ISRは、FIDO Allianceのスポンサーメンバーです。

FIDO(ファイド:Fast IDentity Online) Allianceは、「Simpler Stronger authentication」という
従来のパスワードやユーザー名による認証に代わる生体認証などの新たな認証技術の普及をビジョンとして掲げており、
米国を中心にオンライン認証の強化を狙いとした新標準を確立する動きをリードしている団体です。
セキュリティベンダー、金融サービス、デバイスメーカー、通信など各事業の主要なプレーヤーが加盟企業として名を連ね、
「パスワードのいらない世界」の実現を目指した加盟企業は250社以上に上っています。

ISRは、FIDOスポンサー企業として、FIDOの進める認証仕様が日本で普及することを願い、
プロモーション活動を積極的に行うとともに、FIDO規格に準拠したサービスの開発にも力を入れ
2016年4月、弊社サービス「CloudGate UNO」がU2Fサーバーとしては日本国内初の、「FIDO Certified」認定を受けました。

FIDO Allianceのミッション

FIDO Allianceは認証技術の標準化に注力している非営利団体で、
主なミッションはFIDOが提唱する2つの新しい認証規格に関する技術白書の提供です。
公開された仕様に基づき、協賛企業がソフトウェアを開発し提供します。
FIDO対応製品は、FIDO Allianceに認定されると「FIDO Certified」とラべリングされて公開されます。
>FIDO Certified製品一覧はこちらで参照することができます。
※弊社サービス「CloudGate UNO」もこちらに掲載されております。

FIDO規格の2つのプロトコルの違いについて解説します。
いずれも認証をシンプルかつ強力にすることを狙いとし、
サーバー側と認証器(オーセンティケーター)側でFIDOにより仕様が定められています。

UAF (Universal Authentication Framework)

  • FIDO標準に対応した生体認証デバイス経由で、
    パスワードを使わず認証を行う
  • 利用者はデバイスに生体情報等を登録し、
    オンラインサービスにそのデバイスを登録すれば、デバイスでの認証だけでサービスにログインできる仕組み
UAFダイアグラム

U2F (Universal Second Factor)

  • FIDO標準に対応したデバイスを利用した2段階認証を行う
  • ユーザーID、パスワードありきの既存の認証方法に、2つ目の認証を追加する仕組み
UAFダイアグラム

FIDO Allianceの成り立ち

2009年 当時PayPalの最高情報セキュリティ責任者で、後にFIDOの代表に就任するマイケル・バレットの元に、
指紋認証技術を提供するValidity Sensors社の最高技術責任者が訪問。 バレットがFIDOの構想を抱く。
2012年 PayPal、Lenovo、 Nok Nok Labsなどの6社によってFIDO Alliance設立。
2013年 FIDO Alliance正式発足。
2014年 米Google、米PayPal、米Microsoft、米Amazon、米Dell、中国Alibaba グループなど各業界の最大手企業を始め、
加盟団体が150を突破 日本国内の企業でも弊社ISRや、株式会社ディー・ディー・エスがFIDOに加盟。
12月、「パスワード認証キラープロトコル」としてFIDO1.0仕様を公開。
2015年 GoogleやYubicoなどの31製品がFIDO1.0認定。 日本では株式会社NTTドコモがFIDOにボードメンバーとして加盟。
米国立標準技術研究所(NIST)、英U.K.'s Office of the Cabinet 各国政府もFIDOに加盟。
Strong Authentication -強固な認証の必要性-

FIDO認証により、『よりカンタンで強固な本人認証』が実現できます。
すでに、本人認証はパスワードだけでは企業の大切なデータは守れない時代になっています。
データ流出事故やサイバー攻撃は決して対岸の火事ではなく、明日にでも貴方の会社で起こるかもしれない身近な危険です。

事例:JPモルガンへのサイバー攻撃

2014年8月、米金融大手JPモルガン・チェースは米国の銀行に対する過去最大規模のサイバー攻撃を、
同行が後援するマラソンイベントのおかげで発見。
このサイバー攻撃の影響を受けた可能性がある顧客の数は約8,300万件にも上っていたことが判明

