本日、YubiOn FIDO Logonの新しいバージョンをリリースいたしました。YubiOn FIDO Logonも2021年5月のリリース以来、様々なアップデートを行ってきましたが、今回は初のメジャーアップデートとなります。
なんと、スマートフォンを使ってWindowsへのログオンが出来るようになりました!
今までYubiOnのログオン製品はいずれも、何らかのセキュリティキーデバイス(YubiKey / FIDOセキュリティキー)が必要でしたが、ついに、セキュリティキーが無くても使えるYubiOn製品が出来てしまいました。弊社はセキュリティキーの販売代理店もやっていますので、その販売促進という観点ではよろしくないのかもしれません。ですが、PCログオン強化を導入しやすくする、より多くの方に使っていただける、という観点で、皆様にお勧めしやすい製品になったと考えています。
■スマートフォンによるパスキーログオンを試してみる
まずは実際の動作を見ていきましょう。YubiOn FIDO Logonの登録・PCへのクライアントアプリのインストール・登録コードの設定までは終わっている状況から実際の動きを確認していきます。
前提条件として、インターネットに接続されている事・PCとスマートフォンがBLE(Bluetooth Low Energy)に対応している必要があります。また、スマートフォンのOSのバージョンは、Androidの場合はAndroid 9以降、iOS / iPadOSの場合はバージョン16以降が必要です。
設定ツールを起動して、「認証設定」を開きます。
この認証設定画面は以前は「登録」「削除」のボタンがありましたが、「登録」ボタンが「スマートフォンを登録」ボタンと「セキュリティキーを登録」ボタンに分かれています。「スマートフォンを登録」ボタンをクリックしてみましょう。
しばらくサーバーと通信した後、画面上にQRコードが表示されます。このQRコードを読み取る事で、スマートフォンをセキュリティキーなどと同様の「認証器」として利用する事が出来ます。ここでは、Android端末を使ってQRコードを読み取ってみましょう。
QRコード読み取りアプリなどでQRコードを読み取ると、スマートフォン側でこのような画面が表示されますので、「許可する」をタップして進んでいきます。
スマートフォン側で登録の確認画面になるので「続行」をタップします。
私の持っているスマートフォンは指紋認証に対応していますので、指紋認証を要求されます。いつもスマートフォンをロック解除する要領で、指紋センサーにタッチします。(この画面はスクリーンキャプチャ出来ないようですので、ここだけ写真です)
しばらくサーバーと通信した後、登録が完了します。これで認証の準備は出来ました。
続いて、実際のログオン・ロック解除を試していきましょう。
今回は軽く試すので、ログアウトではなく画面のロックで試していきましょう。スタートメニューから画面をロックします。
ロック画面を開くと、先ほど登録したスマートフォンに通知を送る、というメッセージが出てきます。ここは登録した端末によって動きが変わります。Appleデバイス(iOS / iPadOS)であれば、登録時と同じようにQRコードが画面に表示されます。Androidデバイスの場合は「通知によるHybrid認証」に対応しているので、このように通知を送る形になります。この辺りの違いは後述しますが、とりあえず認証を進めていきましょう。
「認証開始」をクリックすると、スマートフォンに通知が送られてきます。通知を開いてみましょう。
スマートフォン上での認証を求められます。登録の時と同様に指紋センサーにタッチして進みます。
ここまで進むと認証が完了し、Windowsのパスワード入力が求められます。この辺りはセキュリティキーを用いた時と同様で、一度パスワードを入力しておくと、次回からはパスワードは要求されません。
無事、画面ロックが解除されてデスクトップが表示されました。
■セキュリティキーはもう要らない?
