2022年7月21日(木)、SCSK株式会社主催、株式会社ソフト技研共催の「【多要素認証の導入を検討されている企業様必見】 狙われてる?!社員の「PCログイン情報」を多要素認証で守る! ~物理キーでWindowsログオンを安全・簡単に~」と題したオンラインセミナーが開催されました。
近年、総務省のテレワークセキュリティガイドラインをはじめ、厚生労働省や文部科学省が策定するガイドライン等にも「多要素認証」対策に関する記載が多く盛り込まれている中で、「多要素認証」といっても何から始めれば良いのかわからない企業・組織が多いことも事実です。
そこで本セミナーでは、Yubico社製のセキュリティキーを使った簡単で安全なWindowsログオンを可能にする多要素認証ソリューションについてがテーマとなりました。
本セミナーは非常に多くの方が聴講され、質疑応答では、参加者の方々の関心度の高さがわかるほど多くのご質問が寄せられ、盛況のまま終了いたしました。
本稿ではセミナーの概要を記載いたします。ご興味がある方は是非ご一読ください。
なぜ今、多要素認証? ~社外でも、社内でも、狙われるID/パスワード~
ここ数年、フィッシング攻撃の被害が顕著に伸びて高止まりしている中で、個人に対してもAmazonや宅配業者を騙った攻撃も増えてきています。
従来はパスワードを使ってセキュリティを保護していた部分についても多くの問題が生じており、その一つとしてパスワードの使い回しがあります。約55%の方が「同じパスワードの使い回しをすることがある」と答えており、同じようなパスワードを少し大文字小文字や数字を変えるだけでは効果がありません。ここからもパスワードやIDが盗まれたとしてもアカウントを乗っ取られないような対抗策が必要であるといえます。それが、多要素認証(MFA)です。多要素認証は、知識情報、所持情報、生体情報という3つの認証要素の2つ以上を組み合わせて利用するもので、現在企業でも多要素認証の利用が促進されています。
企業や政府からも多要素認証についてはいくつもガイドラインが出ており、総務省テレワークセキュリティガイドラインでは、「可能な限り多要素認証を強制する」という対策が書かれています。その他にも文部科学省や自動車産業でのサイバーセキュリティガイドラインにも多要素認証の導入の項目が入っています。
その多要素認証対策の中で、シンプルで導入がかんたんにできる、という特徴を持っているのがYubiKeyです。
YubiOn製品とYubiKeyによるPCログオンの二要素認証化
PCにログオンする場合に、一般的な認証方法としてはパスワードがあります。しかし、どれだけ複雑なパスワードにしても、定期的にパスワード変更をしていても現在のセキュリティ対策としては不十分になってきています。それは、パスワードの仕組みがすでに限界を迎えているからです。利用者が多数のパスワードを覚えきれないことや、単純なパスワードの使い回しが横行してしまうことで悪意のある第三者が推測しやすくなってしまうからです。更に、パスワードは一度盗まれてしまうと第三者のなりすましがかんたんにできてしまうだけでなく、盗まれた本人がパスワードを盗まれたことに気づきにくいために被害が広がりやすいのです。こういった背景から、重大なセキュリティインシデントも各企業や自治体で発生してきており、一度でもセキュリティインシデントが発生すると大きな被害になる可能性もありますので、十分な対策が必要となります。
PCのパスワードに代わるセキュリティ対策
PCのセキュリティ対策としてはディスクの暗号化やログオンの認証強化などがありますが、その中のログオンの認証強化については、多要素認証(MFA)が有効です。
多要素認証では、YubiOn PortalでパスワードとYubiKeyを使った多要素認証でPCログオンを実現する方法が有効といえます。YubiKeyは、Yubico社が開発した認証デバイスで様々な認証プロトコルに対応していることからも多要素認証として効果が高いです。YubiOn Portalでは Yubico OTP(One-Time Password)を利用し、 Yubico OTPの指紋認証部分にタッチするとワンタイムパスワードが生成されるという仕組みです。
ちなみに私自身も2008年からYubiKeyを使っているのですが、今でもしっかり使えてセキュリティ対応を行えています。
YubiOn Portalを使った安全なPCログオンですが、ユーザーとしてはまずはYubiKeyのワンタイムパスワード認証を突破し、その上でパスワードの照合を行うという2つの認証を通過することでログオンができるようになります。
YubiOn Portalはクラウドサービスとして提供しており、利用者は登録を行うことですぐに利用を開始することができるようになります。
YubiOn Portalの特徴の1つが管理機能の4つのポイントです。社内の管理者が利用できる管理Webサイトでは、YubiKey情報の一覧管理や、社員がYubiKeyを紛失した際の無効化設定などが実施できます。その他、利用者登録や利用しているPCの一覧管理、社員のログオンのログ管理などもできるようになっています。
その他、SSO(シングルサインオン)の機能としても利用できますので、YubiOn Portalを使うとすべてのログインするサービスに多要素認証をつけられるような状態を作ることが可能となります。
YubiOn Portalの導入事例
