10年前のRSAカンファレンス2008で、Yubico社は、セキュアでありつつ簡単にログインすることができ、誰にでも使える製品を追求した、最初のYubiKeyを披露しました。一本のセキュリティキーで、複数のサービスでの利用を、とても使いやすく、安全で、プライバシー保護に役立つ製品を目指すものでした。
今回、Yubico社は、先日発表した FIDO2プロトコルに対応した“Security Key By Yubico”が、Windows 10およびMicrosoft Azure Directory(Azure AD)でサポート予定の発表を行い、このビジョンにさらに大きく近づきました。現在のところ、マイクロソフトテクノロジーアドプションプログラム向けのプレビュー版での利用に限定されています。
FIDO2プロトコルは、Yubico社とGoogle社が共同開発したFIDO U2F(Universal 2nd Factor)のパスワードレスへの発展形です。U2Fプロトコルはユーザー名とパスワードの入力が必要でしたが、FIDO2は複数の認証に対応しており、パスワードレス認証もサポートしています。Yubico社は、FIDO2の技術的な仕様の開発にマイクロソフト社と協業し、“Security Key by Yubico”をFIDO2対応の認証デバイスとして、世界初で出荷を開始しました。
「FIDO2」とは
企業ではまもなく、従業員やカスタマーに対して、パスワードレスでAzureADへサインインする選択肢を提供し、Security Keyを使って、Azure ADベースのアプリケーションやサービスへシングルサインオンすることができるようになります。このことは、まだ序章に過ぎず、Google社とMozilla社は、ChromeやFirefoxブラウザでWeb Authentication API(Web Authn)のサポートを発表しました。このWeb Authnは、Yubico社を含むW3C参加メンバーによって開発され、FIDO2の仕様を採用しています。
「FIDO2」の仕組み
FIDO2プロトコルの安全性やプライバシー保護の機能は、FIDO U2Fプロトコルと同一です。(具体的には、強固な公開鍵暗号方式を採用しており、ドライバーやクライアントソフトウェアが不要で、1本のキーで対象アカウントの上限無く、シークレット情報の共有はされません。FIDO U2Fを利用する場合、ユーザーは、ユーザー名とパスワード入力を行い、USBポートにSecurity Keyを差し込んで、金属部分にタッチします。
FIDO2は、このログインプロセスの変更ができるようになります。
シングルファクター(パスワードレス):”Security Key”を差し込むだけで認証が可能。パスワードレスの「タップアンドゴー」での認証が可能。
セカンドファクター(二段階認証):GoogleやFacebookのFIDO U2F実装のような二段階認証の場合、”Security Key by Yubico”は、ユーザー名とパスワードの入力後の二要素目の認証として利用される。
マルチファクター(多要素認証):”Security Key by Yubico”の利用時にPINコード入力の併用が可能。マルチファクターは、金融取引や処方箋の提出時に求められる高い保証に利用できる。
利用方法
Yubico社は、オープンソースコードとサポートを提供してFIDO U2Fの導入支援を行ってきました。W3CやFIDOアライアンスと一緒に、FIDO2オープンスタンダードを提供し、新Yubico Developer Programを通じて、導入支援を行ってゆく予定です。
(ソース)Yubico and Microsoft Introduce Passwordless Login(2018-04-16) byStina Ehrensvard
Comments