カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 金融情報Navi

ISR、フィッシング耐性のある認証サービス「YubiKey as a Service」の強みとは？

2024年7月29日8:05

インターナショナルシステムリサーチ（ISR）は、2024年7月24日に記者説明会を開催し、FIDO2を利用したパスワードレス認証やスマートフォンアプリによる生体認証などのゼロトラストMFA（多要素認証）などの機能を提供するアイデンティティ管理プラットフォーム「CloudGate UNO」のオプションとしてYubicoの「YubiKey as a Service」を国内企業向けに提供開始することを発表した。

池谷貴

半数以上の組織がランサムウェア攻撃を経験
増加する国内のフィッシング

Sophos「The State of Ransomware 2024」によると、昨年は59％の組織がランサムウェア被害に遭い、過去 2年間の66％から減少している。しかし、それでも回答した組織の半数以上が攻撃を経験している状況だ。業界別のランサムウェア攻撃として、中央・連邦政府が68％（2023年は70％）、州・地方政府は34％（2023年は69％）となっている。

ランサムウェア攻撃の主な原因として、脆弱性の悪用が36％、次いで認証情報の侵害が29％だった。また、フィッシングも増えており、認証情報が盗まれている。業界別のランサムウェア攻撃の主な原因を見ても、中央・連邦政府、州・地方政府、ビジネス・プロフェッショナルサービス、金融サービス、建設・不動産などで認証情報の侵害となった。

ランサムウェアの国別の攻撃比較をみると、日本は昨年より30％ポイント減となったが、世界平均は5ポイント上昇している。その一方で、フィッシング対策協議会「フィッシングレポート」の国内の届け出件数をみると、届け出件数は右肩が上がりで伸びている。

FIDOベースのフィッシングに強い認証手段を追加
CloudGate UNOのオプションサービスに

そうした中、ISRでは、CloudGate UNOのオプションとしてYubico社のYubiKey as a Serviceを国内企業向けに提供開始する。同サービスの概要について、ISR マーケティング部 General Manager 菊池昇氏が紹介した。

フィッシングやランサムウェアなどのサイバー攻撃が増加の一途をたどっていが、いまだに多くの企業でユーザー名とパスワードをベースとした認証を使用している。パスワードレス認証の導入を妨げる要因の1つと考えられるコストや手間を軽減することで、より強固なセキュリティソリューションを身近なものにすることがYubiKey as a Service提供の目的となる。

なお、YubiKeyは複数の認証プロトコルに対応しており、1,000を超えるアプリケーションやサービスにおいて、二要素認証や多要素認証（MFA）デバイスとして活用できる。現在、YubiKeyは160カ国以上で、中小企業から世界最大級の企業まで、数百万人に利用されている。そのユビキタス性は、単一のキーがすべての主要なオペレーティング・システムや、モバイル・デバイス、および何千もの異なるアプリケーションやサービスにわたって機能することを意味し、さまざまな状況で強固なセキュリティを提供するそうだ。ISRはYubiKey as a Serviceの販売代理店としては第一号となる。

YubiKey ５シリーズおよびSecurity Key Series - Enterprise Edition向けのYubiKey 5.7 Firmware Updateを発表（Yubico）

YubiKey as a Serviceの利用によって、企業におけるユーザーグループへのYubiKey導入負荷低減、容易性の向上、キー管理に要する時間と労力を削減可能だ。ISRのアイデンティティ管理プラットフォーム「CloudGate UNO」と組み合わせることで、パスワードレス認証による SSO（シングルサインオン）を通じてクラウドサービスにアクセスするユーザーに対して FIDOベースのフィッシングに強い認証手段を追加可能だ。

パスワードはネットワークを通じてサーバーに送信され、サーバー側にも保存される。そのため、パスワードを知っていれば誰でも、どこからでもアクセスできてしまう。一方、PINは、紐づいたデバイス内に保存され、外部に送信されない。また、紐づいたデバイスとPINの両方が揃っていないとアクセスができない特徴がある。

YubiKey as a Serviceは、前述のように初期コストを抑えられるサブスクリプション型のため、MFAソリューション(YubiKey) を事業運営費（Opex) として導入可能だ。また、サブスク可能な YubiKeyラインナップの中であれば、契約期間中、導入時と異なる種類・タイプへの変更が可能。さらに、ビジネス展開、社員の退職やキーの紛失ペースに合わせて、最新技術を優先した形でユーザーのシステムアクセス保護ができる。加えて、効果的な導入支援として、スムーズな導入に向けたカスタマーサクセスマネージャー（CSM）など、セキュリティエキスパートのサポートが含まれる。

なお、YubiKeyの製品保証期間は通常一年だが、サブスク期間に延長可能だ。また、不測の事態や紛失などのためのバックアップキーを契約の初回送付時に同梱。例えば、1,000個の場合、250個契約ライセンスキーを送付する。また、契約キーと同等のセキュリティレベルを担保する。例えば、SMSやモバイルアプリ（OTP）といった「弱いMFA」の認証方式に依存しないリカバリーが可能だ。

さらに、YubiKey as a ServiceをCloudGate UNOと併用することで、企業のセキュリティガイドラインに沿った形で実装が可能だ。モバイル端末の認証器と社外アクセス（在宅勤務者）の「勤怠系SaaS」、パソコン認証器と社内アクセスのみの「CRM系SaaS」、社内特定のパソコンとYubiKeyによる認証の「財務系SaaS」などだ。

また、工場作業員・医療従事者・研究開発者など、認証機が付いていないデスクトップパソコンを使用している人、または携帯持ち込み厳禁の現場における本人認証に活用できる。さらに、共有パソコンを使う企業にも最適な本人認証だとした。