今日、急速な移り変わりを遂げるデジタル世界について、サイバー攻撃の脅威はこれまでになく懸念される事項となっています。米国土安全保障省の一部門であるCISA(Certified Information Systems Auditor)によれば、2020年の全米のサイバー犯罪の全体的な金額的損失は年間約2,430億ドルに及び、最も大胆な予測では毎年1兆ドル以上の損失に上っています。その結果、ITマネージャーとビジネスオーナーはネットワーク環境の安全を確保し、組織の機密データをサイバー攻撃から保護する必要性に益々迫られています。これらのリスクを軽減する効果的な方法の1つがセキュリティキーの使用です。
この記事ではセキュリティキーと関連用語の包括的なガイドを提供し、ITプロフェッショナルがサイバー脅威からネットワーク環境を保護するために知っておくべき主な概念と用語について説明します。以下の点を取り上げます。
- セキュリティキーを理解する
- セキュリティキーの主な機能
- 認証の重要性
- 2要素認証(2FA)の定義と利点
- 認証発行のプロセスおよび有効化
- セキュアソケットレイヤー(Secure Socket Layer : SSL)/トランスポートレイヤーセキュリティ(Transport Layer Security : TLS)
- ハードウェアセキュリティキー(USB、NFC、Bluetooth®)の種類
- デバイスとプラットフォームとの互換性
- セキュリティ証明書と規格
- 主な管理方法
- セキュリティ用語集
この記事を読み終えるまでには、セキュリティキーに関連する主な用語と概念を理解し、ネットワーク環境をサイバー攻撃から保護する方法について情報に基づいた決定を行うために必要とされる知識を身に付けることができるでしょう。
セキュリティキーを理解する
セキュリティキーは包括的なサイバーセキュリティ戦略にとって重要です。 セキュリティキーは、コンピュータシステム、ネットワークまたはデータへのアクセスを認証、承認するために使用されます。セキュリティキーは承認されたユーザーのみがデータにアクセスできるようにすることで、サーバーの脅威や攻撃から機密情報を保護することにおいて重要な役割を担っています。これらのキーには物理セキュリティキーからソフトウェアベースのソリューションまで様々な形式があります。
通常、ソフトウェアベースのセキュリティキーはデバイスのオペレーティングシステム、ウェブブラウザー等のソフトウェアに組み込まれています。これらのキーは物理的なセキュリティキーより便利な点もありますが、マルウェア等の悪意のあるソフトウェアの侵入を受ける可能性があるためサイバー攻撃に対して脆弱性があります。
一方、物理的なセキュリティキーは通常はコンピュータのUSBポートに接続する小型のUSBデバイスで、認証と承認を1段階加えるソリューションです。物理的なセキュリティキーはフィッシング攻撃等のソーシャルエンジニアリング攻撃に対する脆弱性がなく、サイバー攻撃に対する高い安全性と耐性を備えています。しかし、物理的なセキュリティキーは紛失したり盗難に遭うリスクがあり、追加のハードウェアが必要です。
セキュリティキーの主な機能
セキュリティキーは主に、暗号化、認証、承認の3つの機能を実行するために使用されます。暗号化は情報を読み取り不可能な形式に変換し、承認を受けたユーザーのみがデータにアクセスできるようにするプロセスです。認証は、通常、パスワードや指紋等の生体認証によりユーザーまたはデバイスの認証を行います。承認は、ユーザーまたはデバイスのシステムまたはネットワークに対するアクセスのレベルを判定し、承認を受けたユーザーのみが特定のアクションを実行したり特定のデータにアクセスしたりすることができるようにします。
認証の重要性
認証はサイバー戦略の重要な要素で、承認を受けたユーザーのみが確実にデータにアクセスできるようにします。適切な認証が行われなければ、サイバー犯罪者が機密情報にアクセスし、組織に重大な損害をもたらす原因となります。パスワード、生体認証、セキュリティキーなど、様々な認証方法があります。
2要素認証(2FA)の定義と利点
