YubicoのFAQ

価格

恐れ入りますが、各販売パートナー様にお問合せください。

https://securitykey.scsk.jp/販売パートナー/

機能・仕様

YubiKey 5シリーズやSecurity Key by Yubicoシリーズは指紋ではなく、人間の静電気を感知しているだけです。YubiKey BioシリーズはYubiKeyに登録した指紋を識別しています。

FIDOではFIDO2とU2F、FIDO以外ではSmartCardとして利用するためのPIV、Yubico OTP、OATH-HOTP、OATH-TOTP、OpenPGPに対応しています。これら全てをサポートしているのはYubiKey 5シリーズです。

YubiKeyはそれぞれの機能ごとに下記として認識されます。

■FIDO

  • ヒューマンインターフェースデバイス-HID-compliant fido
  • ヒューマンインターフェースデバイス-USB入力デバイス

■OTP

  • キーボード-HIDキーボード
  • ヒューマンインターフェースデバイス-USB入力デバイス

■PIV

  • スマートカード-YubiKey Sart Card Minidriber
    ※YubiKey Sart Card Minidriberをインストールしている場合
  • スマートカード-Microsoft Usbccid Smartcard Reader(WUDF)
    ※YubiKey Sart Card Minidriberをインストールしていない場合
  • スマートカード読み取り装置-Microsoft Usbccid Smartcard Reader(WUDF)

■OpenPGP

  • スマートカード-YubiKey Sart Card Minidriber
    ※YubiKey Sart Card Minidriberをインストールしている場合
  • スマートカード-Microsoft Usbccid Smartcard Reader(WUDF)
    ※YubiKey Sart Card Minidriberをインストールしていない場合
  • スマートカード読み取り装置-Microsoft Usbccid Smartcard Reader(WUDF)

■OATH

  • スマートカード-YubiKey Sart Card Minidriber
    ※YubiKey Sart Card Minidriberをインストールしている場合
  • スマートカード-Microsoft Usbccid Smartcard Reader(WUDF)
    ※YubiKey Sart Card Minidriberをインストールしていない場合
  • スマートカード読み取り装置-Microsoft Usbccid Smartcard Reader(WUDF)

詳細は下記メーカーページをご確認ください。
Physical interfaces (yubico.com)<https://docs.yubico.com/yesdk/users-manual/yubikey-reference/transports/overview.html>

YubiKeyには秘密鍵や証明書以外は保存できません。ファイルエクスプローラーのようなものでYubiKeyの内部を見ることも不可能です。

YubiKey Bioにおける本人確認は、YubiKey(所持情報)+指紋情報(生体情報)で、YubiKey 5シリーズにおける本人確認は、YubiKey(所持情報)+PINコード(知識情報)となります。
Bioの指紋情報がYubiKey本体に保存されるのと同様、PINコードもYubiKeyに保存されます

YubiKeyのFIDO2 PINは4~63文字までのASCIIコードで設定が可能ですが、最低文字数や複雑さに関してを規定する機能はございません。(最低4文字~最大63文字の制限のみです)
また、PINを設定するにあたり、YubiKeyを使用する様々なPC環境ではキーボード配列などの問題が起こり得ることから、特殊文字を除いた英数字を推奨させて頂いております。

YubiKeyのFIDO認証PINを8回連続で間違えた場合、YubiKeyのFIDO機能は停止します。
※8回の応答中にPIN認証に成功していれば、間違いカウントは0回に戻ります。
これを回復させるには、YubiKeyのFIDO機能のリセットしかありません。
紛失、盗難の際に何度でもロックを解除してトライできるようでは、セキュリティ上の問題となりますため、一度ロックされたYubiKeyはリセットされるまでFIDO機能が復旧しません。

使用できません。FIDO セキュリティーキーとして動作します。

YubiKeyおよびYubico社の提供するユーティリティソフトウェア類は、すべてWindows11で問題なくご利用頂けます。

AD参加PCでのログインには、YubiKeyをPIVスマートカードとして利用し、AD CSのスマートカード認証(ユーザー証明書認証)機能で認証を行う方法が利用できます。
この場合、PIV機能を実装しているYubiKeyが必要となりますので、対応する機種は5C NFCとなります。

セキュリティキーに書き込みが行われるタイミングは、証明書や秘密鍵の登録など、アカウントにYubiKeyを登録する際、およびYubiKeyからのアカウント消去やPINやパスワードの変更、初期化時などとなります。

YubiKeyのPIN(FIDO2 PIN、PIV PIN、OpenPGP PIN)は、全てYubiKey内部のセキュリティチップに保存されます。
FIDO2 PINはYubiKey ManagerやYubico Authenticatorいずれでも登録が可能ですが、登録に利用するユーティリティで保存の差異はありません。

ドライバーやクライアントアプリのインストールは不要です。

ドライバーは不要となり、クライアントアプリのインストールは任意となります。
YubicoOTPクレデンシャルを変更する場合、YubiKey Managerの導入が必要となります。

