Googleとか乗っ取りとか二段階認証とかYubikey
みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
第1回から3回にわたって「Yubikeyとは?」を簡単にご紹介してきました。
今回は、数あるセキュリティ商品の中からなぜYubikeyを選んだのか、また、そのYubikeyを使って今後何をしていくのかをご紹介します。
YubiKeyを選んだ理由
これまでいろいろ語ってきましたが、なぜYubikeyを選んだかというと、 「指でタッチしてログイン。簡単そう。」「鍵っぽいから」というのが理由です。 はじめはこんな発想で調べていたのですが、Googleアカウントの2段階認証プロセスのひとつ、【セキュリティー キー】で採用されていることがわかりました(2015年7月現在、Google Chromeのみで利用できます)。
以前、中国からの大規模なGoogleアカウント乗っ取り騒ぎがありました。「不審なアクティビティ」として登録携帯電話にメール通知された方も多かったのではないでしょうか。
このときあたりから、Googleサービスにログインするときなどに「安全のために、2段階認証を設定しましょう」という旨のアナウンスが表示されるようになりました。Googleの2段階認証にYubikeyがあることを知ったのはこの頃です。
Googleも採用するぐらいだし、触れるだけで簡単だし、安いし(←ここ重要!)、特にデメリットがなかったことがセキュリティプロダクトに選定した理由になります。
YubiKeyで何をしていくか
これからYubikeyを使って、Windowsログイン認証や各アプリケーションのログイン認証など、 さまざまな認証システムを開発する予定です。
私たちが生活してる中で、パスワードはさまざまはところで活用されています。
Windowsログイン、インターネットバンキング、各種サイトの会員ログイン等、同じパスワードを使いまわさずに、それぞれ個別のパスワードを使用することが理想です。
しかし現実は、「覚えるが面倒、というか覚えきれない」等の理由で全て同じパスワード、または類似したパスワードを使用してしまいます。 その場合、ひとつのパスワードが漏えいすると、全ての認証が破られてしまう危険性が高くなります。
それぞれ個別のパスワードを使用しても、付箋にパスワードをメモしてディスプレイに張っておくなど、結局パスワードがセキュリティ圏外で管理される状況もあるようです。
セキュリティと利便性が相反していることは前回ご紹介しました。煩雑なパスワード管理は本当に悩ましいところです。 セキュリティと利便性を兼ね備えたYubikeyを利用して、その悩みを少しでも軽減できるように、さまざまな用途に見合ったセキュリティシステムを開発していきます。
まとめ
いかがでしたでしょうか。
次回は、「多要素認証」について、ご紹介する予定です。
マメ男さんにYubikeyは必要ないのでは、という結論
みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
前回はYubikeyのメリット・デメリットをご紹介しました。
今回はYubikeyをどのようなシーンで利用するのか?そもそも本当に必要なのか?といった疑問に対する答えを探してみました。
Yubikeyの用途
Yubikeyは「パスワードを出力するデバイス」です。
Yubikeyをパソコンに挿してタッチして設定済みの固定パスワードを出力させる、といった利用方法がまず考えられます。
しかし、 固定パスワードを出力するためだけに、わざわざYubikeyを使わなくても・・というのが正直なところです。
第1回の記事からご紹介している通り、Yubikeyはワンタイムパスワード※を発行します。
ワンタイムパスワード、いわば使い捨てのパスワード機能を利用するのが、Yubikey本来の使い道です。
※ワンタイムパスワード (英: one-time password、OTP) とは、コンピュータリソースに対するアクセス用に発行される、一度限り有効なパスワードのことである。
(フリー百科事典 ウィキペディアより)
具体的な例を挙げると、次の用途が考えられます。
Yubikeyの用途
Yubikeyの必要性
Yubikeyは本当に必要か?結論から言うと、
- 自分以外何も信用できない。
- どんなに面倒でも全て自分で管理する。
- 自分自身がセキュアだ。
という方、つまりマメ男さんには必要なさそうです。
セキュリティと利便性は反比例しています。
面倒な工程を踏めば踏むほど相応のセキュリティは担保できます。面倒なのは勘弁してくれ、ということで利便性を求めればセキュリティを妥協してしまうことになってしまいます。
パスワードをアルファベットの大文字小文字や数字を駆使して複雑に設定したり、定期的に変更したりすれば、安全性は高くなります。
しかし、複雑にすればするほど覚えきれない、入力を間違える、といったデメリットも生まれます。
覚えきれないパスワードに面倒さを感じて、付箋にメモしてパソコンに貼り付けておけば、それこそ本末転倒です。
セキュリティと利便性のちょうどいいところにいるのがYubikeyです。
触れるだけで40桁以上のワンタイムパスワードが発行されるので、使用頻度が高くても触れるだけで一定のセキュリティが担保できるので、めんどくさがり屋さんにはうってつけのセキュリティプロダクトです。
まとめ
いかがでしょうか。 正直なところ、セキュリティ意識は、人それぞれ場面によっても違うもので、 こういったものを使う使わないの判断が一番重要になってくるのだと思います。
次回は、私がYubikeyを選んだ理由、Yubikeyを使って何をしていくのかをご紹介する予定です。
Yubikey無くさないで下さい。心配なら合鍵を作って。
みなさんこんにちは。日本情報システム株式会社 ICTソリューション部の進藤です。
前回の記事ではYubikeyをざっくりとご紹介しました。
