ホワイトハウスからの新しい指令：フィッシングに対抗せよ

2022年2月28日2023年2月7日

原題：A new White House directive: Phishing resistance!
原作者：Stina Ehrensvard　2021年10月27日

米国政府の行政管理予算局は先日、「ゼロトラスト戦略」の概案を発表しました。これは連邦政府機関が何らかの本人認証を行う際には、フィッシングへの強力な対策となる多要素認証を要件に定めています。この戦略は、5月に発表されたサイバーセキュリティに関する大統領令をはじめとする、大統領府による数多くの動きに引き続き発表されたものです。この大統領令は、連邦政府機関および連邦政府機関と取引のある企業に対し、最新の多要素認証（MFA）への移行を全面的に促しているものといえます。

米国政府から見られるこうした危機感は、当然のことと言えるでしょう。2021年には、SolarWinds社やColonial Pipeline社のハッキングのような非常に有名なセキュリティ侵害や事件が発生しており、これらの動きは、スマートカードやFIDO2/WebAuthnなどのフィッシングに対抗できるツールを導入することの重要性を改めて喚起するものです。データ漏洩対策は今まさに問題となっていますが、その対策への取り組みは今に始まったことではありません。大統領令は現在における重要な契機であるものの、実は複数のアプリケーションにおける統合的な認証装置や証明書方式の実現は、これまでの長きにわたり策定が行われてきたのです。

Yubicoは既に十数年にわたり、市場におけるクリティカルな要件、問題点、そして解決策など様々な要件に対して取り組みを行ってきました。以下にYubicoとその取り組みの歴史をご紹介します。

フィッシング　– セキュリティ課題の１つだが、最大のサイバー脅威でもある –

ランサムウェアを含むすべてのサイバー攻撃の大部分は、ログイン認証情報が盗まれることから始まります。

クラウド化が進む世界においては、仕事、個人、政府の通信システムが、今日ではインターネット上の誰もがアクセスできる環境に存在するため、ログイン認証情報の漏洩は即座にシステムへの不正アクセスへと繋がります。

さまざまなサイバー攻撃の中でも、クレデンシャル・フィッシングは非常に大きな問題です。

2021年5月12日、バイデン大統領は、米国に対するサイバー攻撃のリスクに対処するために、包括的かつ細部までを網羅した指令の一つである大統領令（EO）14208に署名しました。

大統領令に示された初動の1つは、180日以内（11月8日まで）にすべての米国政府機関に多要素認証（MFA）の導入を義務付けるというものです。期限に間に合わない機関は、MFAを完全に導入するまで、60日ごとに報告書を提出することが求められています。また、この大統領令は、行政管理予算局（OMB）に対し、ゼロトラストのアーキテクチャと戦略を実施するための計画を策定するよう求めています。

セキュリティ要件をITシステムだけでなく、システムにアクセスするすべてのエンドポイントとユーザーまで拡大することを指示したものです。2021年9月にパブリックコメントとして発表された「連邦政府ゼロトラスト戦略案」では、MFAはフィッシングに強いものでなければならないとしています。OMBは、”重要なシステムに対して、SMSや音声通話のために電話番号を登録したり、ワンタイムコードを供給したり、プッシュ通知を受け取ったりするプロトコルなどのような、フィッシングに対抗できない認証方法を採用してはならない”と述べています。フィッシングに強いMFAとは公開鍵/秘密鍵暗号に基づいたもので共有コードがなく、攻撃者がアクセスコードを傍受したり、復元したりする可能性を大幅に低下させます。また認証処理は、ユーザーのデバイスとアクセス先のサイトの間でのみ行われます。OMB戦略ドラフトでは、この要件を満たす具体的なフィッシング対策技術として、PIVスマートカードとFIDO2WebAuthn規格を挙げています。

PIVスマートカード – 従来規格と最新規格

秘密鍵をハードウェアデバイスに格納するPKI（Public Key Infrastructure）に基づく暗号技術は、25年以上にわたって安全なシステムの基礎となってきました。この技術は、コンピュータへのアクセスだけでなく、パスポート、クレジットカード、SIMカード、物理的なアクセスコントロールにも使用されています。しかしPKIは集中型のネットワークにおいては多様な使い方ができる一方で、ウェブやモバイルの認証には限界がありました。

この問題を解決するために、YubicoはNISTのセキュリティ基準ガイドライン（SP 800-157）に派生資格情報の技術貢献を行い、PIVスマートカードの信頼モデルのハードウェアサポート範囲を拡大させました。最近、AppleのCryptoTokenKitがiOS上で改良されたことにより、この派生型PIV証明書はiPhoneでも使用できるようになりました。

