top of page
Blog article

Blog article

自社サービスの2要素認証化でセキュリティ強化


医療・薬剤関連企業より、薬局における対人業務サポートシステムの認証強化に関するご相談をいただきました。YubiOnではこの問題に対して、YubiOn FIDO2 Serverによる認証サービスの導入とFIDO2対応の認証デバイスYubiKeyの使用を提案し、問題解決に導きました。今回はその具体的な内容をご紹介します。


導入組織
  • 医療・薬剤関連企業 導入規模:

    • YubiOn FIDO2 Serverによる認証サービス導入 薬局における対人業務サポートシステムに弊社の認証サービスを導入することで、FIDO2認証による2要素認証を実現。千店舗を超える薬局が対人業務サポートシステムを利用。

    • 認証デバイスYubiKeyの採用 各薬局の作業者分のYubiKeyを手配 (非生体の物理キー)


課題
自社サービスのログイン課題
自社サービスのログイン課題

  • 薬局における対人業務サポートシステムのセキュリティ強化 医療・薬剤関連企業の提供する対人業務サポートシステムでは、薬局から患者さんへの服薬フォロー、患者さんからの服薬相談、来局予約をシステムを用いて効率化し、対人業務をサポートしています。システムのセキュリティ面では、厚生労働省の「医療情報システムの安全管理に関するガイドライン第5版」に記載されている2要素認証 (*1) の導入が求められています。また、2要素認証の導入に関しては、セキュリティ強度を保ちつつ、サポート業務にあたるエンドユーザーの利便性も考慮する必要がありました。今回は対人業務サポートシステムの2要素認証化によるセキュリティ強化とエンドユーザーへの利便性の向上が課題となります (*1) 2要素認証とは、認証の3要素である「知識情報 (パスワードやPIN)」「所持情報 (認証デバイス等)」「生体情報 (指紋等)」のうち、異なる2つの要素を組み合わせた認証です。


解決
YubiOn FIDO2 Serverの認証サービス導入による課題解決
YubiOn FIDO2 Serverの認証サービス導入による課題解決

  • YubiOn FIDO2 Serverによる認証サービスの導入 弊社の認証サービスを利用することで、認証サーバーを別途構築することなく対人業務サポートシステム(RP)にFIDO2による2要素認証を導入できました。FIDO2認証の組み込みに関しては、開発支援ツール(SDK)の提供もあったため、スムーズに導入できたという声を頂いております。エンドユーザーの認証に関しては、ユーザーID入力後、認証デバイスYubiKeyをUSBポートに挿して、PINコード入力後にYubiKeyにタッチすることで、所持と知識による2要素認証が完了します。長くて複雑なパスワードを覚える必要がなくなり、「YubiKey + PINコード入力」というシンプルな操作で認証ができるため、ユーザーの利便性を損なうことなく認証強化を実現しました


  • FIDO2 (*2) 認証について 従来のID・パスワードによる認証では、ユーザーが入力したID・パスワードを元にサーバー側で認証処理を行い、ユーザーを識別するものでした。しかし、パスワードを何度も試行されるような攻撃(ブルートフォース)やパスワードが盗み取られる(フィッシング)といった危険性があります。また、同じパスワードを複数のサービスで利用することで被害が拡大するといった問題もあります。 このようなパスワード問題を解決するために登場したのが、FIDO (Fast Identity Online、ファイド)による認証です。FIDOでは公開鍵暗号方式 (*3) を用いたセキュリティ強度の高い認証を行います。従来の認証では、サーバー側で認証処理をしていたのに対し、FIDOでは手元にある認証デバイスでユーザー検証を行い、サーバー側では認証結果を検証する仕組みとなっています。秘密情報が外部に漏れ出ることはなく、フィッシング攻撃等に強い認証方法となります。今回紹介したユーザーの検証方法では、認証デバイスYubiKeyによる所持情報とPINコードによる知識情報を組み合わせた2要素認証を行っています。下記の図はFIDO2の認証シーケンスを簡単に表したものです。 (*2) FIDO2 W3Cが標準化したWebAuthnと呼ばれる公開鍵暗号によるデジタル署名を応用したWeb認証技術と、FIDO Allianceが策定したCTAPと呼ばれるデバイス間との通信技術で構成されています。 (*3) 公開鍵暗号方式 公開鍵と秘密鍵という異なる鍵を利用して暗号化・復号化を行う方式です。公開鍵で暗号化したデータは対となる秘密鍵でしか復号できないという特徴を持っています。

簡易的なFIDO2の認証シーケンス
簡易的なFIDO2の認証シーケンス

  • 認証デバイスYubiKeyの採用 FIDO2認証では生体による認証も可能でしたが、生体認証のデバイスが高価であったこと、現場の利便性に不向きと判断されたことから、非生体モデルの認証デバイスYubiKeyが採用されました。また、FIDO2機能に絞ったYubiKey Security KeyシリーズはYubiKeyの中でも比較的安価に手に入るため、認証デバイス導入コストを抑える事が可能でした


最後に

今回ご紹介した製品や認証デバイス情報を下記にまとめています。お求めの際にはお気軽にご相談ください。


  • YubiOn FIDO2 Serverによる認証サービスの導入 FIDO2による認証サーバーサービスの利用に関しては製品紹介ページを参照ください。 ※弊社のYubiOn FIDO2® Serverは2019年3月11日にFIDO2サーバーとしての認定を受けています。

YubiOn FIDO2 Serverの認定書
YubiOn FIDO2 Serverの認定書

  • 認証デバイスYubiKey 弊社ではFIDO2 (PIN/生体)や複数のプロトコルに対応した認証デバイスの販売を行っています。弊社YubiKeyショップまたはAmazonから購入することが可能です。

※大量購入やお見積のご要望はお問い合わせページからお問い合わせください。




コメント


bottom of page