メーカー公式代理店が解説
YubiKeyとは?
導入のメリットと概要を徹底解説
認証デバイス(YubiKey)
YubiKey(ユビキー)とは?
YubiKeyは、最もセキュリティレベルの高い多要素認証に使える機器である「セキュリティキー(ハードウェアトークン)」のひとつです。
YubiKeyの基本的な使い方はUSBポートに挿して触れるだけ。様々なOSで使用でき、専用ソフトウェアやドライバーは必要ありません。対応サービスは年々増加しており、次世代のセキュリティソリューションとして注目されています。
米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。
YubiKeyは米国とスウェーデンで製造されており、Google社、Meta(旧 Facebook)社、 Microsoft社、米国国防総省など、全世界160カ国以上に2,200万個以上の販売実績があります。
ガイドはこちら
YubiKeyの初心者向けガイド (1MB)
セキュリティキーとは?
セキュリティキーとは、パスワードを使用しない多要素認証(MFA)に対応する機器の総称です。
YubiKeyのような機器に挿入するタイプの他に、入室管理用のカードキーや、リストバンド型など、様々な機器がセキュリティキーと呼ばれています。
なぜセキュリティキーが必要なのでしょうか。
ハッキングによる侵害の80%はパスワードが原因とも言われ、パスワードの危険性は広く知られるところです。
これまでクラウドサービスのセキュリティ対策としては二段階認証が広く用いられていました。しかし、秘密の質問など「知識情報」のみ用いる場合には本質的にはパスワードのみのセキュリティと変わらず、脆弱です。
最近では、パスワードと合わせてSMSや電子メールコードを使用する「多要素認証(MFA)」の使用も一般的になっています。 これらの認証方法は知識情報のみでの認証より安全ですが、それでもフィッシング攻撃の対策として十分ではありません。
そこで、機器の「所持情報」や本人の「生体情報」を用いたパスワードを使わないセキュリティソリューションが求められました。セキュリティキーはこのニーズに対応して生まれました。
パスワードレス認証について詳しく知る多要素認証(MFA)について詳しく知る多要素認証(MFA)の種類
多要素認証+公開鍵暗号方式
(パスキー)
本人しか持っていない・知っていない
“機器などの所持情報”
“PINなどの知識情報”
“顔や指紋などの生体情報”
のうち2つ以上の情報をかけ合わせる
二要素認証(2FA)
パスワード + アプリやSMSでのワンタイムパスワード
ニ段階認証
パスワード + 秘密の質問など
ニ段階認証の弱点
二段階認証はどの要素を使うかどうかに関わらず、2回に分けた認証を行う方式のため、単一要素でも認証が完結できます。つまり、知識情報であるパスワードを2度入力するだけでも二段階認証として成立するので、セキュリティ強度が高いとは言えません。
FIDO2でない多要素認証(二要素)の弱点
SMS通知やワンタイムパスワードを発行するアプリによる多要素認証の場合、確かに「知識情報」とは別に「所持情報」を確認してログインをしているため、さきほどの「知識情報」だけによる二段階認証と比較すると多少セキュリティは高くなります。しかし、フィッシング耐性は低いままです。攻撃者が偽サイトを用意すれば、被害者にパスワードとワンタイムパスワードを入力させることは難しくありません。
セキュリティキーを含むパスキーの強み
セキュリティキーを含むパスキーを使用した認証は、あらかじめ登録された認証器により多要素認証を用いて本人検証を行います。生体認証やPINなどでの本人検証は認証器の中にだけ情報があるため、秘密鍵などの情報はネットワーク上に一切流出しません。
具体的には、認証器による本人検証に成功すると認証サーバーからのチャレンジに対して認証器固有の秘密鍵で署名を行い、認証サーバーに返信し、認証サーバーは予め登録されていた公開鍵で署名の検証を行うことで認証を行います。これにより、秘密鍵がネットワーク上に流れることはありません。署名されたチャレンジは再利用ができず、さらに認証情報の改ざんも難しいため、フィッシングを含む中間者攻撃に対して強い耐性があります。
米国・スウェーデンに本拠地を置くYubico(ユビコ)社が製造するYubiKeyは、FIDO2をはじめとした最新型からTOTPなど従来型の認証プロトコルまで対応しており、1回のタップで強力な二要素認証、多要素認証、パスワードレス認証を実現します。
FIDO2について詳しく知るセキュリティキーのメリット(YubiKeyの場合)
前述の通り、FIDO2を満たす多要素認証にはセキュリティキー以外にも様々な認証方式があります。
その中で、セキュリティキーを選ぶ理由は以下が挙げられます。
高レベルかつ柔軟なセキュリティ強化
FIDO2対応の高セキュリティ
業界最新・最高峰のFIDO2規格に対応しており、
セキュリティリスクを低減します。