ドライバは不要ですが、クライアントアプリのインストールが必要です。
クレデンシャル管理機能として、YubiKey Managerの導入が必要となります。

ドライバーは必要ですが、クライアントアプリのインストールは任意となります。
YubiKeyを接続するPCにYubico Smartcard Minidriverの導入が必要となります。
スマートカードのPINロック機能を標準設定以外で利用する場合、YubiKey Managerの導入が必要となります。

YubiKeyのNFC通信規格は、ISO 14443 Type-Aに準拠しており、これをサポートするNFCリーダー/ライターであれば基本的に通信が可能です。
但し、Yubico社でも過去にNFCリーダー/ライターとの相性問題をいくつか経験しているようで、事前検証は必要であると考えます。

YubiKey全機種でIEC 60529で定められているIP68を取得しております。
また、動作温度、保管温度はそれぞれ下記の通りとなります。

  • 動作温度: 0 ℃ ~ 40 ℃ (32 ℉ ~ 104 ℉)
  • 保管温度:-20 ℃ ~ 85℃ (-4 ℉ ~ 185 °℉)

使い方

YubiKeyの使い回しはセキュリティー上、お勧めしていません。使い回しの際はPINもクレデンシャルも使い回していることになりますので、YubiKeyを利用するセキュリティー上の意味がなくなります。複数の指紋が登録できるYubiKey Bioでも、個々人が一つ以上のYubiKeyを持っていることが本来の利用方法です。

管理者画面にて紛失したYubiKeyの設定を解除してください。解除後は紛失したYubiKeyで不正ログインされることはなくなります。悪意のある第三者が落ちているYubiKeyが誰のものであって、それが何のサービスに使われているのか、そして紛失者のID/Passwordを把握していると不正ログインが可能となります。逆に言うと上記の条件がそろっていなければ紛失したYubiKeyを使って不正ログインは出来ないため、紛失しても直ちにインシデントにはなりません。
とはいえ紛失には注意する必要があるため、自宅のカギと同じような扱いをしていただく必要があります。

可能です。一つのYubiKeyで、証明書やOTPなど複数の認証方式で使うことができます。

利用者とYubiKeyを割り当てる方法は、管理者がすべて行う方法のほかに、利用者自身が行う方法があります。どちらの方法で割り当てを行うかは、ご利用になるサービス/製品の仕様に準じます。
※利用するサービス/製品によって管理者側もしくは利用者側で設定できない場合がありますため、詳細はサービス/製品ベンダーへお問い合わせください。

利用者とYubiKeyを割り当てる方法は、管理者がすべて行う方法のほかに、利用者自身が行う方法があります。どちらの方法で割り当てを行うかは、お客様の運用でご判断いただく必要があります。
※利用するサービス/製品によって管理者側もしくは利用者側で設定できない場合がありますため、詳細はサービス/製品ベンダーへお問い合わせください。

利用者とYubiKeyを割り当てる方法は、管理者がすべて行う方法のほかに、利用者自身が行う方法があります。どちらの方法で割り当てを行うかは、お客様の運用でご判断いただく必要があります。
※利用するサービス/製品によって管理者側もしくは利用者側で設定できない場合がありますため、詳細はサービス/製品ベンダーへお問い合わせください。

YubiKeyのFIDO2 PINは、以下いずれかの方法で初期設定/変更が可能です。

  • Windows標準機能を使用
    Windowsの設定->サインインオプション->セキュリティキーの「管理」を実行する。
  • Yubico Authenticator(ワンタイムパスワード+αのアプリケーション)で変更する。
  • YubiKey Manager(YubiKeyの詳細設定/管理用アプリケーション)で変更する。

認証する側のシステムへPINの初期設定を行っていないYubiKeyを登録すると、PINの初期設定が求められる場合がありますが、認証する側のシステム仕様に依存するため、詳しくは認証する側のシステムへお問い合わせください。

管理者による事前設定を行うことは可能ですが、利用者が自身で変更することができるものであり、恒久的なPINの埋め込みはできません。

Web用

YubiKeyのFIDO機能リセット手順がございますため、YubiKey担当窓口までお問い合わせください。
また、YubiKeyのリセットを行った場合、YubiKey内部で秘密鍵を再現するために必要となる、Device Secretという情報が書き換わります。
リセットを行うことで、YubiKeyのFIDO機能が復旧するとともに、元のYubiKeyとは別物になります。
従いまして、それまで利用していたクラウドサービスなどの多要素認証デバイスとしては機能しなくなり、新規のセキュリティキーとして再登録が必要となります。

 

問い合わせ対応用

YubiKeyのFIDO機能初期化手順は、Yubico Authenticatorユーザーガイドの33ページを参照ください。

  • PC版Yubico Authenticator Ver6.1.0 ユーザーガイド.pdf

利用可能ですが、変換プラグはYubico社およびSCSKの製品ではないので、動作の保証はできません。
ご参考までに、Yubico社で動作確認した変換コネクタは下記URLにある通りです。
https://support.yubico.com/hc/en-us/articles/360016614860-Using-a-YubiKey-with-USB-C-Adapters