2要素認証(2FA)は、システムまたはネットワークへのアクセスを許可する前に2種類の明確な認証を要求する認証方法です。この方法はアクセスの許可に2つの個別の情報を要求するため、1要素認証に比べ安全性の高い認証方法です。2要素認証には、セキュリティの強化、データ侵害やサーバー攻撃のリスク低減、ユーザーの信頼向上等の利点があります。
認証発行のプロセスおよび有効化
証明書の発行と有効化は組織のサイバーセキュリティ対策において重要です。証明書を発行する目的は、個人または組織宛てに電子証明書を発行し、認証を行って信頼性を確立することです。有効化は、証明書が有効で改ざんまたは侵害されていないことを検証します。
セキュアソケットレイヤー(Secure Socket Layer : SSL)/トランスポートレイヤーセキュリティ(Transport Layer Security : TLS)
セキュアソケットレイヤー(SSL)とトランスポートレイヤーセキュリティ(TLS)は、インターネット上で安全な通信を提供するために広く使用されている2つの暗号化プロトコルです。これらのプロトコルを使用してデータを暗号化し、承認を受けたユーザーのみがデータにアクセスできるようにします。
ハードウェアセキュリティキー(USB、NFC、Bluetooth®)の種類
ハードウェアセキュリティキーは、一段階上の認証と承認を可能にする物理デバイスです。USB、NFC、Bluetooth® 等の様々な種類のハードウェアセキュリティキーがあります。これらのキーはフィッシング攻撃等のソーシャルエンジニアリング攻撃に対する脆弱性がなく、サイバー攻撃に対する高い安全性と耐性を備えています。
デバイスとプラットフォームとの互換性
互換性はセキュリティキーを選ぶ際の重要な検討点です。様々なデバイスやプラットフォームに対応する多種のセキュリティキーがあるため、組織のシステムやデバイスと互換性があるキーを選ぶことが大切です。
セキュリティ証明書と規格
セキュリティ証明書と規格はセキュリティキーの安全性と信頼性の確認において不可欠です。FIDO2™、FIPS、コモンクライテリア(CC)等の様々なセキュリティ証明書と規格があります。これらの証明書と規格により、組織は、使用しているセキュリティキーがセキュリティと信頼性の業界標準に準拠していることを確信することができます。
主な管理方法
組織の機密情報を保護するために、キーの効果的な管理方法と手順が不可欠です。バックアップとリカバリの戦略、キーローテーション、キーの失効手続きはキー管理の不可欠な要素で、サイバー脅威を軽減し、機密情報のセキュリティを確保するために実装する必要があります。
セキュリティ用語集
セキュリティキーに関する技術用語の理解を深めるために主な用語と定義を以下にまとめました。
認証: セキュリティキーがリライング・パーティー(ウェブサイト、サービスなど)に認証の証明を提供するプロセス。認証により、セキュリティキーが本物であり、危険のあるデバイスまたは偽物のデバイスではないことが保証される。
認証機器アタッチメント: セキュリティキーをクライアント・デバイスに接続する際に使用される物理的な接続方法。一般的なアタッチメントには、USB、NFC(Near Field Communication)、Bluetooth® 等がある。
資格情報: 認証に使用される電子的なユーザーID。通常FIDO® セキュリティキーの資格情報は登録プロセス中に生成される公開鍵と秘密鍵の組み合わせを指す。
CTAPとCTAP2: Client-to-Authenticator Protocolの略語。クライアントデバイス(コンピュータ、スマートフォンなど)と認証機器(セキュリティキー)の間の通信に使用されるプロトコル。CTAPは登録と認証のプロセスを円滑にし、安全で信頼性の高い通信を可能にする。 CTAP2(Client to authenticatorプロトコル)は、認証器とFIDO2が有効になっているブラウザーやOSとのデバイス間通信を確保することで、パスワードレスの2要素認証または多要素認証を可能にするプロトコル。
FIDO: Fast Identity Onlineの略語。強力なパスワードレス認証を提供するためにFIDOアライアンスにより開発されたオープン認証標準。 FIDOは、パスワードのみのログインから、指紋、顏認証、セキュリティキーまたは音声を介したウェブサイトやアプリ上の安全で迅速なログインへの変更を可能にする。
