お問い合わせ

YubiKeyと多要素認証

2020年03月04日

YubiKeyと多要素認証

この記事ではYubiKeyと多要素認証、最近よく聞く2段階認証などについてまとめて解説を行っていきます。初歩の初歩から認証の入り口までを記事としてまとめました。

目次

多要素認証とは何か?

多要素認証(Multi-Factor Authentication)は多要素という通り、ひとつの要素だけでなく、形態の違ういくつかの要素でアクセス権限の認証を行うことです。

多要素認証の要素自体はどこかの公的団体で管理されている訳ではなく、さまざまに独自に拡張されていて今後も増える可能性があります。

多要素認証が必要となったのは、インターネットの普及によってハッキングや情報流出が多数発生し、これを防御するために複数の認証情報が必要となってきました。

特にIDとパスワードだけでログインが可能なインターネットサービスはハッキングされやすく、パスワードの代わりに他要素を用いる方法がより安全とされています。YubiKeyもその一つです。

セキュリティを高めるため業界全体でFIDOをはじめとしてパスワードをなくしていく方向にむかっています。

それでは一般的な多要素を順に解説していきましょう。

知っている要素(知識情報)

ID、パスワード、メールアドレス、秘密の質問など、クレジットカード番号など自分が知っている情報です。知っている要素は本人が設定して、本人の記憶に頼るためインターネットさえ経由しなければ本来は強固な認証方法です(しかし忘れてしまうと他の方法で認証する必要があります)。

クラウドやインターネットサービスなどで一般的に利用しますが、サーバからの情報流出、総当たりアタックなど、危険性が指摘され、実際に被害も起きています。

これに対抗するためにVPN(バーチャルプライベートネットワーク)などネットワークを制限してのアクセスやパスワードの長文化・記号の挿入、ログイン失敗の回数制限などが用いられていますが、インターネットに接続している以上、ハッキングの可能性はあり、ハッカーによる攻撃の多様化で、実際の被害も拡大して来ています。IDやパスワードのみでの運用は今後できるだけ避ける方針を各サービス、各ソリューション共に対応して来ています。銀行のようにネットでの取引はこれだけで出来ないようにポリシーを設定している金融機関も増えています。

ワンタイムパスワードであっても、メールアドレスにそれが記載されている場合は知っている要素に含まれます。

Windows10やスマートフォンで用いられるPINコード(4桁から16桁程度の数字)も知っている要素と言えますが、そのパソコンやスマートフォンの端末の中に保存されているため「知っている要素」と「持っている要素=端末」の中間と言えます。ただし、パソコンやスマートフォン自体がハッキングされてしまえば、PINコードとは関係なくデータは流出します。

持っている要素(所持情報)

持っている要素は多岐に渡ります。YubiKeyなどのハードウェアセキュリティキー 。ワンタイムパスワード発生装置。スマートフォンなどの機器、また電話番号やSMS、乱数カード、磁気・ICなどのカードがこれにあたります。

ネットの認証で一般に使われるのはハードウェアセキュリティキーやワンタイムパスワード、スマートフォンなどの機器でコンピュータと別に認証を行う専用のアプリ(Google AuthenticatorやMicrosoft Authentitor)、SMS認証などです。

専用のアプリだと関連するサービスにしか利用出来ない場合があり、ワンタイムパスワードもそれぞれサービスによって異なったものを利用する必要がある場合があります。

備わっている要素(生体情報)

個人がそれぞれ固有に備えていて異なっている要素で認識します。現在は生体認証として指紋、虹彩(目の中心部)、網膜、顔、手のひらの静脈、などが実用化されています。スマートフォンなどでは指紋や顔、虹彩といった認証が一般的に利用されています。複製も困難ですし、セキュリティも高いですが、個人それぞれが違う=究極のプライバシー情報とも言え、端末の外側に情報が漏れないよう細心の注意が必要となります。

地理的要素(位置情報)

GPSやIPアドレスなどでアクセス認証を行う方法です。認証ではありませんがネットサービスやクレジットカードの異常を検知する場合に用いられます。通常ユーザーがいるはずのない場所からアクセスを行った時に通知を行い、不正アクセスが発見されることがあります。

しかし位置情報は偽装可能ですし、常時接続しているスマートフォンでの位置情報はプライバシー情報でもあります。スマートフォンのほとんどを占めるAndroidでもiOSでも位置情報や各種プライバシー情報の管理を強力にユーザーに告知しています。

