リモートワークやSaaSの利用など、業務の形態が急激に変動している昨今において、高いセキュリティレベルを伴ってシステムを構築することは難題の1つとなっています。
特に、認証においてはフィッシングの被害に遭うケースが急増しており、不正なログインを防ぐことは非常に重要です。
認証セキュリティ対策としては様々なものがありますが、その中でも有効な対策の1つが「セキュリティキー」です。
セキュリティキーとは?
認証においてはIDとパスワードに加え、何らかの2段階認証を行うことが一般的になってきており、スマートフォンのアプリケーションに表示されるワンタイムパスワードや、SMSでワンタイムコードを受信する方式などが良く見られる手法です。
しかし、ワンタイムパスワードであれSMSで受信したコードであれ、ログインの2要素目にそれを入力することに変わりはありません。
昨今問題となっているフィッシング被害では、本物そっくりの偽サイトに誘導された正規ユーザーが1要素目のIDとパスワードのみならず、画面に誘導されるまま2つ目のワンタイムパスワードを入力してしまうことで、悪意ある者の手に全てのログイン情報が渡ってしまいます。
またSMS通知を使用する場合においては、フィッシングサイトが裏で正規サイトへのアクセスを行っているため、正規ユーザーのスマートフォンに正規サイトからのワンタイムコードが送られてきます。
騙されていることに気づかないユーザーは、何の疑問も抱かずにそれをフィッシングサイトに入力してしまいます。
このような、悪意あるサイトに認証情報をすべて盗まれる可能性のある二段階認証では、フィッシングの被害を防ぐことができません。
こういった課題を解消し、安心して利用できる認証セキュリティを実現するために、セキュリティキーが利用されます。
セキュリティキーは家の鍵と同じく物理的な鍵装置であり、PCやスマホなどに情報を残しません。
鍵を開けるときにその物理キーが必要になり、鍵を持たない人間には認証を通過することができないようにする仕組みです。
セキュリティキーの使用方法としては、PCのUSB端子に差し込む、スマートフォンやタブレットにNFC(非接触近距離通信)でセキュリティキーを認識させるなどがあります。
セキュリティキーのメリット
それでは、このセキュリティキーでどういったメリットがあるのかについて説明していきます。
まず1つ目は、先述の通りフィッシングへの対策になるということです。
毎日1,800万件もの不正ログイン被害がある中で、セキュリティキー認証であればこの被害を防ぐことが可能です。
仮にフィッシングサイトに誘導されてIDとパスワードを盗まれたとしても、セキュリティキーを持たない限り第三者による不正ログインは成功せず、そしてセキュリティキーはフィッシングサイトが盗むことができない物理装置であるためです。
2つ目は、管理者、使用者それぞれのユーザーエクスペリエンスの向上です。
ワンタイムパスワードを表示するトークンなどは電池交換などのメンテナンスが必要です。
スマートフォンアプリやSMS通知方式では、端末を社員に配布せねばならず、これらの購入維持コストがかかる上、ログイン操作が煩雑になります。
また携帯端末を持ち込めない環境など、使用する条件にも制約が伴います。
セキュリティキーは電池で動作しないためメンテナンス不要で、PCやスマートフォンに認識させるだけの簡単な操作でログイン認証を可能にします。
物理的なセキュリティキーの管理方法に関しては、各企業様でルールを策定頂くことが肝要であると思いますが、これからの認証セキュリティとして非常に有効な手段です。
代表的なセキュリティキーソリューションとして、Yubikeyというものがあります。詳細については YubiKey ページをご覧ください。
〜以下、プロフィール〜
南波真之(なんばさねゆき)
新卒でWordPressのトップ企業に入社し営業、マーケティング、ディレクションを経験、その後SaaSサービスを開発、提供する会社にてパートナーセールスを行いながらWeb、営業、マーケティング、SaaSなどの情報発信を続けている。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