一部の部署からセキュリティ向上をスタート
機密情報や個人情報を取り扱う研究所や部門のセキュリティ強化に対応します。
ログイン強度を全社で統一
子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化に最適です。
フィッシング耐性
端末とセキュリティキーの間で情報のやりとりが完結するため、高いフィッシング耐性があります。
スマートフォンが利用できない環境に対応
コールセンターや顧客先常駐などスマートフォンを利用できない環境下での認証強化が可能です。
共有端末へのログイン強化
複数人で共有端末を利用するコールセンターや店舗の認証強化、派遣やアルバイトなど社員の入れ替わりが多い店舗端末の認証強化にご活用いただいています。
優れたハードウェア設計
紛失してもセキュリティ漏洩低リスク
高い耐タンパー性を有しており、紛失したとしてもリバースエンジニアリングによるセキュリティリスクが低いです。
低単価
同じくFIDO2認証を導入できるスマートフォンなどの認証デバイスに比べて低単価です。
様々なインターフェースに対応
YubiKeyの場合、USB Type-A、USB Type-C、NFC、Apple Lightningに対応しています。
耐久性・耐水性
YubiKeyは衝撃に強く、水没しても故障しづらいため、工場などの現場にも最適です。
電池切れによる買い替え不要
劣化による買い替えも数年単位ではほぼ必要ありません。
安全かつ幅広い利用範囲
キーはキーボードやマウスと同様の扱いとなりメモリ領域と認識されません。例えば、PCやスマートフォン端末の故障時にも、別端末で仕事が可能です。
SSO(シングルサインオン)サービスとの連携
セキュリティキーはSSOサービスと連携することで、認証をより強固かつ便利にします。 パスワードに加えてYubiKeyを使った多要素認証を行うことでフィッシング攻撃やクレデンシャルスタッフィング、アカウント乗っ取りなどのリスクを低減し、ユーザーからサービスまでエンドツーエンドで強固なセキュリティを実現できます。 また、ユーザーにとってはパスワード管理の手間がなくなり、ログインミスによるアカウントロックでの時間ロスがなくなります。
弊社のSSOサービス「CloudGate UNO」ではセキュリティキーに対応しており、お客様全社規模の導入もご支援しております。
シングルサインオン(SSO:Single Sign On)認証とは?仕組みとメリットをSSO専門家が解説 CloudGate UNOでSalesforceの多要素認証(MFA)
必須化に対応する
YubiKey製造元のYubico(ユビコ)社とは?
「Yubico(ユビコ)」は2007年にスウェーデンストックホルムで設立されました。創業以来 、160カ国以上に2,200 万個以上の YubiKey を販売し、セキュリティキー業界では最大手のメーカーです。2003年にストックホルムの Nasdaq First North Growth Market に上場しました。 本社は米国カリフォルニアとスウェーデンストックホルム両国に置き、YubiKeyの製造工場も両国に備えています。 業界標準のセキュリティ規格の策定に尽力しており、FIDO2規格の策定にも中核的な役割を果たしています。
他社セキュリティキーとの違い
セキュリティキーはYubico社の「YubiKey」のほかに、AuthenTrend社の「ATKey.Pro」、Swissbit社の「iShield Key」が有名です。
YubiKey
メーカー:Yubico
本社:スウェーデン/アメリカ
主な特徴
- 所持+知識のニ要素認証 (PIN入力→タッチで利用)
- 所持+生体(指紋認証版)
- 堅牢性と防水性が高い
- 最多のインターフェース
- 業界最大手
ATKey.Pro
メーカー:AuthenTrend
本社:台湾
主な特徴
- 所持+生体のニ要素認証
- 安価に指紋認証が可能
- 小サイズで邪魔にならない
- 比較的安価で調達しやすい
- 納入後ファームウェアのアップグレードが可能
iShield Key
メーカー:Swissbit
本社:スイス
主な特徴
- 所持+知識のニ要素認証(PIN入力→タッチで利用)
- 堅牢性と防水性は最も高い
- 比較的安価で調達しやすい
各社FIDO2を満たしており、セキュリティレベルに差はありません。 エンタープライズ企業での選定に際しては、デバイスの特徴以上に調達方法や実績、ファームウェアアップデート時の管理方法などを考慮する必要があるでしょう。
YubiKeyを選ぶ利点
- パイオニア的存在であり豊富な実績
- 豊富なラインナップ
- 米国連邦情報処理規格(FIPS)に対応
私たちISRは、初期コストの低減、効率的な導入、長期の運用支援をサポートする
YubiKeyサブスクリプションサービス「YubiKey as a Service」を提供しております。
YubiKeyのご利用シーン