社用車や法人車であれば位置情報と認証を組み合わせることが可能でしょうが、ユーザーや通常のワーカーにとって認証に位置情報を利用することは少ないだろうと予想されます。

ミニ解説ーSMS認証の危険性

現在スマートフォンが普及し、ほとんどの人々が電話番号を持ち、SMSを利用できます。そこで最も利用されている多要素認証の一つがSMSでの認証番号通知や、URLを送付・アクセスして認証する方法です。

しかしSMS認証はいくつかの点で危険です。

まずSMSでフィッシュング詐欺が頻繁に行われてしまっていることです。SMSで番号が分かっていて対応サービスを利用していると、ついアクセスしてしまい、IDやパスワードが漏洩する被害が発生しています。(現に筆者のSMSにも身に覚えのないAppleや銀行からのパスワードが漏洩したので再設定してくださいというSMSが来ますが、よく見ると偽装されたURLでした)

もういくつかあります。SMSの番号自体がSIMをシュミレートして正式なキャリアからのものに見える手法が発覚しました。こうなってしまうと加入しているキャリアからの通知が信用できなくなり、今後さまざまなサービスで認証リスクが発生する可能性が高いです。もちろんスマートフォンがハッキングされている場合もお手上げです。

AppleやGoogleもSMSをより安全にするため新しい規格などを検討していますが、手軽な認証方法である反面、既に分かっている複数の危険性があるのも事実です。

YubiKeyは強力な2段階認証で多くのプラットフォームに対応

YubiKeyはFIDO U2F(Universal 2nd Factor 汎用2段階)に対応しているサービスであればIDとパスワードにプラスして強力な2段階認証を行うことができます(Yubico社ウェブでStrong 2FA Authenticatonと書いてあります)。FIDOが使えなくても、ワンタイムパスワードの生成やチャレンジレスポンス型も可能です。

またUSB、Lightning、NFCがそれぞれ利用できるため、PC、タブレット、スマートフォンで同じサービスへの2段階認証を行うことが出来ます。とは言えYubiKey紛失に備えて、別のYubiKeyを登録してバックアップとして大事な場所に保管する、他要素での認証も可能にする、などの処置をしておかないと最低でも利用してるクラウドなどに壮大に公的書類を提出するなどして本人確認をされて2FA解除のお願いをしないと(それをすれば2FAを解除してくれるのか、試したことがないので分かりませんが)その間、確実にサービス利用ができないことになります。

画像

一つのYubiKeyで様々なOSに相互に対応

ミニ解説ー生体認証は安全か?

先に述べたように指紋や顔などの生体情報による認証、生体認証は非常にセキュリティが高く現在では複製やハッキングが難しい認証方法です。

iPhoneなどのFace IDやTouch ID、Androidも同様にスマートフォンの生体認証は速度や精度もかなり上がってきています。

しかし企業で従業員やパートタイマーなど、企業との雇用関係がいつ終了するかわからない、あるいは生体認証デバイスの管理権が従業員側にない場合はどうでしょうか?

雇用契約書に生体認証情報の取り扱いや社内利用デバイスの保証などについて、一般的に記載はないでしょう。個人として保有しているデバイス、金融口座などは生体認証の利用に抵抗感はないかもしれませんが、業務が特別に秘匿性の高いものでない限り、会社に生体情報を預けるのは不安があります。筆者は自分自身で管理できない限り断ります(消去や破棄ができるかも含め)。

生体認証技術は何をどこまで信用するのか、が安心のポイントかも知れません。もし企業の役員や絶対に秘匿しなければならない情報を守るためなら抵抗感も減るかも知れません。がそうでない場合、企業や組織が究極のプライバシー情報の一つである生体情報をどのように管理し、破棄するのか。自分自身の管理下、コントロール可能かどうかは今後も議論の対象になると思います。