JPモルガンは、ハッカーについての詳しい情報を入手することができたので、顧客のパスワードや社会保障番号などの重要なデータがクラックされる前に対処し、被害規模を抑えることができた。
しかしながら7,600万人の個人と700万社の中小企業の顧客の名前や住所、電話番号、電子メールアドレスの情報が盗まれてしまった。

img_jpmogan

不正アクセス被害の手口

次の図表は最近の不正アクセスの傾向を示したものです。「パスワードの不正取得」および「クレジットカード情報の搾取」の被害を受けた手口の分析ですが、そこからさらに約70%が2次被害に合っています。 近年はRAMスクレーパーによる被害が増加傾向にあるほか、フィッシングによる被害も依然として高いことが分かります。

不正アクセス被害の手口 グラフ

(出典:Verizon Data Breach Investigations Report 2015)

安いコストでサイバー攻撃ができる

「サイバー攻撃」と言うと、専門の集団が大がかりな装置で大企業や政府機関のサーバーを狙うもの、というイメージがありましたが、現在は高い性能のコンピューターを個人のユーザーが格安で利用できる時代になっています。 攻撃者にとって、企業や団体で管理されている様々な情報、たとえば従業員の家族や住居、個人口座などのあらゆる個人情報、顧客名簿や取引先情報などは恰好の的です。つまり、大企業でなくとも、中小企業のサーバーで管理されている整理されたデータを盗むことが十分な収穫になってしまうのです。

安いコストでサイバー攻撃ができる イメージ

2015年6月に発覚した日本年金機構の情報流出事故を調査したカスペルスキー社の発表によると、日本年金機構と同種のサイバー攻撃の狙いは日本年金機構だけではなく日本全体であり、さらにすでに300以上の政府機関・企業がマルウェアに侵入されていることがわかっている、とあります。
2015年1月に公開されたIPAの「情報セキュリティ事象被害状況調査報告書」において確認できる、国内企業が遭遇したセキュリティ事故の被害状況(2013年度)の分析でも、ウイルスに「遭遇」(感染や発見)した企業は73.8%と高い数字となっています。
また、ウイルスに感染した企業では、感染件数が「5件以上」が37.9%と最も多く、全体的な傾向として、一旦感染するとその後複数回に渡り感染を経験することが分かります。

従業員規模別の傾向としては300人以上で43.3%、300人未満では67.9%と、小規模な企業でPC感染の割合が高い状況です。さらに従業員300人未満の企業における被害に内容について、情報の破壊や漏えい、ウイルスメールの発信、システム停止・性能低下を挙げた割合が300人以上の企業よりも高く、小規模な企業ほど被害状況が広範囲に及んでしまっています。

コストを掛けなくても豊かな国や企業を攻撃することが可能

安いコストで情報を守ることもできる

一般的に中小企業ではセキュリティ対策にかけられる費用が大企業に比べ限られる条件下にあります。
人間の心理的な隙やミスを狙ったサイバー攻撃に対し、運用でカバーするのは困難です。
そのうえ、大がかりな対策を施したとしても、未知の攻撃は防ぐことができないケースもあります。

一方で、新しい技術により、費用を膨大にかけることなく企業が身を守ることもできる時代になっています。重要なのは、「自分たちが攻撃の対象になりうる」「それから守るすべがある」という事実に気づき対策することです。

20年前は軍隊しか使えなかった暗号化技術が、低コストで実現。
個人から企業まで-FIDO U2対応キーが毎日の認証を変える-

FIDOのBoardメンバーでもあるYubico社は、2段階認証のハードウェアトークンキー「YubiKey」を販売する
米国の認証サービスリーディングプロバイダーです。
YubiKeyは、ドライバソフト不要のUSBデバイスで、PCやモバイルデバイスから瞬時に動作し、NFC認証、
ワンタイムパスワード認証、U2F認証など、企業や個人を問わず
インターネットサービスの利用に欠かせない強固な認証機能を低価格で実現します。

YubiKey製品の特長や使い方、機能詳細は以下よりご参照ください。

yubikey_products

YubiKeyは、既にGoogle社、Facebook社、Microsoft社、米国 国防総省など、
全世界120カ国以上、5万社、数百万個以上の売上実績のある2要素認証端末です。

>YubiKeyの導入企業はこちらのYubico社のサイトをお尋ねください。

ISRは、Yubico社と日本国内唯一の販売代理店契約を結んでおり、
Amazonにて販売を行っているほか、
CloudGateのU2F認証オプションに組み込み、
セキュリティを重視する企業様へのご提供とトータルサポートを行っております。

logo_yubico

YubiKeyを今すぐ使い始めたい!
 

G Suite(旧Google Apps)やOffice365などのクラウドサービスへの認証にYubiKeyを導入したい!

ページの先頭へ