サイバーセキュリティ 
2025年の4月終わりから日本国内で証券
FIDO2セキュリティキーによる特権アカウントの保護は、従来の認証方式と比較してセキュリティと利便性が向上しているため、内部および外部の脅威から特権アカウントを保護する最も良い方法です。
特権アカウントの保護に従来の方法が不十分な理由、FIDO2がどのようにセキュリティを強化するのか、およびFIDO2を特権アカウントに使用することのメリットについて、さらに詳しく説明します。
従来の認証方式が特権アカウントに対して不十分な理由
パスワードベースの認証や多要素認証 (MFA) などの従来の認証方式を特権アカウントに使用すると、さまざまなサイバー攻撃に対して脆弱なままになります。
パスワードベースの認証
パスワードベースの認証は、人為的ミス、パスワード管理の不備、およびフィッシング、ソーシャルエンジニアリング、ブルートフォース攻撃などの手法による悪用を受けやすいため、本質的に脆弱です。 例えば、脆弱なパスワードを作成して複数のウェブサイトで使いまわすケースがよくありますが、このようなパスワードにすると、サイバー犯罪者が推測して機密情報にアクセスしやすくなります。
多要素認証 (MFA)
MFAはパスワード単独の場合よりは安全ですが、依然として脆弱性があります。 多くのMFA方式は、SIMスワップ、中間者 (MITM) 攻撃、フィッシングによるワンタイムパスワード (OTP) コードなど、これらの保護を回避できるサイバー攻撃の影響を受けやすくなります。 例えば、フィッシング攻撃では、サイバー犯罪者がユーザーを騙してコードを漏洩させ、MFAの効果を損なわせて、アカウントのセキュリティを侵害することができます。
FIDO2とは?また、FIDO2はどのようにセキュリティを強化するのか?
FIDO2は、パスワードレスで、保護されたユーザー認証を可能にする認証標準のセットです。 この機能は、非対称暗号化に依存しており、認証に公開鍵と秘密鍵のペアを使用します。 公開鍵はサービスプロバイダーのサーバーに保存され、秘密鍵はユーザーのデバイスに安全に保存されるため、デバイスにアクセスできる権限のあるユーザーのみが認証を実行できます。 これは、認証サーバーが侵害された場合でも、ユーザー認証情報が盗まれることはないことを意味します。 FIDO2は、ウェブ認証 (WebAuthn) と CTAP (Client-to-Authenticator Protocol) の2つの主要コンポーネントで構成されています。 WebAuthnは、ブラウザがパスワードなしでユーザーを認証できるようにするAPIであり、CTAPは認証アプリとユーザーのデバイス間での通信を可能にします。 これらのプロトコルが、FIDO2のパスワードレス認証モデルの基礎を形成しています。
FIDO2が公開鍵暗号をどのように活用しているかを仕組みを説明します。
-
- 登録:ユーザーがFIDO2がサポートするオンラインサービスに登録すると、ユーザーのデバイスで一意の公開鍵と秘密鍵のペアが生成されます。 この鍵ペアは特定のウェブアプリケーションに関連付けられており、そのサービスに対してのみ使用されます。
-
- 認証:ユーザーがサービスにログインするたびに、サーバーからユーザーのデバイスにチャレンジが送信されます。 デバイスで秘密鍵を使用してチャレンジが署名された後、チャレンジはサーバーに返送されます。 サーバーは公開鍵で署名を検証し、ユーザーが秘密鍵を確実に保有していることを確認します。
秘密鍵と公開鍵のペアを使用することにより、FIDO2認証プロセスはパスワードを必要とせずにユーザーのIDを検証します。 ユーザーを認識するにあたり、パスワードではなく生体認証とセキュリティキーの組み合わせに依存しているため、より強力でありながらも便利な代替認証方法になります。 また、FIDO2ではワンタイムパスワード (OTP) などの機密情報を送信する必要がないことから、SIMスワップやフィッシング攻撃のリスクが軽減されるため、MFAよりも安全で使いやすい認証方法になります。
FIDO2セキュリティキーは、秘密鍵を保存する物理デバイスです。 ユーザーはアカウントにログインする必要があるときに、プロンプトに従ってFIDO2セキュリティキーを入力してタップし、秘密鍵でチャレンジに署名します。
FIDO2セキュリティキーを特権IDに使用するメリットとは
FIDO2セキュリティキーを使用すると、フィッシング攻撃に対する強力な耐性、パスワードが不要になる、シンプルかつユーザーフレンドリーな認証、および企業環境全体への拡張性など、多くのメリットが得られます。
フィッシングに対する耐性
FIDO2セキュリティキーを使用する最大の利点の1つは、物理ハードウェアであるため、フィッシング攻撃に対して耐性があることです。 これにより、サイバー犯罪者がソーシャルエンジニアリングやなりすましウェブサイトなどの手法で、認証情報を盗むことができなくなります。
シンプルでユーザーフレンドリー
FIDO2の場合、各オンラインアカウント用に複数のパスワードを覚えておく必要がなく、複雑なMFAメソッドに頼る必要もないため、ユーザー体験が向上します。 ユーザーはハードウェアキーを挿入またはタップするか、指紋や顔認識スキャンなどの生体認証を使用することによって、簡単に認証できます。 この機能により、特権アカウントを保護しながらも、安全かつ手間のかからない認証が実現できます。
企業環境全体に拡張可能
FIDO2セキュリティキーは、組織全体に存在する多数の特権アカウントを保護するために展開することができるため、エンタープライズ環境に理想的なセキュリティソリューションとなります。 強力な保護機能を提供しているため、既存のインフラストラクチャを複雑化させることなく、権限のあるユーザーのみが機密性の高いシステムにアクセスできるようにすることができます。 組織がどのブラウザやプラットフォームを使っているのかに関係なく、FIDO2によってユーザーのログイン体験を合理化できるため、組織のニーズに適応できる拡張性の高いソリューションとなります。
コンプライアンスと業界標準に対応
FIDO2は、データ保護とプライバシーを強化する安全なパスワードレス認証方式を提供することにより、一般データ保護規則 (GDPR)、SOC 2、NIST、HIPAAなどの主要規制を遵守します。 FIDO2を実装することにより、組織は機密情報やデータが脆弱な方法で送信または保存されることが決してないようにすることができます。 また、この機能によってデータ漏洩のリスクが軽減され、組織のセキュリティ体制も強化されるため、重要なコンプライアンス要件に準拠するためにも役立ちます。
まとめ:組織内でFIDO2セキュリティキーを実装しませんか?
組織内の特権アカウントを保護することは、システムとセンシティブデータの完全性を維持する上で重要であり、FIDO2セキュリティキーはこれを支援する優れた方法となります。
Keeperでは、すべてのデバイス上のボルトにアクセスする方法として、2FAメソッドでのFIDO2セキュリティキーの使用をサポートしています。 管理者は、FIDO2セキュリティキーの使用を強制し、唯一の2FA方式としてセキュリティキーの使用を要求することができます。 セキュリティ層が追加されることで不正アクセスから保護され、組織の重要なリソースを安全に保つことができます。
