耐フィッシングMFAでアカウント乗っ取りを阻止できる企業をつくる

ユーザー中心の認証、企業での認 証の新たな領域

パスワードは、従来のIAMアイデンティティライフサイクルの各段階で、あらゆる側面に組み 込まれています。残念ながら、パスワードの盗難はオンラインのセキュリティを損なう最大の 脅威ベクトルの1つです。しかし、最近では政府機関だけでなく民間企業においても、非常に 脆弱なパスワードベースの多要素認証を耐フィッシング多要素認証（MFA）に置き換え、 さらに理想的にはパスワードを完全に排除したパスワードレス認証に置き換えることで、 フィッシング攻撃に対するサイバーセキュリティ防御を強化するという重要な義務が課され ています。

ゼロトラストアーキテクチャ

耐フィッシングMFAの採用

パスワードレスや新しいオンデバイス認証ソリューションの最近の進化に伴い、組織が ユーザーのアイデンティティ認証情報を確立し、そのライフサイクルを通して管理する方法 が進化しています。

従来、組織が考えていたのは、フィッシング耐性がある認証であり、フィッシング耐性がある ユーザーではありません。これは、認証イベントを機密性の高いシステム、アプリ、サービス にログインする時点として考えるのか、ユーザーがどのように生活し、どのように働いてい るかについて考えるのかの違いです。多くの場合、ユーザーは、1日のうちにプラットフォーム （Apple、Google、Microsoft）やデバイス（スマートフォン、ラップトップ、タブレット）間を移動 したり、個人用と企業用のアプリやサービスの間を移動したりします。企業は、ユーザーが どのようなビジネスシナリオ（リモートワーカー、モバイル機器の使用制限、共有ワーク ステーション、サプライチェーンのサードパーティなど）で従事しているかに関係なく、または 使用しているプラットフォームやデバイスに関係なく、フィッシング耐性を提供する認証の 種類をユーザーに提供することを考える必要があります。

パスキーの導入

FIDOアライアンスは、消費者と組織両方のパスワードレスを促進させる方法として、パスキー を導入しました。Google、Apple、Microsoft、Webブラウザなどの主要なプラットフォームで パスキーを使用できるようになりました。パスキーソリューションの開発により、企業ごとに 新しいエンタープライズアイデンティティのセキュリティ・イベントが作成されました。

FIDO

パスワードベースのシステムからの 移行に焦点を当てたグループ、 FIDOアライアンスが支持する オープンなセキュリティ標準。

認証情報

システムにログオンしたときに 「ゲートを通る」ことができる ユーザーの一意のID。

多くの場合、組織とそのユーザーは、パスキーと、パスキーが常駐しているオーセンティケータ を混同しがちです。パスキーは単なるFIDO2認証情報であり、スマートフォン、またはタブレット やラップトップなどの汎用デバイスに常駐させることができます。また、FIDOハードウェア セキュリティキーなど、セキュリティ専用のオーセンティケータであるポータブルデバイスにも 常駐させることができます。

パスキーとは、認証情報そのものであり、デジタルファイルです。 オーセンティケータはパスキーが常駐している場所です。たとえば、 スマートフォン、ラップトップ、ハードウェアキーなどのデバイスです。

パスキー

オーセンティケータ

企業ユーザーの保護

ユーザーには異なる認証ニーズがある

すべての企業ユーザーが毎日同じ仕事をするわけではありません。ビジネスのニーズに 応じて、ユーザーはラップトップをリモートで作業したり、会議中にスマホで電子メールに アクセスしたり、製造現場の共有ワークステーションにアクセスしたりする必要があります。 企業ユーザーは、さまざまなタイプの認証ニーズを持ち、それに応じて使用するオーセン ティケータのタイプが異なります。企業ユーザーは、リモートワーカーまたはハイブリッド ワーカーである場合もあれば、スマホが選択肢に入ることがない、モバイル利用が制限さ れたで作業する場合もあります。また、異なるユーザーがすべて同じコンピュータ端末上 で安全にログインおよびログアウトする必要がある共有ワークステーションで作業してい る場合もあります。