ただ、上記に記載のないUSB変換コネクタでも問題なく動作したため、基本的には問題ないと思います。

YubiKeyはPCではなく、ユーザーアカウントに紐づくため、YubiKey側で利用するPCを限定することはできません。

YubiKeyはiOS、iPadOS、Androidのロックを解除する用途には利用できません。
iOS/iPadOS 13.3以降でクラウドサービスを利用する際のFIDO認証にご利用頂けます。
iOS16.3からapple IDにおけるFIDO認証が利用できるようになり、これにYubiKeyをご利用頂くことが可能です。
AndroidではYubico OTP、 固定パスワード機能、OATH-HOTP、U2F(要Google Authenticator)のみご利用頂けます。

Web用

Yubico Authenticatorでは、アカウントごとにタッチしないとOTPの表示が行われない機能や、YubiKeyを挿した際にパスワードを入力しないとOTPの一覧が表示できない機能などがあります。
設定操作の詳細に関しましては、YubiKey担当窓口までお問い合わせください。

 

問い合わせ対応用

設定手順は、Yubico Authenticatorユーザーガイドの15ページ以降を参照ください。

  • PC版Yubico Authenticator Ver6.1.0 ユーザーガイド.pdf

YubiKeyの情報はOSやブラウザにキャッシュされませんので、挿したままでのご利用にシステム側で特段の留意事項はありません。
Yubico Authenticatorを利用したワンタイムパスワードの表示は、YubiKeyを挿したままですと有効なワンタイムパスワードが更新、継続表示され続けますので、セキュリティ面での注意が必要となります。

YubiKeyの指紋登録領域は個々に独立していますので、同一指紋、同一名称で重複登録が可能です。

ドライバーは不要ですが、クライアントアプリのインストールが必要です。
OATH-TOTPワンタイムパスワードの設定/表示にYubico Authenticatorの導入が必要となります。
OATH-HOTPワンタイムパスワードの設定にYubiKey Managerの導入が必要となります。

その他

ワンタイムパスワードのアルゴリズムとしては、MS AuthenticatorでもYubiKeyでも同じOATH-TOTPを使用している(厳密には、ログイン先のサービスがOATH-TOTPを採用)かと存じます。
従いまして、ワンタイムパスワードそのものに関するアルゴリズム強度の差異はございません。

YubiKeyがスマホのAuthenticatorと明確に異なるのは、スマホを必要としない点になります。
スマホを持ち込めないセキュリティレベルの高い環境などにおきましても、YubiKeyであれば持ち込み、PCにインストールしてあるAuthenticatorでワンタイムパスワードの表示を行うことができます。
YubiKeyそのものにおけるセキュリティ強度ではありませんが、使用環境のセキュリティレベルに対しては優位性があるものと考えます。
また、スマホは落下などの衝撃で破損すると使用不能になる可能性がございますが、YubiKeyは落下、水没に対して耐性がございます。

YubiKeyはOSやブラウザに対応しておらず、FIDO2(WebAuthn)という認証規格に対応しております。
そのため、OSやブラウザがWebAuthnに対応しているか、FIDOセキュリティキーが使えるか、はOSやブラウザのメーカーにお問い合わせください。

FIDO U2FやFIDO2など、FIDO Allianceが提唱する認証方式でフィッシング耐性の高い認証方式となります。
端末にYubiKeyを認識させるために、PCであればUSBに挿す、NFC通信ができるスマホにかざす、などの方法があります。

パスワードとOATH-TOTP、OATH-HOTP、Yubico-OTPなどを組み合わせて認証を行う認証方式となります。
古くからある認証方式で、YubiKey以外にもMicrosoft AuthenticatorやGoogle Authenticatorなどのスマホ用アプリでも使用可能です。
ワンタイムパスワードを入力して送信する為、フィッシングサイトに盗まれて不正アクセスに繋がる危険性が指摘されており、米政府との取引がある企業では使用を禁止された方式です。
YubiKeyでOATH-TOTPを利用するためには、ワンタイムパスワードを登録、表示する為のYubico Authenticatorというソフトウェアを端末に導入してYubiKeyを認識させます。
端末にYubiKeyを認識させるために、PCであればUSBに挿す、NFC通信ができるスマホにかざす、などの方法があります。

YubiKey内に格納した証明書を利用して、認証を行うパスワードレス認証となります。
FIDO系に並んで高いフィッシング耐性を備えており、認証の方式としてもFIDO以前から普及しているため、適用範囲がFIDOより広いのが特徴です。
YubiKeyに証明書を格納して利用するため、証明機関により証明書を発行される必要があり、またYubiKeyに証明書を保存するためにYubiKey Managerというソフトウェアを利用します。

NFCはISO 14443で定められいる近距離非接触通信規格になり、駅の改札やコンビニ決済などで使われています。
YubiKeyはISO 14443のType-Aに準拠しており、NFC読み取り機能を有した端末にて、YubiKeyを利用した認証で使用することができます。
YubiKeyをUSBに挿してUSB通信することと同義で、NFC自体が何らかの認証を提供するものではありません。