手元にある様々なアカウントを、どのように管理してアクセスしていますか?
大多数の人は、自分が設定したパスワードでアクセスを管理しています。しかし、インターネット時代の到来により、様々なサービスがインターネットを通じてクラウド化され始め、私達は更に多くのアカウントを管理し、更に多くのログインパスワードを暗記しなければならなくなりました。アカウント管理の負担がますます重くなっただけでなく、インターネットの発展に伴い、データ漏洩もよく見られる現象となっています。ウェブサイトの抜け穴や様々なインターネットウイルスにより、アカウントのパスワードが、いつかどこかで漏洩してしまうかもしれません。
例として、Googleが昨年調査したデータを見てみましょう。調査対象となったアジア諸国の中で、ベトナム(78%)に次いで高い結果でした。さらに、50%の人がシンプル過ぎるパスワードを設定していて、86%の人は複数のウェブサイトで同じパスワードを使い回していました。こうしたことから、二段階認証(2FA)が、オンラインの世界でより重要なツールになっています。
二段階認証とは、その名の通り、アカウントで2回のログイン認証を行う必要があることを意味します。パスワードの漏洩により、悪意のある人物から、自身のアカウントにログインされるのを防ぐもので、最も一般的なのは、SMSや電子メールの認証リンクを使った二段階認証です。今回ご紹介するのは、欧米や日本市場ではすでに人気の高い情報セキュリティ製品、つまり二段階認証の物理キーです。
図:Yubico社の各種物理キー製品(Source:Yubico)
二段階認証の新たな選択肢として登場した - 物理キー
ほとんどのユーザーが、二段階認証にSMSまたは電子メール認証リンクを使用しています。
しかし、多くの消費者が、いつでもインターネットやスマートフォンがあるとは限らず、ハードウェアだけを認識する個人用ガジェットを好む多くの消費者もいます。また、新型コロナウイルス流行の影響により、欧米企業の多くの従業員は、長期間テレワークで仕事をしています。情報セキュリティを導入せずに、様々な家庭環境で業務関連のサーバーにログインすると、情報漏洩の危険性が高くなってしまうため、このような製品は多くの大企業の目に留まり、従業員が使用できるようにカスタマイズされています。
物理キーの使い方はとても簡単です。パソコンに差し込むだけでドライバーが自動でインストールされ、次に各種サービスの二段階認証ページに入って設定を有効にし、キーを登録して名前を付けるだけです。手続きが完了するまで3分もかかりません。
図:Facebookの二段階認証キー設定ページ
設定完了後、本サービスにログインする場合、第一段階のログインパスワードを入力した後、物理キー挿入のページがポップアップ表示されるので、挿入してキーのセンサーボタンにタッチすれば、認証をパスすることができます。
図:最初のパスワードを入力すると、登録済み物理キーの挿入を要求するページがブラウザに表示されます。
図:未登録のキーが挿入された場合、認証をパスできません。
ただし、物理キーは利用者の設定により唯一無二のものとなるため、キーを破損または紛失した場合、サービスにログインできなくなる可能性があります。この問題を回避するために、ユーザーは複数のキーを用意して登録しておくか、バックアップ方法(パスワードやSMS)を設定することをお勧めします。
物理キーの製品に関しては、そのベースとなる情報セキュリティの規格、つまりFIDO(Fast Identity Online、以下FIDO)を少し説明する必要があります。FIDOとは、FIDOアライアンス(同名の非営利団体)が開発した一連のネットワーク識別規格を指し、その目的は、ログインプロセス中にサーバーおよびエンドデバイスプロトコルのセキュリティを確保することです。この一連の識別規格は、公開キーの暗号化アーキテクチャによる多要素認証(MFA)と生体認証ログインによって、クラウドアカウントデータを保護することができます。
FIDOアライアンスの詳しい歴史については、関連するウェブサイトで確認できますので、ここでは、初歩的な理解として、先にFIDOの最も重要な3つの認証プロトコルを説明します。
FIDO UAF (Universal Authentication Framework)
ワイヤレスAPを自分で設定した後、更新する必要があるかどうか、パスワードを定期的に変更する必要があるかどうか、ほとんどの人は確認することがないため、ソースから始めることをお勧めします。以下は、さまざまなグループに対するアリオンからの提案です。
主に、生体認証を使用してパスワードなしでログインする多要素認証プロトコルです。
よく見られるのは、指紋認識や音声認識などです。
FIDO U2F (Universal Second Factor)
二段階認証です。今回ご紹介している物理キーは、主にこのプロトコルに対応しています。暗号化された物理キーを使い、パスワードなしでログインします。
FIDO2
最新のFIDOプロトコルは、World Wide Web Consortium(W3C)によるネットワーク認証規格(Web Authentication,略WebAuthn)と、FIDOのCTAP(Client-to-Authenticator Protocol)が共同で組織しました。様々なブラウザーとプラットフォームの多要素認証サポートを定義しています。
図:FIDO U2FとUAFの認証マーク。L1は、製品がサポートするセキュリティレベルです。
二要素認証物理キーの欠点は?
