2025年2月6日
報道関係者各位
PCのログオンを多要素認証化する「YubiOn FIDO Logon」において、FIDO2シナリオの追加メカニズムであるEnterprise Attestation機能を2025年2月6日より対応開始しました。
Enterprise Attestation機能は、その機能に対応した認証器が必要になります。YubiOn FIDO Logonでは、このEnterprise Attestation機能に対応した認証器のことを「企業向け認証器」と呼びます。
企業向け認証器およびその機能を使うことで、YubiOn FIDO Logon内で使用可能な認証器を制限することができます。
これにより、企業の管理者が用意した認証器だけをエンドユーザーに使用させることが可能になるほか、どのエンドユーザーがどの認証器を使用しているかが特定できるため、資産管理や物品管理が可能になります。
株式会社ソフト技研(代表取締役 藤田法夫 1983年設立)は、「YubiOnセキュリティ認証サービス」パスワードレスの世界を誰でも簡単に実現できる「YubiOn FIDO Logon」クラウドサービスを2021年5月より提供しています。2024年7月1日より「YubiOn FIDO Logon」にリモートデスクトップ接続においてもパスキー認証を用いたPCログオンの対応を行いました。また企業における導入をより簡単にできるよう、導入時のキー登録に強力なオプションを2024年11月6日より提供開始しています。今回さらにEnterprise Attestation機能に対応した企業向け認証器を利用することにより、管理のしやすさを追及しています。
画像:企業向け認証器のみを使用できるように制限
Enterprise Attestationについて
通常、パスキー(FIDO認証)はエンドユーザーが使用する認証器を識別することができません。そのため、エンドユーザーは自由に認証器を登録することができますが、管理者はエンドユーザーがどの認証器を所有しているのかを把握することができません。
しかし、企業によっては、エンドユーザーがパスキーで保護されているだけでは十分ではなく、そのパスキーが自社で準備した認証器のみを利用していることを保証したい場合があります。
Enterprise Attestationは、認証器を一意に識別して、使用が許可されているかどうかを判別できる機能を提供しており、上記のような企業の要望に対応することを目的としたものです。
Enterprise Attestation機能を利用するためには、これに対応した特別な認証器(企業向け認証器)が必要となります。
YubiOn FIDO Logonが提供する企業向け認証器機能
YubiOn FIDO Logonでは、エンドユーザーがPCにログオンする際にパスキー認証を行う機能を提供しています。
企業向け認証器機能を利用することで、YubiOn FIDO Logonで使用する認証器をシリアル番号で管理できるようになります。
これにより、エンドユーザーがパスキー認証を行う際、個人が所有する認証器の登録を防止し、あらかじめ管理者が指定した認証器のみを利用させることができます。
また、利用中の認証器の確認や認証器の紛失時の対応など、認証器単位での管理が可能になります。
利用の一例として、ある企業が企業向け認証器を使用するシナリオを考えます。
企業の管理者が社員であるユーザーAに対して、企業が用意した認証器を貸与します。
管理者はYubiOn FIDO Logonの管理WebサイトでユーザーAに対して企業向け認証器をあらかじめ割り当てしておくことで、ユーザーAがPCログオン時に使用できる認証器を指定できます。
ユーザーAは個人所有の認証器は使用できないため、貸与された認証器でPCにログオンします。
管理者は管理WebサイトでユーザーAと認証器の利用状況を確認できます。
画像:管理者がエンドユーザーの認証器を指定
1.YubiOn FIDO Logonとは?