今回はYubikeyを扱う上でのメリット/デメリットをまとめてみました。
言わずもがな、Yubikeyは導入するメリットが大きいのでぜひ多くの方に利用してほしいものです。ただ、無視できないデメリットもあります。デメリットをカバーして、利便性の高いサービスを考案しなくては、と考えております。
メリット/デメリットはあくまで個人的な見解です。導入をご検討の方はご参考までにご覧ください。
メリット
Yubikeyの最大のメリットは、パスワード入力・管理の煩わしさから解放されることです。
- Yubikeyに触れるだけで40桁以上のパスワードが発行されるので、複雑なパスワードを用意したり憶える必要がない
- ワンタイムパスワードなので定期的にパスワードを変更する必要がない
- 従来の認証方法と併用すれば、多要素認証となり、より強固なセキュリティになる
- WindowsOSに限らず、MacOSやLinuxOSにも使える
- コンパクトかつ、耐久性も高い
- Yubikeyを使ったプログラムを作成する場合、ある程度ソースが公開されているのでゼロスタートではない
ざっとメリットをあげてみましたが、いいことばかり書いても盛り上がらないので、 少しクレームを入れるべくデメリットもあげていきましょう。
デメリット
家の鍵を無くせば家に入れません。「鍵が無いの、なんとかしてぇ」で何とかなってしまえば本末転倒です。同様に、Yubikeyも無くしたとき何とかなりません。
- ログイン認証に使用している場合、無くしたらログインできない
- 設定を変更する場合、Yubico社が提供している管理ツールがあるが、マニュアルが英語
- Yubikey情報を紹介する日本語サイトがまだ少ない(2015年6月現在
- Windowsログイン等各アプリケーションにワンタイムパスワード認証を組み込む場合、専門的な知識が必要
導入にあたり、英語が苦手な方には少し敷居が高いかも・・
前述の通り、「Yubikeyを無くす=家の鍵を無くす」ことです。
Yubikeyは無くさないでください。心配なら合鍵を作ってくださいとしか言えません。
まとめ
いかがでしょうか。
今回は、Yubikeyのメリットやデメリットをご紹介しました。デメリットは全ての運用ケースで必ずしもあてはまるわけではありません。
運用方法でカバーできたり、そもそも必要なかったり、結局のところ使い方次第になります。
じゃあ、どう使えばいいの?本当に必要なの?と言った疑問に対して、次回、Yubikeyの具体的な用途や必要性をご紹介します。
指キー!なにそれかっこいい!じゃなくてYubikeyでした。
みなさんはじめまして。日本情報システム株式会社 ICTソリューション部の進藤です。
本ブログは、Yubico社のYubikey(詳細は後述します)を中心とした、セキュリティ商品の技術・開発情報や、運用・活用方法などをご紹介します。
弊社のプロジェクトで、実際にYubikeyを利用したプロダクトを開発するにあたり、「情報が少ない!もっと偉い人いないの!」と、憤りを感じました。というわけで、本ブログがYubikeyの導入・サービスの開発を検討されている方たちのお役にたてれば幸いです。
技術者とはいいつつも、あまり専門用語は好きではありませんので、「誰にでもわかる」をモットーにブログを掲載していこうと思います。
これからどうぞよろしくお願いします。
Yubikeyとは
ここから第1回目の本題となります。
今回は、Yubikeyって何!という方のために、まずはYubikeyを簡単にご紹介します。
前述の通り、セキュリティ関連のプロダクト開発をしていく上で、より簡単な操作でセキュリティを担保できるものはないのかと探していたところ、このYubikeyを見つけました。
指キー!なにそれかっこいい(実際にはYubikeyです。)のような始まりでしたが、知れば知るほど可能性の高い製品であることが判明しました。
概要
Yubikeyとは、Yubico社が開発したパスワード出力デバイスです。
USBポートに接続し、センサー部分に触れると40桁以上のワンタイムパスワードが出力されます。
YubiKeyとは、スウェーデンにあるYubico社が開発した、PCとUSB接続してパスワードを出力するデバイスです。 真ん中のセンサーをタッチすると、カーソル位置に44文字のパスワードを出力します。 出力するパスワードはOneTimePasswordで毎回異なりますので、たとえパスワードが流出しても安全です。
ワンタイムパスワードトークンYubiKey |(株)ソフト技研
https://yubikey.yubion.com/
Yubico社について
Yubico社は、スウェーデンに拠点を置き、全世界120カ国以上、5万社、数百万個以上に、ワンタイムパスワードタイプの多要素認証ハードウェアを販売している企業です。U2Fを規格策定する組織であるFIDO Allianceの中でも、中心的な役割を果たしています。主要ユーザには、フォーチュン100企業も多数挙げられ、Google、Microsoft、Salesforce、Facebookなども含まれます。
https://www.yubico.com/about/reference-customers/
機能/特徴
Yubikeyの主な機能・特徴です。
タッチするたびにカーソル位置に文字列が表示されます
- ワンタイムパスワード、固定パスワードの両方が使用可能。
- ドライバのインストールが不要。
- Windows以外にも、MacやLinuxなどでも使用可能。
- 小さい、軽い、薄い、頑丈、防水。
- USB給電で電池不要。
Yubikeyユーザによる体験談
以下の内容による破損・不具合等の保障は致しかねます。
・ポケットから出し忘れて洗濯機にかけちゃっても翌日使えた。
・折ろうとしても、自分のYubiが痛くなった。
まとめ
いかがでしたでしょうか。
今回はYubikeyの機能、特長について簡単にご紹介しました。次回はYubikeyを利用するメリット・デメリットについてご紹介する予定です。