認証の安全性とリスクのトレードオフ

ここまで多要素認証の要素、IDとパスワードに加えて2段階認証する例などを見て来ました。また近年はSMS認証が危険とされて来ていることも解説しました。

ここで一旦、少し話を変更して認証セキュリティそのものの話をします。

例えばYubiKeyー持っている要素による認証は強力ですが、それだけに「紛失」すると2段階認証が必要なときにかなり困ります。非常事態ですのでその時だけはSMS認証でも良いかも知れません(先述のように他の要素を足しておかないと仕事、作業が停止、最悪の場合データアクセスできなくなります)。そこで筆者はYubiKeyにプラスしてもう一つの方法としてスマートフォンのアプリによるワンタイムパスワードを予備に利用しています。筆者が利用しているアプリはAuthyです。ですが実際には結構、地道な作業でしてクラウドやネットサービスの発行するQRコードを読み込んでアカウントを登録、2段階認証の時はアプリを起動して時間制限のあるワンタイムパスワードを入力します。これを自分が利用しているサービスのアカウント、クラウド毎に行うと筆者は80ほどになりました(筆者は多すぎですが通常でもかなりの数のパスワードを管理していると思います)。利用しているアプリはこれは好みの問題かと思いますがAuthyを使う理由は対応サービスのQRコードを読み込んだアカウント情報がAuthyのクラウド上に保管されるからです。最悪、YubiKeyが紛失して、スマートフォンが粉々になったとしても(かなり極端な仮定ですが、ないとは言えません)Authyのログイン情報を持っていれば真新しいスマホでも80の(一般的な数ではないと思いますよ)2段階認証がクリアでき、新しいYubiKeyも追加出来ます。

そろそろお気づきのことかと思いますが。。。筆者の体験は一つの企業でかなり権限を与えられ、また個人的なサービスは自分で管理したい(またはできる)という場合に必要な手間です。

もしもこれが会社、学校、各組織の業務、作業、活動用システムで行っていたら筆者は各社員、メンバーにそれぞれ教育し、実行させる自信はかけらもありません。

認証の安全性が高い=セキュリティが強い、状態を実現するには他にG Suite、Office365などの管理者が社内にいる場合、一括して行うことが出来ます(そういえば大きな大学で2段階認証を取り入れなかったことから約1万人!!のOffice 365が不正アクセスされた事件もありました。。。)。別記事で解説しますが一般企業でもちろん新しいセキュリティの方法を全面的に取り入れられれば良いのでしょうが、全ての業種、部署、部門で徹底するのは難しいものがあります。

コスト、運用的に新しい管理方法が可能なのか、部署やアクセス権限、情報保護の重要性でそれぞれの対応を変えるのか、大抵の場合、ネットワーク、サービス、システムを連動してセキュリティを高めることでユーザーとしの利便性は高まります。

ですが、それぞれに緊急時の多要素でのアクセス方法を確保し、問題発生時に即座に対応するのはかなりの管理者の負担ともなるでしょう。筆者のように自身で管理可能な会社システムと個人認証を自分の裁量で任されていて、実行できれば良いのですが、この辺りの管理をしなければならないとすると別の管理のためのソリューションも導入しなければならなくなるのでしょう(これも別記事で取り上げたいと考えています)。

YubiKeyは管理者としてもユーザーとしても利用しやすいものです。ですがバックアップなどを考えるとクラウド側の対応が必要となります。別記事で取り上げましたが、日本のクラウド、ソリューション製品では、串刺した管理や効率的な管理製品はまだ少ないです。また欧米の製品に比べ「 日本のクラウドサービスに対応しているものもある)利点はあるのですが、反面こなれていない、そもそも製品が少ない、というのは否めません。YubiKeyその他多要素の認証管理や運用を楽にし、技術的にも問題ないソリューションはないので逆にさまざまな開発会社、システム会社にとってはこの市場はチャンスに満ち溢れていると思います。なので皆さまYubiKeyもチャンスに満ち溢れているので開発に関わってください。

可能なセキュリティを日本企業もきちんと考えてください。というところで唐突にしめたいと思います。ハイ。

ちなみに追加情報ですが、実はYubico社も近くWindows Hello対応の生体認証YubiKeyを発表する予定です。本記事では少し生体認証製品を安心か?と検討していますが、YubicoがYubiKey同様、どれぐらいの手間がシンプルでデータの保管の仕方が他社と異なっているのか、安心感はあるのか、いちユーザーとしても期待しています。

そしてこの先もYubico社に限らず新しい認証技術は続々と進化していくでしょう。

Windows10/Windows Hello対応のYubico社初の生体認証製品 YubiKey Bio(発売予定製品のプレビュー)

Windows10/Windows Hello対応のYubico社初の生体認証製品 YubiKey Bio(発売予定製品のプレビュー)

Yubico Reveals First Biometric YubiKey at Microsoft Ignite | Yubico
https://www.yubico.com/2019/11/yubico-reveals-first-biometric-yubikey-at-microsoft-ignite/

サマリー

記事作成者:飯嶋徹(IINAlab)