ソフト技研 AdventCalendar 11日目の記事です。本日は YubiKey 5 の基本機能と Security Key by Yubico との違いについて解説します。
本シリーズの目次
・part1: YubiKey の種類
・part2: YubiKey 5 の機能(本記事)
・part3: 開発者向けツール(次回)
YubiKey 5 の機能
先日のエントリで、YubiKey には、大きく分けて 2種類 が存在すると書きました。
弊社でのお問い合わせでも Security Key を買うべきか、YubiKey 5 を買うべきかというお問い合わせをいただくのですが、一言でいうならば
FIDO 認証に利用するのであれば Security Key でよく、そのほかの機能を利用したい場合は YubiKey 5 シリーズが良いです。
Security Key で利用可能なサービス
具体的に FIDOプロトコルで認証が可能なサービスを挙げると
FIDO U2F
FIDO2 or WebAuthn
※Microsoft での利用方法は、先日、翻訳ブログでご紹介しました。
対応サービスは次々増えているためすべては挙げられませんが、FIDO U2F/ WebAuthn は基本的に Webブラウザを利用した認証です。ご利用されたいサービスに問い合わせる際には、認証が FIDO 認証(U2F/FIDO2) なのか、それ以外(以下で解説します)なのかを確認していただくとよいかと思います。
ただし、FIDOプロトコルのみの利用であっても、NFC機能が必要な場合は、後述の YubiKey 5 NFC が必要です。
(現在は NFC 付き Android デバイス, 一部の Windows 10 デバイスが対応)
YubiKey 5 シリーズの機能
Security Key by Yubico では最新の FIDO プロトコルと FIDO U2F が利用可能です。
では YubiKey 5 シリーズは何が可能なのでしょうか。
YubiKey 5 シリーズは、Security Key by Yubico の全機能に加え、Yubico 独自、あるいは標準的な認証プロトコルを複数利用可能です。
Multiple protocols on one key. Completely configurable.
Yubico OTP
複数のプロトコルに対応していますが、最も多いユースケースとしては Yubico OTP を利用する方法かと思います。
FIDO や WebAuthn は新しいプロトコルであるがゆえに、プラットフォーム対応が完全には進んでおりません。
Yubico OTP は YubiKey の「タッチをするだけ」というユーザアクションに OTP を結び付けたことで、タッチするだけで認証が完了するというユーザエクスペリエンスを提供します。また、OTP は単純なテキストとして出力されるため、認証デバイスに依存しません。入力も、直接 PC に挿入してタッチする以外にも、NFCで携帯で読み取るなど柔軟な使い方が可能です。
例えば Lastpass では、YubiKey のマルチデバイスで動作する利点を利用して、Windows, Mac, Android, iOS で動作が可能となっています。
特に iOS での利用や、WebAuthn が利用できない場合には、まだまだ現役の認証方法だと思います。
弊社の Windows ログオンサービスでも Web画面のログオンやオンライン時の認証に利用しています。
TOTP
YubiKey 5 シリーズには、Google Authenticator などで利用される、6桁程度の TOTP(時刻ベースのOTP)を格納する機能が付いています。 Authenticator アプリを利用した認証は、非常に手軽に2段階認証を導入できますが、その OTP のシードをどこに保管するかは非常に難しい問題です。
スマートフォンが故障してしまうと、シードは失われてしまいますし、「個人のスマホに会社の機密情報を入れたくない」という従業員・経営者の声も少なくないかと思います。 また、1つのアカウントを複数人で使いまわす際などは、TOTP のシードを画像で管理しているなどというケースもお聞きします。
こういったときに、ハードウェアデバイスである YubiKey に認証情報を保存することによって問題を解決できるかもしれません。
YubiKey にシードを保存することで、キーが無ければ利用できない状況を作ることが可能ですし、個人のスマホには秘密情報を保存せず、Windows PC, Mac上で OTP を確認可能です。
また外部デバイスにOTPのシードが保存されているので、例えば複数人でキーをシェアして利用する、利用時のみ貸し出す運用を行う、などデバイスであるが故のワークフローも作成することも可能です。
「機密情報を保持したくない」従業員と、「機密情報を管理したい」経営者の両方の要件を満たせるソリューションです。
証明書
YubiKey には PIV(Personal Identity Verification)規格に準拠したスマートカード機能が搭載されています。これにより YubiKey 内部に、クライアント証明書等の証明を格納することが可能です。
具体的には Microsoft Active Directory の証明書でのログインであったり、VPN接続におけるクライアント証明書の格納といったことが可能です。
いずれの場合も YubiKey は PIN コードで保護されるため、証明書ベースの強力な2要素認証となります。
また、同様に OpenPGP で利用する秘密鍵の格納も可能です。
弊社では Windows Active Directory 環境でのデプロイマニュアルを作成して公開しております。
その他の認証
その他にも OATH-HOTP といった認証プロトコル、あるいは静的パスワードの設定も可能です。 単に複雑なパスワードをハードウェアに記憶させるという運用も可能です。
また、OTPや静的パスワードを設定できるスロットは2スロットあるため、Yubico OTP を利用しながら、2スロット目で静的パスワードを利用するなど、複数機能を同時利用が可能です。
まとめ
このように YubiKey 5 は、複数のプロトコルに対応し、旧来のシステムでの2段階・2要素認証の利用から、最新プロトコルを利用したパスワードレス認証まで幅広く利用可能です。
つまり、現在利用しているシステムへの追加の認証から、将来のパスワードレス認証まで幅広くご利用いただける製品であるといえます。
弊社では YubiKey を利用した認証ソリューション、認証システムの構築等を展開しております。YubiKey や認証に関するお問い合わせは、お問い合わせページよりお願いします。