PJ-T&C合同会社

IPAが発表した「情報セキュリティ10大脅威 2021」を見ると、組織に対する外部攻撃の脅威は高まり続けていることが分かります。

「ランサムウェアによる被害」は昨年の5位から1位に、「標的型攻撃による機密情報の窃取」は2位、「インターネット上のサービスへの不正ログイン」は昨年16位から8位に。
また、昨年までランクインしていなかった「テレワーク等のニューノーマルな働き方を狙った攻撃」がランク外から3位に躍り出ています。

このように、外部の脅威に対するセキュリティの強化は、多くの企業にとっての喫緊の課題。
「そんな今だからこそYubiKeyが必要とされている」と、YubiKeyの製造販売を手がけるYubico社の日本代表、大友淳一さんは言葉に力をこめます。

YubiKeyとは、ワンタッチで認証できるユーザビリティと、極めて安全性の高いセキュリティ保護を提供するUSBドングル型のデバイス。
国家機関でも使用されるほど高い信頼を得ている一方で、中小企業やIT担当者が不在の企業でも簡単に実装できるのが魅力といいます。

そこで今回は、「YubiKeyとは何なのか？どう役立つのか？なぜ今YubiKeyが必要なのか？」という疑問について、大友さんに直接お答えしていただきました。PJ-T&C合同会社の藤本がインタビューしています。

YubiKeyとは？ネット社会の課題を解決するYubico社のビジョン

YubiKey 5C NFC

PJ-T&C藤本：まず、Yubico社はどのようなビジョンを持ってYubiKeyを開発されたんですか？

Yubico大友氏：Yubico社は、便利なIT社会を維持しつつ安全に「認証」するためにYubiKeyを作りました。

Web取引やスマホアプリが世界中で普及しネット社会が進化するにつれて、フィッシングや中間者攻撃といった、IDやパスワードを盗み取り貴重な財産を奪うサイバー犯罪が増えています。一方でユーザーは、複数のパスワードを管理し、複雑性を維持することにも疲れ始めています。
YubiKeyは複雑なパスワード管理を必要とせず、なおかつサイバー犯罪から機密情報を安全に保護するために生まれたツールなのです。

PJ-T&C藤本：たしかに、色々なアカウントのパスワードを管理するのは面倒ですし、忘れてしまうことがありますね。

一方で、利便性のために覚えやすい簡単なパスワードにすると、不正ログインの危険性が高まってしまう。
YubiKeyは、こういったネット社会での課題を解決するために作られたのですね。

YubiKeyが革新的な理由とは？コストパフォーマンスの高さにも注目

YubiKey5シリーズはUSB Type-A, Type-C, Lightningに対応

PJ-T&C藤本：YubiKeyは他のセキュリティ製品と比べて、どういった部分が革新的なのですか？

Yubico大友氏：YubiKeyが他の製品と一線を画すのは、複雑なパスワードを入力したりSMSコードの取得が必要なく、ワンタッチで二要素認証・パスワードレス認証といった極めて強固なセキュリティを実現できる点です。

あとは単価の安さですね。一端末あたり数千円（YubiKey 5シリーズの場合は7,600円ほど）で7種類のプロトコルに対応でき、あらゆる環境で鉄壁のログインセキュリティを保持できます。

YubiKey 5シリーズが対応しているプロトコル一覧

• FIDO2
• U2F
• ICカード (PIV)
• OpenPGP
• HOTP
• TOTP
• Yubico OTP

PJ-T&C藤本：多様なプロトコルに対応しているのですね。

ただ物理キーとなると、紛失や破損のリスクが気になります。
また、このキーが壊れてしまうということは無いのでしょうか？

Yubico大友氏：そういった従来の物理キーが持つ問題を克服すべく、YubiKeyは非常に高い耐水性・耐破砕性・耐熱性を持つよう設計されています。

水に濡れても、強い衝撃を加えても簡単には壊れません。
ネットワーク接続や充電も必要無く、10年単位で使い続けられる耐久性があります。

小型なため紛失のリスクはありますが、家の鍵や社員証などにチェーンで留めておけば、まず失くすことはありません。
さらに万が一の紛失した時のため、バックアップ用として複数本のYubiKeyを設定しておくことができます。普段使いとは別に、バックアップ用のYubiKeyとして自宅や会社に保管しておくことで紛失リスクを最小限にすることが可能です。

PJ-T&C藤本：なるほど。1本で多数のプロトコルに対応するコストパフォーマンスの良さと、高い耐久性を兼ね備えていると。

バックアップキーを設定しておけば、さらに安心して利用できそうです。

YubiKeyなら既存環境で「パスワードレス認証」を実装！サポートインシデントも激減

キーケースや社員証と一緒に持ち歩ける

PJ-T&C藤本：今、会社でYubiKeyを導入するメリットについて教えてください。

Yubico大友氏：YubiKeyを導入すれば、煩雑なパスワード管理が原因で起きるサポートインシデントを激減させ、パスワード管理にかけている多大なITコストを削減できます。