したがって、ユーザーがパスキーを保持する必要があるオーセンティケータのタイプは、 ユーザーの役割の機密性、またはアクセスする必要があるデータやシステムのタイプに よって異なる場合があります。ハードウェアセキュリティキーは、セキュリティ専用のポータ ブルオーセンティケータであり、ユーザーが企業の広範なビジネスシナリオで安全かつ シームレスに作業できるようにします。一方、プラットフォームオーセンティケータは、スマー トフォンやラップトップなどの汎用デバイスに組み込まれています。さらに、オーセンティケ ータアプリなどのモバイルアプリケーションも、ユーザー認証ソリューションを提供します。 これらのオーセンティケータにはすべて、セキュリティと使いやすさのトレードオフがあり ます。企業は、必要なセキュリティ保証のレベルと、許容できるリスクのレベルを決定する 責任があります。

セキュリティキー
アテステーションを 使用してデバイスに 紐付けた認証情報

プラットフォーム オーセンティケータ
デバイスに組み込まれて いるオーセンティケータ

サードパーティ オーセンティケータ アプリ
ユーザー認証ソリューション を提供するアプリケーション

さまざまなパスキークラス

すべてのパスキーが同じように作られているわ けではありません

パスキーはパスワードよりも安全であり、パスワードレス認証に迅速に移行できるため、 セキュリティと効率を向上させることができます。さまざまなパスキーの実装があり、 セキュリティと使いやすさのトレードオフがそれぞれにありますが、すべてのパスキーが 同じように作られているわけではなく、すべてが企業に適しているわけでもありません。

同期パスキー

デバイス固定パスキー （ハードウェア紐付けとも呼ばれます）

同期パスキー

企業向けではなく一般消費者向けに設計

同期パスキーはコピー可能な認証情報であり、スマートフォン、ラップトップ、タブレットな ど、ユーザーのアカウントに接続されているすべてのデバイスにコピーされます。同期パス キーは、他のユーザーのアカウントと共有したり、別のユーザーのアカウントにコピーし たりすることもできます。これが企業にとって深刻な弱点の原因になることがあります。 同期パスキーは、リモートワーク、サプライチェーンのセキュリティ、コンプライアンス、サポ ートの複雑さなど、主要な企業シナリオにおいて、重大なリスクとエクスポージャギャップ をもたらします。 詳細については、企業の同期パスキーの落とし穴をご覧ください。

デバイス固定パスキー

企業ユーザー向けに設計

デバイス固定パスキーは、同期パスキーと比較して、企業がFIDO認証情報をより細かく 制御できるようにします。

ただし、デバイス固定パスキーにはさまざまなタイプがあります。スマートフォンやラップ トップなどの日常的な汎用デバイスに常駐する、デバイス固定パスキーがあります。ハード ウェアセキュリティキーに存在するデバイス固定パスキーは、最高のセキュリティ保証を 提供することが知られており、企業が認証情報の安全性を証明できるアテステーションが 提供されます。ハードウェアセキュリティキーを使用すると、企業は信頼性の高い認証情報 ライフサイクル管理プロセスを構築できます。セキュリティキーを使用すると、企業ユーザー は新しいデバイスを登録し、企業パスキープロバイダに対して認証することができます。 また、各ユーザーは、認証プロセス中に自分自身を簡単かつ安全に認証するための ポータブルでフィッシング耐性を持つ認証情報を持っているため、別のデバイスに紐付けら れた認証情報（Windows HelloやOkta FastPassなど）を登録できます。このソリューション は、ヘルプデスクからリスクを排除し、企業があらゆる業界の最も厳しい要件に準拠でき るようにします。

