は漏洩後に組織に対する信頼を失い、80%の消費者は情報漏洩されるとサービスの使用を避けています。 堅牢なセキュリティは競争力のある差別化要因  リモートワーカーの増加によりセキュリティの状況が絶えず進化しているため、将来を見据えてセキュリティを強化する考え方が消費者や企業の間で標準となり、堅牢なセキュリティオプションがあると他の競合他社との差別化につながります。 ペリメータ(境界)に重点を置いたアプローチから、すべての要素 (ネットワーク、エンドポイント、クラウドサービス、モバイルデバイス) を保護する包括的な多層アプローチに移行するオペレーター、システム管理者、および開発者は成功するでしょう。 シームレスなユーザーエクスペリエンスは顧客忠誠心を育てる 適切に行われた場合、優れたセキュリティは、お客様の製品エクスペリエンスを向上させる重要な役割を果たします。 実際、これによりすべてのエクスペリエンスが左右されることもあるのです。 パスワードを例に挙げてみましょう。 誰もそれを好まないし、覚えているのも難しく、アカウント乗っ取りから適切に保護するという点では、ほとんど役に立ちません。 しかし、これらは今でもインターネット上で広く使用されており、多くの場合、アカウントの作成やログインは、Webサイトやモバイルアプリとの最初のやり取りになります。 「製品開発の初期段階でセキュリティを優先すると、結果として得られる製品は、最初からより優れたユーザーエクスペリエンスを提供します。」とLet’s Encryptのエグゼクティブディレクター、ジョシュ・アース氏は説明しています。 「後付けで追加されたセキュリティメカニズムほど、ユーザーエクスペリエンスに混乱を生じさせるものはありません。」 セキュリティが後回しではなく事前に考えられていれば、最初から最後までシームレスで楽しいユーザーエクスペリエンスを設計する機会に恵まれます。 結局のところ、セキュリティ優先の考え方は、組織が情報漏洩による悪影響を回避し、最終的な収益、顧客、ブランドに利益をもたらすことができます。 Yubicoでは強力な認証をこのパズルの重要なピースとして重視していますが、最終的にすべての人にとってインターネットを安全な場所にするために考慮すべき (そして協力する必要がある) 他の多くのセキュリティ側面があることも認識しています。 オープンスタンダードで強力なYubiKey認証を実装することに関心のある開発者は、Yubico開発者プログラムに参加して、オープンソースライブラリとサーバー、実装ガイド、トレーニングリソースなどにアクセスできます。

Read More