まずは地方自治体の事例です。課題として海外出張などの際のPC持ち出しのログオンやメール閲覧のセキュリティ強化を実施したいというものでした。YubiOn Portalで、PCログオンの強化はいうまでもなく、メールについてもGoogle Workspaceを導入したことで1つのYubiKeyでの認証を可能にしました。
その他、大手人材会社では、WindowsとMac両方のログオン・ログインを多要素認証で強化したいという課題がありました。更にアカウントとしては10,000ほどあるためこの数に導入が問題なくできることと利用者の増減にも対応できることが必要でした。YubiOn PortalではWindowsとMacの両方に対応ができるため、認証強化を実現でき、更にCSVを使った大量のアカウントのキッティングも実施できました。
まとめるとYubiOn Portalではこのような特徴があるサービスです。
- PCログオンを、YubiKeyを使った多要素認証に対応できる
- Active Directoryなどの既存のWindows側の設定変更不要
- 操作はパスワード入力とYubiKeyをUSBに接続しタッチするだけ
- 管理者は専用管理サイトで全体管理や非常時の対応が可能
- 管理サイトでの変更は即時反映
ぜひ利用をご検討されている方がいらっしゃればご相談ください。
フィッシングを防ぐ多要素認証キー : YubiKey
Yubico社は、 2007年にスウェーデンで設立されました。YubiKeyという他要素認証のデバイスを製造、販売しており下剤では世界160カ国以上、4,500社以上の企業利用の実績があります。
昨今、サイバー攻撃の被害はどんどん拡大をしています。一気に普及したリモートワークの影響もあり、フィッシング攻撃の被害やランサムウェア被害などのサイバー犯罪はコロナ前と比べて300%の増加というデータも出ています。今まで「ニューノーマル」と考えられていたものが「ノーマル」となっていく状況で、Yubicoの目指すところは誰もが用意で安全なログインを利用できるようにすること、そしてゆくゆくはパスワードのない世界を実現することです。
そのため、様々なYubiKeyを展開していますが、ビジネスケースとして最近ではリモートワークや外部ユーザーの基準というのも重要度を増しています。
また、YubiKeyは1つ持っていれば様々な利用用途で使えるというのもポイントでして、はんこの代わりの電子証明としても利用することができますし、指紋認証もできるようになっています(YubiKey Bio Series)。
※YubiKeyの種類や選定方法については下図をご参考ください。
質疑応答
本セミナーに寄せられたご質問の中から、当日回答された質問について以下に記載いたします。
Q. YubiKeyのタッチは指紋に対応していますか?
(大友氏)はい、YubiKey Bio Seriesで対応可能です。まずは指紋を登録していただき、その指紋を認証する形を取ります。ちなみに一番普及しているのは、YubiKey5シリーズです。
Q. リモートデスクトップで使えますか?
(松田氏)はい、利用可能です。二要素認証でログオンが可能です。VDIなどの仮想環境のPCでも、仮想先のPCにYubiOn Portalを導入することで接続の際にYubiKeyを使ったログオンが可能になります。
Q. 1台のPCを複数人で共同利用する場合にYubiKeyは使えますか?
(松田氏)使えます。予め設定を行えば共用PCの場合でも使っていただけるようになっています。それぞれの社員の方にそれぞれYubiKeyを持っていただき、ログオンする際に自分のYubiKeyでログオンすれば認証でき、ログオンのログは管理サイトで別途確認できます。こういうケースは特に店舗や工場などの共用PCを利用するケースで多いですね。
Q. 部署ごとなどで、あるPCはYubiKey使う、あるPCはYubiKey使わないという使い分けは可能ですか?
(松田氏)グループポリシーを使っていただければ可能です。この設定をしておくと、「この機能はこの部署で使う、この部署では使わない」というポリシー設定が可能になります。
Q. 利用者のYubiKeyの割当は管理者ができるか?
(松田氏)管理者が専用管理サイトですべて割当を行うケースと、利用者が設定するケースの2つがあります。後者の場合は、管理者が割当予定の利用者にメールを送り、メール内にある設定用URLを利用者がクリックし設定できます。大量の利用者がいる場合は、利用者ごとに設定してもらう後者の方法だと負担が少なくて良いかもしれません。
Q. 割り当てているYubiKeyをなくしてしまった場合は、PCにログインできなくなりますが、その場合どうしたらいいですか?
(松田氏)先に、YubiKeyの専用管理画面で無効化設定をしてください。その後、別のYubiKeyを割り当て直すという流れになります。
Q. YubiOn Portalで利用する場合はYubiKeyはライセンス料かかりますか?
(松田氏)YubiKeyは最初に買い切りです。YubiOn Portalは月額利用のサービスとなります。
Q. USBメモリのようにファイルを保存して持ち歩くような機能ありますか?
(大友氏)セキュリティ上、そういった機能は一切用意をしていません。
お問い合わせ
ご質問、ご相談、お見積もりなど お気軽にお問い合わせください。
プラットフォームソリューション事業部門
ITプロダクト&サービス事業本部
セキュリティプロダクト部
YubiKeyセミナーを開催いたします!-300x169.jpg)
-300x169.jpg)
の色が変わりました-300x169.png)