パスキーツールボックスを使用してすべてを網羅

同期パスキーとデバイス固定パスキー間での異なるパスキー実装

ユーザーは基本的に、3種類のオーセンティケータを所有しており、これらのオーセンティケータ内に常駐しているパスキーを 使用して認証を行うことができます。市場で最初に導入されたパスキーソリューションであり、認証の絶対基準はハードウェア セキュリティキーです。セキュリティキーを使用すると、ユーザーはデバイスに格納されているパスキーを使用して認証を受け ることができます。ユーザーは、セキュリティキーをデバイスからデバイスに責任を持って移動させます。重要なことは、専用 オーセンティケータは、多くの企業にとって重要であるモバイル利用制限環境や共有ワークステーション環境のセキュリティ 保護など、モバイル上のオーセンティケータでは解決できない企業の特定のユースケースを解決するということです。

市場に新たに登場したその他のソリューションには、サードパーティパスキープロバイダがあり、これらのアプリケーションは、 ユーザーがデバイス固定パスキーと同期パスキーの両方を管理できるように作成できます。2021年に導入が開始された同期 パスキーは、これらの消費者向けパスキーに対するプラットフォームのサポートによって補完されていました。同期パスキーは、 さまざまなプラットフォームでサポートされるようになりました。これらのプラットフォームの中には、同期パスキーの使用は、 プラットフォームのオーセンティケータのみとしているものもあります。

iOSおよびMacOSでは、プラットフォーム上での同期パスキーの作成のみがサポートされるようになりました。Google Android でも、同期パスキーのみがサポートされるようになりました。Chromeでは、同期パスキーとデバイス固定パスキーの両方が サポートされており、リライングパーティやサービス（Dropboxなど）では作成できるものを選択できます。オプションに追加 すると、Windows Helloでは、そのワークステーションデバイスに紐付けられたパスキーの作成のみが有効になります。また、 1PasswordやDashlaneなどのサードパーティプロバイダは、同期パスキーーの作成をサポートしています。市場には、ソフト ウェアで支援するデバイス固定パスキーをサポートするソリューションもあり、新たに登場するパスキーにさらなる進展が見ら れます。

パスキーの用語で混乱していますか？ ここで、覚えておくべき主なことは次の とおりです。秘密鍵を保護することが 重要です。

秘密鍵が格納されている場所を特定すること は、パスキーに関連するリスクを理解する上で 不可欠です。リライングパーティまたはサービス は、認証情報の登録に含まれているデバイスア テステーションを利用して、パスキーが企業で 使用が許可されているデバイスに保存されて いることを判断できます。

すべてのパスキーは公開鍵暗号方式に基づい ており、安全に格納されている秘密鍵と共有ま たは公開されている公開鍵のペアが存在しま す。秘密鍵は秘密である必要があり、秘密を 保持することはパスキーソリューションとパス キーが存在する基盤システムの義務です。同期 型パスキーを使用すると、秘密鍵を複数のデバ イスとクラウド管理システムにコピーできます。 これにより、企業はパスキーを追跡し信頼する ことが困難になります。デバイス固定パスキー により、企業が必要とする管理と制御が向上し ます。しかし、企業が必要とする秘密鍵の保護 を提供できるのは、セキュリティのために特別 に構築されたポータブルハードウェアオーセン ティケータに常駐しているデバイスバインドパ スキーだけです。

 

フィッシング耐性を持つユーザーになる

フィッシング耐性のある認証だけでは不十分

パスワードレス認証の採用を促進するためにパスキーが導入されたことで、企業における認証の新しい目標は、フィッシング 耐性のある認証だけでなく、フィッシング耐性のあるユーザーを確立することとなります。パスキーは、真のユーザー中心の 認証および組織内でのユーザーの業務状況という文脈で考慮する必要があります。この戦略では、すべてのユーザーが、すべ ての認証タスクにフィッシング耐性のある認証ソリューションを使用する必要があります。フィッシング耐性のある認証から フィッシング耐性のあるユーザーへと目的を移行すると、企業はユーザーがヘルプデスクに電話で問い合わせることなく新し いデバイスを登録できるようにすることができ、高いレベルの保証が維持されることで、ユーザーは安全にリモートで業務を 遂行できるようになり、同時にヘルプデスクの運用上のリスクやセキュリティ上のリスクを排除できます。