二要素認証物理キーの売れ行きは欧米で好調ですが、顧客からのクレームも比較的多いです。指紋認証に特化した上で、U2FやUAFに対応している人気のキー商品をピックアップし、Amazonユーザーから寄せられた悪い評価を、以下の様に収集・整理しました。
利用するユーザーの割合が最も高いWindowsプラットフォームでは、この製品の互換性に多くの問題があるようです。もちろん、ユーザー自身の使用環境で、問題がソフトウェアやハードウェアに起因している可能性を排除できませんが、このように悪い評価の割合が高いということは、互換性に改善の余地があることを証明しています。
本当に互換性の問題があるの?実測してみましょう!
アリオンの一貫した実験と検証の精神に基づいて、AmazonでベストセラーのU2F物理キーを7つ購入して互換性をテストし、本当に互換性の問題が多いかどうかを確認しました。今回選んだキーは以下の通りです。
図:今回のテスト対象リスト
上記の物理キーはすべて「U2Fプロトコルをサポート」と宣伝しており、アメリカのAmazonでこのタイプの商品のベストセラーでもあります。
過去の互換性テストの経験とその製品特性に基づき、以下の様に、シンプルなテストの組み合わせを策定しました。
ノートPC
利用するユーザーの割合が最も高いWindowsプラットフォームでは、この製品の互換性に多くの問題があるようです。もちろん、ユーザー自身の使用環境で、問題がソフトウェアやハードウェアに起因している可能性を排除できませんが、このように悪い評価の割合が高いということは、互換性に改善の余地があることを証明しています。
実際には、互換性をテストするソフトウェアとハードウェアの組み合わせが多数あります。より詳細なテストを実行するには、以下の様な包括的な組み合わせを検討してください。
OS & Platform
このタイプの製品の互換性テストで最も重要な要素として、Windows各世代、macOS、Chrome OS、Android/iOSシステムのスマートフォンやタブレットも組み合わせに含めます。Linuxシステムも加えるべきかどうか考慮してもよいでしょう。
ウェブサービス
Google account、Microsoft account、Facebook、Twitter、Dropbox、GitHubなど、U2Fをサポートし、一般的に使用されているサービスをテストする必要があります。
接続インターフェース
既存のキー接続インターフェースは、USB Type-A、USB Type-C、Bluetooth、NFCの4種類です。
テスト項目
テスト項目については、物理キーの目的と機能は非常にシンプルですが、互換性検証の観点から次のように策定しました。
上記の組み合わせとテスト策定により、市販されている多要素認証の物理キー7つに対し、簡易な互換性テストを実施したところ、次の様な問題のある現象が見られました。
結論
テストの感想と結論は以下の通りです。
1. Windows/Chromebook/Macbookでの基本的な動作のほとんどは正常です。時折、デバイスが検出されなかったり、Windowsで黄色のバンメッセージが発生しますが、実際のネットワークアカウントは正常動作します。
2. 一部のサービスで、登録したキーを認識できないという問題が起こり、操作に関係している可能性があります。物理キーで認証を設定する際、紛失または破損してログインできない場合に備えて、別のバックアップ手段が必要です。
3. Macの二段階認証メカニズムを見ると、6桁のテキストメッセージだけで、他の認証方法がありません。ビルトインのタッチIDで、ユーザーを二重に保護しているので十分かもしれませんが、WindowsやChromeの様にログインに物理キー保護を設定できるわけではなく、スタンドアロンPCのセキュリティが多様ではありません。
4. このテストで使用したChromebook/MackbookはType-Cのみのモデルでしたが、依然Type-Aの端子があるモデルがほとんどです。したがって、A to Cアダプターを介してテストした結果「アダプターを介すと多くの問題が発生するだろう」という当初の予想とは異なり、まったく使えないという現象は起こりませんでした。ただし、アダプター/ハブ/ドッキングの使用は、ユーザーシーンでよく見られるので、テストの組み合わせに加えることを強くお勧めします。
情報セキュリティ製品は、ユーザーの重要な情報や財産の問題に関連することが多いため、設計と開発に対して非常に厳格なしきい値と要件がありますが、互換性も無視してはいけません。一時的な必要性から、慣れないプラットフォームやブラウザを使用してアカウントにログインしようとした時、互換性の問題で、登録したはずのキーが認識されず操作できなければ、どうしようもないことは想像に難くありません。
アリオンは、市販されているメインの設備2万台以上と、それに対応するテスト環境を備えており、幅広い互換性テストオプションを提供することができます。互換性だけでなく、お客様の製品仕様に合わせた機能と耐久性の検証も、弊社が長年経験を積み重ねてきたサービス項目です。
本記事の内容やテストに関してご質問などございましたら、アリオンのお問い合わせフォームよりお気軽にお問い合わせください。