「YubiOn FIDO Logon」とは、PC端末のログオンをFIDO(パスキー)を利用した2要素認証に強化できるクラウドソリューションです。Web認証標準であるFIDO認証技術をPC端末のログオン認証強化で利用できる事と、管理者がクラウド上で管理・制御できる事が最大の特徴です。また、Active Directory(AD)、Azure AD(Microsoft Entra ID)にも対応しています。
画像:YubiOn FIDO Logon概要
2.YubiOn FIDO Logonの特徴
1)Web管理コンソールで管理・制御が可能
管理者はWeb管理コンソールから、登録した端末の状態や認証情報をいつでも確認できるほか、設定の変更がすぐに端末に反映されるため、リアルタイムな管理ができます。
認証ログをWebで確認できるため、インシデント発生時にもすぐに状況把握が可能です。
2)強固なFIDO(パスキー)認証を簡単に導入
ソフトウェアインストールと簡単な初期設定でPC端末のログオンをFIDO認証にアップグレード。
FIDOの強固なセキュリティをPC端末に導入できます。
3)さまざまなFIDO認証器に対応
「FIDO2」の仕様に基づいた各種認証器に対応しているため、認証方法を自由に選択可能。
「PIN」&「認証器」、「指紋」&「認証器」などお客様のニーズに合わせたパスワードレス認証が利用できます。
また、認証器としてAndroid・Appleのスマートフォンを利用できるため、更に認証方法の選択肢の幅が広がりました。
さらに企業の管理者が用意した企業向け認証器だけをエンドユーザーに使用させることが可能です。
どのユーザーがどの認証器を使用しているかが特定できるため、資産管理や物品管理が可能となります
3.利用シーン
セキュリティが気になるさまざまなシーンでお使いいただけます。
1)Active Directory(AD)・Azure AD(Microsoft Entra ID)をお使いの環境で、
PC端末に2要素認証を導入したいがAD・Azure ADの設定は変更したくない、WindowsHelloは使いたい認証器が使えないなど、環境による制約がある場合。
「YubiOn FIDO Logon」はADの設定に縛られることなく、自由なセキュリティ設計ができます。
2)特定のアカウントだけ2要素認証を使いたい。
Administrator権限を持ったWindowsアカウントだけを2要素認証にするなど、アカウントごとの細やかなセキュリティ設定ができます。
3)パスワード忘れの問い合わせを減らしたい。
FIDO Logonは、初回の入力以降のWindowsパスワード入力が不要なパスワードレスのため、パスワード忘れの問い合わせを減らすことができます。
4.製品スペック
1)システム構成図
画像:YubiOn FIDO Logon構成図
2)動作環境
CPU :1GHz 以上の 32 ビットまたは 64 ビットプロセッサ
メモリ :2GB 以上
ストレージ :100MB 以上の空き容量
必須ミドルウェア:.NET Framework 4.7.2以降
3)サポートOS
クライアントOS:Windows10、Windows11
サーバーOS :Windows Server 2016、Windows Server 2019、Windows Server 2022、Windows Server 2025
※ Windows10、11の詳細バージョンのサポートはマイクロソフトのサポートライフサイクルに準じます。
4)主な機能
(1)2要素認証
PC端末のログオンをFIDO認証器(FIDOセキュリティキー、スマートフォン)を用いた2要素認証で強固に防御します。
FIDO2認証器(スマートフォンによるパスキー認証を含む)であれば、「PIN」&「認証器」、「指紋」&「認証器」などパスワードを使わない組み合わせも利用できます。
(2)FIDOログオン強制機能
Windowsのログオン時にFIDO認証器を使用したログオンを強制する機能です。
(3)スクリーンロック機能
FIDOセキュリティキーを抜いたときに画面をロックします。
(4)リモートデスクトップログオン対応
Windows標準リモートデスクトップのログオン認証でパスキー認証に対応しています。
(5)ログイン画面キー登録
アカウントへのキー登録を、ログオン画面で強制的に行わせる機能です。
(6)オフラインログオン機能
・キャッシュログオン
前回認証時のキャッシュを保持し、オフライン時の認証を行う機能(キャッシュログオン)です。
・有効期限設定
キャッシュ情報の有効日数を設定します。
(7)リモートロックアウト機能
Web管理コンソールで遠隔から端末をログオン不可状態(ロックアウト)にする機能です。
(8)認証失敗ロックアウト機能
・認証失敗ロックアウト
一定回数ログオンに失敗した時、端末をロックアウトする機能です。
・自動解除設定
自動ロックアウト後、一定時間経過でロックアウトを自動解除する機能です。
(9)グループポリシー機能
YubiOn FIDO Logonの各種設定をグループ化した端末ごとに反映する機能です。
(10)ログ管理機能
端末のログを収集し、Web管理コンソールで閲覧する機能です。
(11)位置情報の取得
端末の位置情報を収集し、ログに表示する機能です。
(12)バージョン更新
クライアントソフトウェアのバージョンアップ機能です。
(13)アンインストール制限機能
一般利用者がソフトウェアをアンインストールできないように制限する機能です。
5.料金について
・年額 5,000円から/1アカウント(年払いの場合)
※企業向け認証器については別途ご購入が必要です。ソフト技研で取り扱っておりますので
詳しくはお問い合わせください。
6.サービスページについて
・以下のページを参照ください。