このことを念頭に置いて、焦点は適切なオーセンティケータの選択（スマホかセキュリティキーなど）から、ユーザーが持つすべ ての認証オプション（およびパスキー）が安全に登録され、ユーザー体験の目標と企業のセキュリティニーズの両方を確実に 満たすことに移ります。 パスワードや、SMS、ワンタイムパスワード、モバイル認証などの従来のフィッシング可能なMFAソリューションから移行する ことは、ユーザーが複数の認証情報、パスキー、パスキープロバイダを持つ世界へと移行することを意味します。この変化に より、認証情報ライフサイクルは、ユーザーとの重要なやり取りを管理する必要がある企業にとって新しい転換点となります。

ユーザーごとに、企業には次のイベントに対するソリューションが必要です。

• 最初の認証：新しいコンピューティングデバイス（スマホ、 ラップトップ、またはデスクトップ）をデバイス管理システム に安全に登録するための、そのデバイスでの最初の認証
• 認証情報登録：信頼できる/管理されたデバイス、または信 頼できない/管理されていないデバイスでの、同期型または デバイス固定型の認証情報のフィッシング耐性がある登録
• パスキープロバイダへの最初の認証：信頼できる/管理さ れたデバイスへのパスキーの同期を開始するために、 新しいデバイスのパスキープロバイダへの最初の認証
• パスキープロバイダへのWeb認証：信頼できない/管理さ れていないデバイス上のパスキーにアクセスするための、 パスキープロバイダへの認証
• 安全なセルフサービス認証情報管理：従業員が以下のよ うになったときのためのセルフサービスツール
  • 管理されたデバイスを紛失または廃棄し、そのデバ イスに保存されている認証情報を無効にする
  • パスキープロバイダへのアクセスを回復する必要 がある
  • プラットフォームアカウントへのアクセスを回復 する必要がある
  • 既存のYubiKeyを管理し、使用されなくなった認証 情報をすべて無効にするか、紛失としてマークする 必要がある
• 安全なセルフサービスオーセンティケータ管理：ユーザー がアカウントロックアウトのリスクを回避するために 新しいパスワードを必要とする場合に、追加のデバイス固 定パスキー（たとえば、YubiKey上に存在している） をオーダーするためのセルフサービスプロセス
• アカウントロックアウト：すべてのオーセンティケータ/認 証情報へのアクセスを失った後に、企業で管理されるア カウント用に発行された新しい認証情報をユーザーが 取得するための安全なプロセス

フィッシング耐性のあるユーザーと ポータブルパスキー

フィッシング耐性は、特定の隔離されたデバイス やプラットフォームに結び付けられるべきでは ありません。ユーザーがどのアプリ、サービス、 システムにログインしているかに関係なく、企業 生活や私生活全体にわたって、ユーザーととも に移動できるようにすべきです。これにより、 フィッシング耐性のある企業がエンドツーエンド で構築されます。 YubiKeyに存在するような デバイス固定パスキーは、ポータブルな独立し たハードウェアにパスキーの安全な暗号化方式 を組み合わせたものです。YubiKeyを使用する と、強力な認証がユーザーと一緒に移動し、 特定のプラットフォームやモバイルデバイスに 関連付けられていないフィッシング耐性のある ユーザーが作成されます。

適切なパスキーを選択する際の企業の考慮 事項

すべてのパスキーは、フィッシング耐性があると考えられるが、 すべてが企業のニーズに適合しているわけではない

多くのパスワード置き換えソリューションは、フィッシング耐性のある認証を市場に投入することに重点を置いており、企業 はこれらのソリューションを活用してパスワードを置き換えようとしています。ただし、企業は、アカウントのライフサイクル の各段階および関連する企業の考慮事項に注目して、汎用デバイス上のデバイス固定パスキーが適切かどうか、または セキュリティ専用に構築されたオーセンティケータ上のデバイス固定パスキーが適切に機能するかどうか、またはハイブリッド アプローチが適切かどうかを判断する必要があります。理想的な戦略は、重要な認証ポイントを耐フィッシングにするだけで なく、フィッシング耐性のあるユーザーの作成を可能にし、ユーザーは、生活や仕事の中で機密性の高いオンラインアカウント にログインする際に、お気に入りのあらゆるデバイス上でさまざまな認証手順を通じて保護されるようになります。