企業ではオンプレからSaaSに移行し、様々な社外のサービスをマッシュアップして業務を遂行するようになった結果、ID・パスワードの管理も煩雑になり、SSOや Federationと行ったID/アクセス管理も導入されるようになりました。それでも、依然としてパスワード管理はIT運用者にとって大きなコストになっていますよね。
実際、企業におけるサポートインシデントの中で最も多いとされているのが「パスワードリセット」とされており、これはリモートワークが普及したことで悪化しています。

この問題を根本的に解決する方法は、パスワード自体を使わない「パスワードレス認証」の導入です。
具体的にはFIDO2環境を導入するか、FIDO2に対応したFederationサービスを利用することでパスワード自体をなくし、パスワードにまつわるインシデントをゼロに近づけることで、ITコストを大幅に削減できます。

通常、このパスワードレス環境の導入には専用のデバイス機器を揃える必要があるため多額の初期投資が必要ですが、YubiKeyならそれが必要ありません。
YubiKeyさえあれば、既存の環境でパスワードレス認証を展開することが可能なのです。
従業員も、煩わしいパスワードを入力する代わりにワンタッチで認証できるようになるため、ストレスなく業務を行うことができます。

PJ-T&C藤本：確かにパスワードの管理は煩わしく、管理コストがかかるうえ業務効率を下げる要因にもなりますね。

YubiKeyがあれば、セキュリティ強化だけでなく、IT運用者やセキュリティ担当者の業務も大幅に効率化できるんですね。

Yubico大友氏：そうです。今多くの人がリモートワークをしていますが、リモートワークでスムーズな業務を行うには、これまでのセキュリティ体制では難しい。強固なセキュリティと認証の手軽さを兼ね備えているツールでなければなりません。

PJ-T&C藤本：働き方が大きく変わろうとしている今だからこそ、YubiKeyが必要とされているんですね。

関連記事：「最先端のパスワードレス認証がAzure ADで標準機能に！有効化の手順も解説」

Yubico大友氏：その通りです。実際、YubiKeyはGoogleなど世界的大企業でも採用され、サポートインシデントの大幅な減少に成功しています。

YubiKeyが保護している世界のトップブランド（約4,000ブランドの一部）

• Google
• facebook
• Microsoft
• salesforce
• Github
• Dropbox
• Paypal

YubiKeyはトップブランドに対応

YubiKeyは社内システムや仕事用端末をどのように保護する？

社内セキュリティの向上は喫緊の課題

PJ-T&C藤本：Yubicoのサイトには、GoogleやMicrosoft等主要アカウントの保護ができると書かれていますが、これら以外の自社システムや端末を保護することができるのでしょうか？

Yubico大友氏：自社のシステムと言う面では、既存のパスワードの仕組み（例えばオンプレミスのAD）にワンタイムパスワードの機能や多要素認証の機能をつけることができれば、YubiKeyと連動させることが可能です。

また、端末については、WindowsならばWindows Helloとの連携、MacOSならPIVを利用することで端末へのログイン自体をYubiKeyで保護することが可能です。

PJ-T&C藤本：非常に柔軟な活用ができるのですね！

では、企業がセキュリティ対策としてYubiKeyを導入するにあたって、先ず何から始めれば良いでしょうか？

Yubico大友氏：即座に始められることは「特権ID」の保護です。

IT管理者はDBやリポジトリにアクセスし、個人情報に触れることが可能だと思いますが、その際に特権IDをYubiKeyを用いた認証に変える（SSHとYubiKeyを連動させる等）だけでも、セキュリティの心配事が一つ解決します。

PJ-T&C藤本：なるほど。第一歩として、組織の個人情報へのアクセス権を持つ大元であるIT管理者の「特権ID」を守るだけでも、不正使用の心配が大きく減るということですね。

Yubikeyは個人用にも！SNS乗っ取り・不正送金などを防止

個人プライバシーの保護も重要

PJ-T&C藤本：最後に、YubiKeyを個人で使用する場合についてお話していただきましょう。YubiKeyは、個人のセキュリティにどのように貢献してくれるのでしょうか？

Yubico大友氏： 個人の環境では、YubiKeyのパスワードレス認証によってSNSのアカウント乗っ取り等を防ぐことができます。

SNSが普及し、個人も自由に写真や意見をシェアできるようになりましたが、私の友人も含めてアカウントが乗っ取られ、意図しない詐欺メッセージや詐欺リンクが送られてくることも頻繁に起こるようになりました。
SNS環境は個人で守る必要があり、パスワードはもはや脆弱性の塊になっています。可及的速やかなパスワードレスの実現は、個人情報保護や詐欺被害を防ぐためにも必要です。YubiKeyは今後のパスワードレス社会で重要な要素になります。

PJ-T&C藤本：確かに、パスワードの脆弱性は個人用SNSアカウントの乗っ取りや不正送金のニュースでも取り上げられていますね。

YubiKeyを用いることで、個人のSNS環境も強固に保護でき、詐欺被害なども未然に防ぐことができるとのことでした。

YubiKeyは、これから来るパスワードレス社会の先駆けなのですね。
大友さん、有難う御座いました。

YubiKeyに関するお問い合わせや導入のご相談はこちらからご連絡ください。

関連記事：「鉄壁セキュリティキーYubiKeyをテレワークに導入して起きた3つの変化」