スマートフォンがセキュリティキーの代わりになるのであれば、もうセキュリティキーは要らないのではないか、と思われる方もおられるかもしれません。ですが、実際の運用としては、セキュリティキーとスマートフォンは用途によって使い分けるのが良いと思います。例えば以下のような使い分けが考えられます。
・高セキュリティが要求される場面
データセンターなどの高セキュリティが要求される場面では、そもそもスマートフォンなどの通信機器を持ち込めない場合があります。そういった場合、データセンター内ではセキュリティキーを使い、外ではスマートフォンを使う、といった使い分けが可能です。
・物理的に認証情報を管理したい場面
高セキュリティの項と似た話になりますが、物理的にセキュリティキーを渡す事でPCの使用許可とする、といった使い方が考えられます。普段は管理者がセキュリティキーを預かっておき、必要な時にキーを渡す事でPCの使用を許可する、といった形になります。
・インターネット接続が無い場面
詳しくはこの後の「技術的な話①」の項で述べますが、今回のスマートフォン対応ではHybrid認証と呼ばれる仕組みを利用しています。このHybrid認証の仕組み上、インターネット接続が必須となっています。普段ネットワークが繋がる場面ではスマートフォンで手軽にログオンし、ネットワークが繋がらない場面ではセキュリティキーを用いてログオンする、といった使い分けが考えられます。
また、技術的な面は後述しますが、スマートフォンを認証器として登録した場合、synced passkeyとして、デバイスそのものではなくGoogleアカウントやApple IDで認証情報が同期されます(*1)。YubiOn FIDO Logonとは直接関係はありませんが、それらのOSアカウントの保護としてFIDOセキュリティキーを利用するのもお勧めです。もちろん、そのセキュリティキーをYubiOn FIDO Logonでも共用出来ますので、普段はスマートフォンで認証しつつ、トラブルなどの際にセキュリティキーで認証する、といった形で、セキュリティキーをマスターキーのように運用するのも良いかと思います。
ここまでの話、セキュリティキー販売代理店の社員としての立場もあると言えばありますが、一技術者の本音としてFIDOセキュリティキーもお勧めしておりますので、ご検討いただければ幸いです。
(*1)WEB管理コンソールからAndroid端末を登録した場合のみ、設定によってはdevice-bound passkeysとして扱われる場合があります。詳しくはこちらをご覧ください。
■技術的な話① - Hybrid認証
今回のアップデートは、技術的な言葉で言えば「Hybrid認証に対応」というアップデートになります。Hybrid認証については以前パスキーについての解説をした際に余談という形で説明しましたが、簡単に言うと、スマートフォンを外部認証器として用いるための仕組み(*2)となります。以前は「caBLE(cloud assisted BLE)」という名前で呼ばれており、主にAndroidとChromeブラウザでの実装が先行していました。Appleの方ではパスキー対応のタイミングで実装が行われています。
Hybrid認証は、PCとスマートフォンの間で通信を開始する方法の違いで、大きく分けて2つの利用方法があります。
①QRコードを読み取って接続
PC側でQRコードを画面に表示し、スマートフォン側でそのQRコードを読み取って接続をします。QRコード読み取り後はBLEでPCとスマートフォンが近くにある事を確認した上で、インターネット経由で認証情報をやり取りして認証を行います。
②通知を用いて接続
現時点ではAndroidのみの実装となりますが、一度①のQRコードでの接続を行っている場合、PC側からスマートフォンに対してインターネット経由で認証要求の通知を送る事が出来ます。こちらを用いると、毎回QRコードをスキャンしなくても、通知→スマートフォン側で認証、という流れで、より簡単に認証を行えます。もちろんこの際もBLEによる通信も行われているため、PCとスマートフォンが遠く離れているような状態では認証できません。
どちらも大きな流れとして、以下のような流れになります。
QRコード読み取り、または通知(インターネット経由)でHybrid認証開始
BLEでPCとスマートフォンが近くにある事を確認
インターネット経由でCTAP2(FIDOのデバイス通信プロトコル)を用いて認証のやり取りを行う。
認証完了
なお、Hybrid認証は、旧称のcaBLEの名前に「cloud assisted」とある通り、クラウドを経由して通信を行うため、インターネット接続が必須となっています。BLEでPCの近くにスマートフォンが存在する事を確認した上で、実際の認証情報のやりとり(CTAP2)はインターネット経由で暗号化されて行われます。暗号化・復号に必要な情報はQRコード・BLEのやり取りで行われるため、インターネット経由でも安全にデータのやり取りが行われます。
(*2)基本的にはPCからスマートフォンを外部認証器として用いる形が多いですが、Android上の最新のChromeブラウザなどではスマートフォン上にQRコードを表示して別のスマートフォンを外部認証器として用いる、といった実装も行われています。
■技術的な話② - synced passkeys
今回のアップデートで、WEBサイトでは「パスキーに対応」と銘打っていますが、以前お話しした通り、パスキーという言葉はやや曖昧です。今回どのように「パスキーに対応」したかを正確に表現すると、「Hybrid認証を通してApple・Androidのsynced passkeysに対応した」と言えるかと思います。
synced passkeys(旧称:マルチデバイスFIDOクレデンシャル、MDC)については以前も紹介しましたし、上でも少々触れましたが、認証情報をスマートフォンOSのアカウントで同期(共有)する仕組みになります。先ほどAndroid端末での認証情報登録・ログオンを試しましたが、ここで登録された認証情報は自動的にGoogleアカウントで同期され、同じGoogleアカウントを使っている別のAndroidスマートフォン・タブレットでも使用できます。Appleデバイスでも同様にApple IDでの同期が行われます。この仕組みによって、スマートフォンの買い替えなどを行っても再度の認証情報登録は不要になっています。
■まとめ
今回、YubiOn FIDO Logonのアップデートで追加されたスマートフォンでのログオンについて説明をさせていただきました。高いセキュリティを保ちながら、より便利になる方向に、セキュリティ製品として良い進化をさせられているのではないかと思います。
無料版として、有料版と同等の機能を3ヶ月間お試し頂けますので、まずは是非試して頂ければと思います。
■関連リンク
[YubiOn FIDO Logon]
[YubiOn FIDO Logon概要ページ]
[YubiOn FIDO Logonパスキー対応特設ページ]