企業にとって安全なオンボーディングと復旧は必須

オンボーディング/登録

認証情報の復旧

コンプライアンスと監査

お客様が実装することを決定するMFAは、登録および復旧と同じ程度の安全性にしかなりません。OTPコードの送信など のフィッシング可能な方法を使用した登録またはオンボーディングプロセスは、脆弱なMFAの導入につながります。FIDO認証 情報を登録またはリセットできる人がいると、耐フィッシングMFAを使用する目的が損なわれます。組織は、MFA方式の登録 を可能にするための堅牢なオンボーディングおよび復旧ソリューションを備えている必要があります。

さまざまなデバイス固定パスキーのアプローチが、企業内のユーザーがオンボーディングや認証情報の復旧を行う際の ユーザーのある日の行動に対してどのように機能するか、また、各パスキーアプローチのコンプライアンス、監査、リスクの 影響についても見てみましょう。

1.オンボーディング/登録

1a.汎用デバイス上のデバイス固定パスキーを使用したオンボーディング

サードパーティパスキープロバイダ；汎用デバイス上のデバイス固定パスキー

メリット

追加のハードウェアを購入または 導入する必要がない

組織の利点は、ユーザーにハードウェアを導入する 必要がないことです。組織は、個人のエンドユーザー デバイスに依存できます。または、すでにモバイルデ バイスをユーザーに渡している場合は、そのデバイス 1つで十分な場合もあります。

課題

低セキュリティなセットアップ

ユーザーがオーセンティケータアプリをインストールして 設定した後、フィッシング可能なシークレットを使用してア プリにサインインします。これは、汎用デバイスのデバイス 紐付け型パスキーを使用したパスキーの登録が、最初から セキュリティが低いことを意味します。悪意のある攻撃者は、 ユーザーを騙してフィッシング可能なシークレットを共有 させたり、ユーザーを騙して偽のまたは非準拠のパスキー アプリをインストールさせたりして、攻撃者にユーザーの 認証情報へのアクセス権を与え、アカウントの乗っ取りを 可能にすることもあります。

企業のセキュリティのために 個人デバイスを使用すること へのユーザーの抵抗

前述のように、スマートフォンなどの汎用デバイスで デバイス固定パスキーを使用する組織にとっての主な利点 は、ユーザーに追加のハードウェアを導入する必要がなく なり、個人のモバイルデバイスでセキュリティギャップを解 決できることですが、これにより、個人のデバイスにソフトウ ェアをインストールする必要がある従業員から反対意見が 出たり、従業員に自分のデバイスの使用を要求するために、 組織が経費を負担する要因になる可能性があります。 また、Android14およびiOS17が一部のエンドユーザー デバイスでサポートされていない場合は、その従業員の ために何をすべきかを組織が理解することが課題に なります。

直感的ではないユーザー体験

ユーザーオンボーディングの体験が、すべてのプラット フォームとデバイスの間で標準化されていないため、 ユーザーの混乱や生産性の低下につながります。これは、 汎用デバイス上のデバイス固定パスキーを導入して成功 させるために、企業が詳細なユーザートレーニングに投資 する必要があることを意味します。特にBYODプログラムを 使用している企業の場合、ユーザーはアプリのインストール と設定を行う必要が生じることが多く、そのために経費が 増加し、劣悪なユーザー体験となります。

複数のデバイス/登録が必要

復旧と理想的なユーザー体験をサポートするには、システム へのアクセスが必要なすべてのデバイスで登録が必要です。 また、アカウントの復旧のために別のパスキーを登録できる 2台目のモバイルデバイスまたはデスクトップが必要になり ます。これは、企業やユーザーにとってストレスとなり、コスト がかかる可能性があります。

