近年不正ログインや不正アクセスによる情報漏洩等の被害は増加傾向であり、それらの多くはID/パスワードの盗難によるものです。このような状況を受け、2022年2月1日からはSalesforce製品において多要素認証が必須化されるなど、アプリケーションを利用する際に多要素認証が求められる機会が増加しています。
多要素認証とは、パスワード(知識情報)+ワンタイムパスワード(所持情報)など複数の要素を組み合わせて認証を行う仕組みです。
多要素認証とは?パスワードだけでは守りきれないクラウドのセキュリティ
多要素認証においても、引き続きパスワードに対して”長くて複雑な”、”サービス毎に異なる“ といった要件は付きまとい、認証の強度とユーザーの操作性がトレードオフになってしまいます。そこで、パスワードを利用せずに多要素認証を実現するパスワードレスの取り組みが注目を浴びています。
そのような状況の中、2021年10月に生体情報(指紋認証)+所持情報(USBトークン)の2要素によってパスワードレスでの認証を可能にするYubiKey Bioが販売開始となりました。
本稿ではYubiKey Bioを利用したパスワードレス体験をご紹介させていただきます。これから多要素認証の導入をお考えの方は是非ご参考にしていただけますと幸いです。
YubiKey Bioとは
そもそもYubiKeyとは何かと思われている方も多いのではないでしょうか。YubiKeyとはスウェーデンのYubico社が製造販売を行っているセキュリティキーのブランド名で、用途に合わせて様々な種類が用意されています。
YubiKey Bio(ユビキーバイオと読みます)は2021年10月5日に販売が開始された新しいセキュリティキーです。FIDO2やFIDO U2Fに対応したアプリケーションであれば、専用のアプリケーションのインストールなどをする必要がなく、認証要素として生体(指紋)が利用できます。この生体認証を行える点が他のYubico社のプロダクトとの最大の違いとなります。
インターフェースはUSB-AもしくはUSB-Cの2タイプ用意されており、利用する端末に合わせて選択することができます。
他のYubiKeyとの違い
前述の通り、Yubico社ではYubiKey Bio以外にもセキュリティキーを製造しています。代表的な製品との比較表を作成してみました。
|
YubiKey Bio |
YubiKey 5 シリーズ |
Security Key by Yubicoシリーズ |
対応インター |
USB-A,USB-C |
USB-A,USB-C,NFC,Lightning |
USB-A,USB-C,NFC |
対応 |
FIDO2,FIDO U2F |
FIDO2,FIDO U2F,Smart Card,OTP,OpenPGP |
FIDO2,FIDO U2F |
対応MFA方式 |
所持情報 生体情報 知識情報 |
所持情報 知識情報 |
所持情報 知識情報 |
価格 |
高 |
中 |
安 |
サイズ |
中 |
小/中 |
中 |
YubiKey Bioは、生体認証が利用できるものの対応プロトコルはFIDO2,FIDO U2Fに限られます。一方で生体認証が使えないYubiKey 5 シリーズは、インターフェースも対応プロトコルも豊富になっています。Security Key by Yubicoシリーズに関しては、機能が限られているものの安価です。三者三様で用途に合わせて使い分けることができます。
代表的な多要素認証のユースケースへの対応の整理も行いました。
|
YubiKey BIO |
YubiKey 5シリーズ |
Security Key by Yubicoシリーズ |
Active Directory環境下でのWindows ログイン |
× |
○ |
× |
Azure Active Directory環境下でのWindows ログイン |
○ |
○ |
○ |
OktaでのMFA(TOTP) |
× |
○ |
× |
OktaでのMFA(FIDO2) |
○ |
○ |
○ |
SFDCでのMFA |
○ |
○ |
○ |
対応プロトコルが豊富なため、YubiKey 5 シリーズはユースケースのカバー範囲が広いことがわかります。
YubiKey BioやSecurity Key by Yubicoシリーズは対応しているユースケース自体は少ないですが、OktaやAzure ADなど、IDaaSに対応しているため、IDaaS経由のSSOを設定することで、多くのアプリケーションで多要素認証を実現することが可能となります。
YubiKey Bioを利用したパスワードレス体験
YubiKey Bioを実際に利用して、代表的なユースケースでのパスワードレス体験を検証してみました。
初期設定
初回利用前に、YubiKey Bioへ利用する指紋を登録する必要があります。
Yubico社のWebサイトでは、3種類の方法が紹介されていますが今回はWindowsを利用した方法で指紋の登録を行いました。
Windowsの設定メニューを経由して、指紋を登録できますが、初回指紋を登録する前に、PINの登録が必要となりました。このPINは何らかの理由で指紋が利用できなくなった場合に変わりの認証要素(知識情報)として利用できます。
指紋の登録は画面に従ってタッチを繰り返します。スマートフォンでの登録に似ており非常に簡単に登録することができました。指紋は最大5つまで行え、複数の指を登録しておくことが推奨されています。
YubiKey Bioを利用したWindowsへのパスワードレスログオン
WindowsへのログオンにYubiKey Bioを利用して、パスワードレスログオンを試してみます。今回はWindows 10の端末を利用しています。
ログオン用のID(Azure AD上のID)に対して、YubiKeyの紐付けを行うことで、事前の設定は完了です。
その後、Windowsのログイン画面にて、YubiKey Bioを利用したログオンが行えるようになります。
Windowsへのパスワードレスログオン検証動画
操作は非常にシンプルで、パスワードのようにタイピングミスもありません。何回も繰り返し行うログイン作業を簡易化することができました。
YubiKey Bioを利用したOkta経由のパスワードレスSSO
OktaへのログインをYubiKey Bioにて行い、Oktaと連携しているアプリケーションに対してSSOを行ってみました。
今回は、AWSのマネジメントコンソールへのログインを行います。
まずはWindowsのときと同様、Oktaのアカウントに対して、YubiKey Bioを登録します。
その後、Oktaのログイン時にYubiKey Bioが利用可能となり、当然連携しているAWSに対してもSSOにてアクセスが可能になりました。
Okta経由のパスワードレスSSO検証動画
Oktaと連携しているサービスであればYubiKey Bioを利用したパスワードレス体験の恩恵を受けることができます。
まとめ
生体認証に対応したYubiKey Bioが販売開始となりましたので、他のYubiKeyとの違いの整理やYubiKey Bioを利用した検証を実施いたしました。
生体認証を利用できる特色はあるものの、YubiKey 5シリーズで対応しているいくつかの機能/ユースケースでは利用できないため、事前に利用目的を整理しておくことが大切です。
検証を通じてYubiKey Bioの大きなアドバンテージであると感じたことは、操作性の良さです。スマートフォンのロックが指紋や顔認証に変わり、利便性が向上したと感じる方は多いと思いますが、同じことをアプリケーションやOSのログイン時に体験することができます。セキュリティと利便性はトレードオフに語られることが多いですが、YubiKeyではセキュリティもユーザビリティも向上させることができました。
NRIセキュアでは、YubiKeyの製品販売だけでなく、導入プロセス全体での支援を行うこともできます。今回検証を行った用途だけでなく、お客様の環境に合わせた利用方法をご提案させていただくことも可能です。また、検証でも利用したOktaに関するサービスメニューも提供をしております。YubiKeyだけでなく、Oktaも含めてご興味を持たれたかたは、是非弊社までご相談下さい。