FIDOアライアンス: 共同してFIDO2を含むオープン認証標準を開発および推進する主要ITテクノロジー企業や組織で構成される共同事業体。
FIDO2(FAST IDENTITY ONLINE2): ウェブ認証(WebAuthn)やClient‐to‐Authenticator Protocol(CTAP)を含む第2世代のFIDO標準。FIDO2はパスワードレス認証を可能にし、様々なプラットフォームやブラウザーに対応している。 指紋リーダーまたはカメラを使用して、安全なパスワードレス認証を可能にする。
公開鍵暗号方式: 数値計算により関連付けられた公開鍵と秘密鍵の組み合わせを利用した暗号化方式。公開鍵は一般に公開されるが、秘密鍵は公開されない。FIDOのセキュリティキーは公開鍵暗号化方式を使用してユーザーの安全な認証を行う。
リライング・パーティー: FIDOに基づく認証によりユーザーの認証を行う実体(ウェブサイト、サービス等)。リライング・パーティーは認証の過程でセキュリティキーと情報のやり取りをする。
レジデントキー: セキュリティキーに保存された資格情報の一種で、ユーザーは別のデバイスまたはサーバーに依存することなく認証することができる。レジデントキーは特にオフラインまたはリモートの状況で役立つ。
ローミング認証器: 複数のデバイスまたはプラットフォームで使用できるセキュリティキー。ユーザーはローミング認証器により一つのセキュリティキーを様々なデバイスの認証に使用できる。
セキュリティキー: FIDOベースの認証に使用される多くはUSBドングル形式の物理デバイス。セキュリティキーには暗号化キー等があり、暗号化を実行してユーザーの安全な認証を行う。
自己認証: セキュリティキーが外部の認証機関に拠らずに認証情報を提供する際に使用する方法。通常、自己認証は簡易で低コストのセキュリティキーモデルで使用される。
U2F(Universal Second Factor): Universal Second Factorの略語。 U2Fは2要素認証の認証標準。一つの要素はキー等のデバイス、トークン、カードで、もう一方の要素はユーザー名とパスワード。
ユーザー認証: 認証中にユーザーの本人確認を行うプロセス。FIDOのセキュリティキーは、生体認証(指紋、顏認証など)またはPIN入力等の様々なユーザー認証方法に対応している。
ウェブ認証(WebAuthn): World Wide Web Consortium(W3C)により開発され、FIDO2に採用されたウェブ標準。WebAuthnにより、ウェブアプリケーションがFIDO2認証方式を統合し、セキュリティキーとの情報のやり取りに必要な標準化されたAPIが提供される。
まとめ
機密情報の保護は組織の成功に不可欠です。セキュリティキーは、データ、システム、ネットワークのセキュリティと整合性の保証において重要な役割を担うことができます。セキュリティキーは、認証、承認、暗号化に堅固でスケーラブルな方法を提供し、サイバー脅威のリスクの軽減において重要な役割を担うソリューションです。
既に述べた通り、セキュリティーには物理デバイスからソフトウェアベースのソリューションまで様々な形式があり、それぞれ長所と短所があります。バックアップとリカバリの戦略、キーローテーション、キーの失効手続きなどの主な管理方法は、セキュリティキーの効果的な展開に不可欠であり、確実に承認を受けたユーザーのみが機密情報にアクセスできるようにします。
サイバー脅威が巧妙さを増す中、セキュリティキーの技術とベストプラクティスの近況について常に最新の情報を入手することは不可欠です。組織はセキュリティキーとキーの管理方法を導入することにより、サイバー脅威から機密情報を保護する堅固で安全な環境を創出し、セキュリティキーを社内のサイバーセキュリティ戦略に統合して潜在的な攻撃からデータとネットワークを保護する方法について情報に基づいた決定を行うことができます。
Kensingtonは、一般の個人ユーザーと法人のお客様向けにこれまでにない実質的に高度な保証を提供する一連の世界クラスの生体認証セキュリティ製品をご用意しています。 VeriMark™ 製品シリーズは市場において差別化を図る複数の機能を搭載しているSynaptics社の指紋センサーに対応した業界をリードするセキュリティ機能、SentryPointに基づいて設計されています。