企業ユースケースの範囲が限定される

これらのパスキーがモバイルフォンなどの日常的なデバイス に常駐するため、オーセンティケータを使用できる場所には 制限があります。したがって、共有ワークステーションや共有 デスクトップのシナリオ、BYOD、高セキュリティ、モバイル 制限、および一部のオフラインのシナリオ、および古いデバ イスやプラットフォームが関係している場合でも、これらの タイプのデバイス固定パスキーは、すべての企業のユース ケースをカバーするほどには機能しない場合があります。

1.オンボーディング/登録

1b. セキュリティ専用のオーセンティケータ上のデバイス固定パスキーを使用したオンボーディング

ハードウェア紐付け型パスキーを使用してユーザーをオンボーディングするには、3つの 方法があります。

• マネージャーまたは管理者が、エンドユーザーに代わってFIDO2セキュリティキーを 登録します
• 従業員には、工場でプロビジョニングされた事前登録済みのセキュリティキーが メールボックスに直接送付されます
• エンドユーザーは、企業が指定したパスワードまたはフィッシング可能なコードを使用し てサインインし、セルフサービスを実行します

ここでは、セキュリティキー（YubiKeyなど）に常駐しているデバイス固定パスキーを使用して、 耐フィッシングMFAとパスワードレスに安全かつシームレスにユーザーをオンボーディング できる、最初の2つのオプションについて説明します。

セキュリティキー：セキュリティのために構築されたオーセンティケータ上のデバイス固定パスキー

メリット

耐フィッシングMFA

ユーザーまたはプロセスでは、パスキーを登録するため にフィッシング可能なシークレットを処理する必要は ありません。

一貫したユーザー体験

YubiKeyにデバイス固定パスキーを常駐させている組織 にとってのメリットは、デバイスやプラットフォーム間で 一貫したユーザー体験を提供することであり、最高保証 のセキュリティが、強力な認証セキュリティのポータブル な形態でユーザーと一緒に移動し、1日中でユーザーに フィッシング耐性を提供します。

最高保証のセキュリティ（AAL3）

YubiKeyは、高いセキュリティであるAuthenticator Assurance Level 3（AAL3）要件に準拠しており、最も 厳しいコンプライアンス要件を満たしています。これに より、企業は強力なセキュリティを手に入れ、安心して ビジネスを加速することができます。

課題

独立したデバイスの購入および導入

企業にとっての主な課題は、独立したデバイスを購入および 導入し、ユーザーに届ける必要があることです。この送付 作業は、企業が物流と流通を考慮する必要があるため、 煩雑だと感じられます。Yubicoは、物流と流通のニーズを サポートするエンタープライズデリバリーサービスを提供し ています。また、各地域の代理店パートナーと連携すること もできます。

2.認証情報/アカウントの復旧

2a.汎用デバイス上のデバイス固定パスキーを使用した認証情報の復旧

サードパーティパスキープロバイダ：汎用デバイス上のデバイス固定パスキー

メリット

ユーザーのデバイス数が少なく なる：持ち運ぶものが1つ減る

すでにスマホを所有しているユーザーは、同じ デバイスを生産性と認証に使用できます。

ハードウェアセキュリティキーの 追加コストは不要

組織は、最高保証のハードウェアセキュリティキーを 購入するための追加の支出を回避できる可能性が あります。

課題

複数のデバイスが必要

ユーザーがパスキーをサポートするデバイスを1台しか 持っていない場合、ユーザーのロックアウト/アカウントの 復旧にはコストがかかり、リスクが高くなり、劣悪な体験に なる可能性があります。このような落とし穴を回避するに は、複数のデバイスにパスキーを登録する必要があります。

劣悪なユーザー体験

モバイルデバイスの紛失または盗難にあった場合、その パスキーを使用してアクセスしていたすべてのワークス テーションは、QRコードをスキャンし、モバイルデバイスを Bluetoothでワークステーションに接続することで再リンク する必要があります。復旧後にクロスデバイスアクセスを 再確立するには、複数のデバイスと手順が必要になる場合 があります。

監視と管理のための追加コスト

汎用デバイスのデバイス固定パスキーには、通常、モバイル デバイスのセキュリティポスチャを管理および監視するた めの追加のソフトウェアと管理者が必要となり、コストが 膨らむ可能性があります。