弊社セキュリティスペシャリストが特にお勧めする利用シーンをご提案します。
「リモートワーク」「共有PCを利用する全員」のセキュリティレベルを統一。認証器の紛失リスクと認証器の購入費用を低減
エンタープライズ企業やコールセンターでスマートフォンやPCを用いた多要素認証を実現しようとすると、多額の投資が必要になり、かつ機器紛失や故障に対しての金額・セキュリティリスクが高まります。YubiKeyであればスマートフォンよりも安価であり、たとえ紛失したとしてもセキュリティリスクは低いため、子会社、協力会社、派遣社員などスマートフォンを配布できない社員の認証強化として最適です。
特権ID管理のリスク対策に最適。セキュリティアップデートが難しい部署・役職も迅速に認証プロセスをアップデート
行政機関やファイナンシャルサービスなどの管理者クラス・専門部署はセキュリティリスクへの対応が急務であるにも関わらず、使用機器の制限があり、認証プロセスのアップデートは難しいものです。YubiKeyは導入が簡単で、かつ様々なインターフェースに対応しているため、迅速に認証プロセスを最高レベルまで高めることができます。
スマートフォンの利用制限エリア内での認証プロトコルを構築
スマートフォンの利用制限があるデータセンター、プラント、コールセンターなどでもYubiKeyを導入することにより、FIDO2を満たす認証プロトコルを構築可能です。
また、YubiKeyは堅牢性・防水性に優れるため現場での作業にも耐え、認証器故障によるダウンタイムを最小限にします。
YubiKeyの製品ラインナップ
YubiKeyには複数のタイプがあり、対応するセキュリティプロトコル、インターフェースが異なります。
使用環境により最適な機種が異なるため、弊社までご相談ください。
商品名 | YubiKey 5 NFC | YubiKey 5C NFC | YubiKey 5Ci | YubiKey 5C | YubiKey 5 Nano | YubiKey 5C Nano |
---|---|---|---|---|---|---|
インターフェイス | USB-A | USB-C | USB-C/Lightning | USB-C | USB-A | USB-C |
NFC対応 | ||||||
FIDO2対応 | ||||||
OTP,PIV対応 |
商品名 | Security Key NFC by Yubico | Security Key C NFC by Yubico | YubiKey Bio (FIDO Edition) | YubiKey C Bio (FIDO Edition) |
---|---|---|---|---|
インターフェイス | USB-A | USB-C | USB-A | USB-C |
NFC対応 | ||||
FIDO2対応 | ||||
OTP,PIV対応 |
YubiKeyの価格については、弊社もしくは販売店様までお問い合わせください。
YubiKey導入のハードルと解決方法
操作が簡単なYubiKeyですが、多くのユーザーに導入する際にはいくつかハードルがあります。
初期設定に工数が必要
特にPINを設定する作業において、多数のユーザーにPIN設定を任せることは避けるべきです。 社内で初期設定を行う場合、かなりの工数が必要になります。
初期設定を代行する販売代理店と契約
弊社ではPINの初期設定を代行しております。 全ての販売代理店が初期設定を代行できるわけではないため、YubiKeyの購入先が初期設計を代行できるかご確認ください。
初期費用
スマートフォンなどに比べ安価とはいえ、デバイス購入の初期費用はハードルとなります。
サブスクリプション型での購入
初期費用を抑えるには、一部署からの導入か、サブスクリプション型での購入をおすすめします。
弊社では初期費用を抑えるサブスクリプションサービス「YubiKey as a Service」を日本で唯一提供しております。
ユーザートレーニング・運用中の疑問解消
YubiKeyの運用に慣れていないユーザーに運用方法を周知するには、工数と専門知識が必要です。
スペシャリストへのサポート依頼
経験豊富なスペシャリストへの質問やオリエンテーションの依頼を検討してください。スペシャリストにはYubiKeyのみの知識だけでなく、SSOなどのYubiKeyの連携先に関する深い知識が必要です。特にCloudGate UNOとの連携には弊社へお問い合わせください。
YubiKeyの購入方法
YubiKeyの導入方法は、サブスクリプション型での購入と、買い切り方式があります。
販売代理店を通じた買い切り
弊社をはじめとした販売代理店から買い切りで、必要な分のYubiKeyを購入する形です。
デメリットとして、買い切りのため、YubiKeyのファームウェアのアップデートや、導入時とは異なる種類のタイプへの変更に対して代理店は対応していないケースがあります。
弊社では買い切りでのYubiKey販売も対応しておりますので、お気軽にお問い合わせください。