YubiKeyはFIPS規格に準拠しているため、ユーザーはYubiKeyに保存された派生型PIV証明書をUSB A/C、NFC、Lightning通信によりPC及びiPhoneの両方で使用することができるようになっています。YubiKeyは単体でスマートカードとして認識されるため、スマートカードリーダーを別途用意する必要がありません。また物理的に堅牢であることにより、スマートカードリーダーが使用できない過酷な環境下でも認証機能を提供する強力なデバイスです。さらに、Yubicoは、スマートカードの使用を拡大するために、生成された暗号鍵が本物であることを確認できるデバイス証明書と、実際に人間が使用していることを確認するためのタッチセンサーを追加しました。

WebAuthn & FIDO – 次世代のフィッシング対策

これまで、ウェブサービスのためのPKIベースのスキームの実装と展開は複雑であり、その結果、無数の互換性のないソリューションが存在していました。この問題を解決し、プラットフォームやデバイス間の互換性を確保するため、Yubicoは主要なプラットフォーム・プロバイダーとともにFIDO/WebAuthnオープンスタンダードの策定に貢献してきました。2008年には、タッチセンサーを搭載した初のUSBセキュリティキー「YubiKey」を発売しました。

これは、ユーザー認証のためのタッチセンサーを搭載し、クライアントソフトウェアやデバイスドライバーを必要としないものです。また、オープンソースに仕様を公開し、サービスプロバイダーやソフトウェアプロバイダーが、簡単に認証サーバーを構築できるようにしました。その2年後には、パソコンや携帯電話での利用拡大やセキュリティ強化のために、NFCや公開鍵暗号への対応を開始しました。2011年、YubicoはGoogleのセキュリティチームと協力し、YubiKeyに公開鍵暗号方式を導入するための開発を開始しました。その際にYubicoは、セキュリティキーのような「小型ハードウェア」認証器[S1] [Sagara2] による認証機能を使って、秘密鍵の共有なしに、さまざまなサービスの認証を可能にするという新しい認証プロトコルのコンセプトを提示しました。Yubicoの発明は、NXP社の暗号技術の専門知識の協力を得てデザインされ、またNXP社はこのプロトコルを世界標準にすることを支持しました。更にこのプロトコルは、Google社との共同開発によって発展し、Google社はYubiKeyを使って全社員にこのプロトコルによる認証を行う方式を導入しました。2013年には、U2F（Universal 2nd Factor）という名称でFIDOアライアンスに提供され、最終的にパスワードレスログイン認証を網羅したFIDO2に発展、その後W3Cに採用されWebAuthnという名称が与えられました。

Yubico、GAFAM、ホワイトハウス – 大規模なフィッシング対策

YubiKey、FIDO2、WebAuthnは現在、主要なプラットフォームやブラウザ、何百ものクラウドやIAMサービスでサポートされています。Yubico、Google、Apple、Microsoftは、WebAuthn技術ワーキンググループのコアメンバーでもあります。YubiKeyは現在、米国の大手インターネット企業、IAMベンダー20社のうち19社に、PIVとWebAuthnのいずれかまたは両方式において導入されています。これらの顧客の大半はYubicoのパートナーでもあり、連邦政府のゼロトラスト戦略で提案されているフィッシング耐性技術に準拠しています。ホワイトハウスはアメリカのITシステムのセキュリティを向上させたいと強く要望しており、これに伴ってバイデン大統領は8月に、重要インフラ基盤やその他の大手企業と会談しました。その会合まもなく公開された概要報告書では、AWSはFIDOセキュリティキーがフィッシング対策の強力な対策になることに同意し、AWSアドミニストレータにはFIDOセキュリティキーの使用を勧告すると記されています。Yubicoは、14年間のセキュリティイノベーションと10年間の標準化活動を経て、信頼性が高く、FIPSに準拠したフィッシング耐性のある認証ソリューションを、デバイスやサービスの形で提供するユニークな企業になりました。おかげさまでYubicoは、お客様やパートナー様からたくさんのお引き合いを頂いておりますが、極力お客様をお待たせせずにご要望にお応えできるよう、常に大量のYubiKeyを出荷できるように準備を整えております。この世界的なフィッシング対策の機運は、Yubicoチーム、技術大手、米国政府、そして世界的なオープンスタンダード・コミュニティなしには起こり得ませんでした。私たちは、ゼロトラストの概念からキー・トゥ・トラスト（Key to Trust）の概念へ発展させ、またお客様にご提供できることに喜びを感じています。。

2022年1月20日に開催されるYubicoのウェビナー – Securing America’s Supply Chain – にお申込み頂きますと、ホワイトハウスの大統領令#14028、CMMC、運輸保安局の2021年7月の指令に準拠して重要インフラやサプライチェーンの安全を確保するために、ゼロトラストの重要な要素である最新のMFAをどのように導入していくかについて詳しくご覧頂けます。