高い復旧頻度

混雑した公共の場所でデバイスを使用すると、スマホが盗 まれたり、置き忘れたり、故障したり、壊れたりする可能性 が高くなります。YubiKeyに常駐するパスキーなどのデバイス 固定パスキーでは、この可能性は、はるかに低くなります。 また、スマートフォンなどの汎用デバイスにあるデバイス固定 パスキーが誤って削除される可能性があることに注意して ください。一方、YubiKey上のパスキーを誤って削除すること はありません。最後に、デバイスのアップグレードサイクル を考慮することが重要です。アップグレード中に、オーセン ティケータアプリとパスキーが、ユーザーのアップグレード されたデバイスに正しく移行されない可能性があります。 さらに、OSのアップデート、ファームウェアのアップデート、 およびアプリのアップデートによってパスキーのフローが 中断され、計画どおりに動作しなくなる可能性があり、潜在 的な脆弱性が定期的に発生するため、組織はデバイスの 管理とパッチ適用に絶えず取り組む必要があります。

2.認証情報/アカウントの復旧

2b.セキュリティ専用のオーセンティケータ上のデバイス固定パスキーを使用した認証情報の復旧

セキュリティキー：セキュリティのために構築されたオーセンティケータ上のデバイス固定パスキー

メリット 

法外なコストはかからない

2台のモバイルデバイスを所有する場合と比較して、 YubiKeyなどのバックアップセキュリティキーを所有する 方が、コストが大幅に削減されます。また、バックアップ のYubiKeyを持つことで、より迅速でシンプルなセルフ サービス復旧が可能になります。

フィッシング耐性が常時有効

1つのセキュリティキー（デバイス固定パスキーを含む）が 紛失しても、通常のワークフローが中断されることはなく、 認証強度が低下することもありません。

課題

バックアップキーが必要

ユーザーがセキュリティキーを紛失した場合、 アカウントへのアクセスを復旧するためのいくつか の手順が必要になります。したがって、各ユーザーは、 アカウントへのアクセスを維持するための2番目の セキュリティーキーを保持し、新しいバックアップ 方法を追加するためのフィッシング耐性のある方法 を提供することが推奨されます。

YubiKeyは、他のデバイス固定パスキー の安全性を高める

次のように、二者択一ではありません。サード パーティパスキープロバイダをリスクの低い アプリ/ユーザーに使用したり、復旧シナリオで 一時的に使用したりするなどの主なシナリオで は、ハイブリッドアプローチが企業に最適な方法 となる場合があります。また、プロビジョニング され、エンドユーザーに配布される、事前に登録 されたYubiKeyを使用すると、サードパーティ パスキープロバイダ内で別のタイプのデバイス 固定パスキーのセットアップを開始するために 必要な強力な紐付けが作成されることも考慮 してください。これにより、セキュリティと使いや すさの水準が大幅に向上し、組織が基盤とする ことができる堅牢な認証情報ライフサイクル 戦略が作成されます。

その他の企業の考慮事項

コンプライアンス、監査、リスク

汎用デバイス上のデバイス固定パスキーを使用した コンプライアンスと監査

課題

限定されたアテス テーション機能。 パスキーを保護して いるデバイスやハード ウェアを特定するのが 困難です

スマートフォン、 ラップトップ、タブレット などの汎用デバイス中 のデバイス固定パスキー は、AAL2までしか満たし ていません

最も厳格なコンプライ アンス要件および認定 要件を満たしていません

セキュリティ専用のオーセンティケータ上のデバイス 固定パスキーを使用したコンプライアンスと監査

メリット

ハードウェアオーセンティ ケータのアテステーション は、既知の特性を持つ既 知の信頼できるハード ウェアに、パスキーが安全 に保存されるという最も 高い信頼を提供します

YubiKey中のデバイス 固定パスキーは、AAL3 を満たす唯一のキーです

最も厳格なコンプライ アンス要件および認定 要件を満たしています

YubiKeyは、最高のセキュリティ保証を求める米国連邦政府 の要件を満たしています

YubiKeyは、モバイルデバイスが禁止されている保安区域で使用できます

YubiKeyは、政府機関が、汎用デバイス上のデバイス固定パスキーと互換性の ないレガシーシステムまたは特注システムを使用している場合に役立ちます。

リスクエクスポージャとコストエクスポージャ

一般的に、ユーザーはモバイルデバイスをさまざまなアクティビティに使用するため、これらのデバイスの紛失、盗難、または 侵害のリスクが高くなります。汎用モバイルデバイスに常駐するパスキーは、ハードウェアセキュリティキーなどのセキュリティ 専用のオーセンティケータに常駐するパスキーと比較して、侵害されるリスクが高くなります。スマートフォンの交換は、 セキュリティキーを交換するよりもはるかにコストがかかります。

セキュリティ用の汎用デバイス

危険なユーザー

個人的なアクティビティに仕事用 デバイスを使用しているユーザー。

個人用デバイスを仕事に 使用しているユーザー。

友人や家族にデバイスの使用を 許可しているユーザー。

YubiKey： 他のすべてのパスキープロバイダ のセキュリティの水準を上げる

企業がユーザーの日常生活からパスワード を排除しようとしている中で、YubiKeyは セキュリティを強化するためのシンプルで安全、 ポータブルな方法を提供できます。ユーザー はYubiKeyを使用してワークステーションを 認証し、パスキープロバイダ（プラットフォーム とサードパーティの両方）をロック解除して、 パスキーアプリケーションのセキュリティの 水準を上げることができます。

YubiKeyに常駐するデバイス固定パスキーは、 組み込みのFIDOアテステーションの基準に基 づいて秘密鍵がどのように管理されるかにつ いて、最高レベルの保証を提供します。YubiKey は、専用のセキュリティハードウェアモジュール 内に秘密鍵を格納して保護されていることを保 証します。他の形態のデバイス固定パスキーは、 秘密鍵のセキュリティと制御に関する情報を提 供するために、信頼性のより低いアプローチに 頼る必要があります。可視化された制御がない と、コンプライアンス規制や必要なセキュリティ 基準を満たすという企業のニーズを満たせない 可能性があります。

まとめ

企業におけるパスキーの考慮事項

パスキーによりFIDOに対応した世界が実現されますが、ユーザーアイデンティティの厳密 な管理を必要とする企業では、スマートフォン、ラップトップ、タブレットなどの汎用デバイス に常駐しているデバイス固定パスキーでは、組織のリスクを軽減することはできないかも知 れません。セキュリティキーに常駐するデバイス固定パスキーは、最高のセキュリティ保証 を提供し、最も強力なセキュリティ、最もシンプルなユーザーオンボーディング、認証情報/ アカウントの復旧をデバイスやプラットフォーム全体で実現し、業界全体の最も厳格な要件 に準拠するために必要な、信頼できる認証情報ライフサイクル管理とアテステーション機能 を企業に提供します。

• フィッシング耐性のあるユーザーを作るために、認証および認証情報管理のすべての領 域をサポートできる、フィッシング耐性のある認証方式を探しましょう。オンボーディング と復旧のフローは、フィッシング耐性が破られる一般的な領域です。このフローは魅力的 な攻撃ベクトルの対象となります。
• 多種多様なデバイスでは、アテステーションが不十分であったり存在しない場合があり ます。サービス/リライングパーティまたは企業は、どのタイプのデバイスが使用されたか、 オーセンティケータに信頼をおくことができるか、パスキーがどのように格納されている かを知ることもできません。企業は、ユーザーが使用するパスキーを信頼できることが 重要です。
• 最新のFIDOセキュリティキーに存在するようなパスキー認証情報は、スマートフォンの パスキーよりも高い保証レベルを提供します。スマートフォンのパスキーは低いセキュリ ティパスキーであり、AAL2までしか保証が提供されません。一方、セキュリティキーに存在 するパスキーでは、コンプライアンスを確保するために重要なAAL3保証（最高のオーセ ンティケータ保証であるレベル3）が提供されます。