Yubico社 YubiKey

こんにちは。SCSKディストリビューション事業推進部Yubicoチームです。

YubiKeyをセットアップする流れについて紹介されている、Yubico社のWebページをご案内いたします。

YubiKeyは、FIDO認証をはじめ様々な認証方式に対応する、ユーザーアカウントの安全性を高めるための物理的なセキュリティキーです。
今回のコラムでは、Yubico社のWebページで解説している、YubiKeyをオンラインサービスに設定する方法とその重要性について説明します。この手順に従ってYubiKeyをセットアップすることで、オンラインサービスをより安全に利用できます。

該当の、Yubico社のWebページページはこちらになります。

Setup | Yubico

• ※現時点では日本語ページに対応していないため、日本語版での利用をご希望される場合は、ブラウザーの翻訳機能などをご活用ください。
• ※本情報は現時点の内容であり、今後メニューなどが変更される場合があります。
• ※本記事の内容については、Yubico社ページの英文の表現から一部変更して記載しております。

最初に、YubiKeyに対応しているオンラインサービスを選択します。こちらはYubiKeyで保護したいアカウントのサービスプロバイダと考えてください。代表的な例としては、Google、Dropbox、Microsoftなどがあります。

また、YubiKeyをどのように利用できるか（例：FIDO認証、PIV認証など）は、各サービスによって異なりますため、ご注意ください。各サービスに対してどのようにYubiKeyを利用できるかの例については、Yubico社が公開しているWorks With YubiKeyのページをご確認ください。

サービスが提供しているセキュリティ設定を確認する必要があります。具体的には、アカウントにログインし、セキュリティ設定へ移動します。

セキュリティ設定画面では、次のようなキーワードを探してください。

• 2段階認証
• 二要素認証
• 多要素認証

キーワードを見つけられたらセキュリティ設定画面にて、次のセキュリティオプションを1つ以上特定します。

• １．セキュリティキー
• ２．認証アプリ　※例えば二要素認証アプリ、認証アプリ等、他の名前で呼ばれる場合があります
• ３．パスキー

ご参考までにセキュリティキー、認証アプリ、パスキーの違いは次の通りです。

• １．セキュリティキー
  セキュリティキーは物理デバイスを使用し、高いレベルのフィッシング対策を提供することで、最も安全なMFA形式の一つとされています。
  保存される認証情報はパスキーですが、汎用端末にパスキーを保存するのではなく、専用のセキュリティキーに保存することで、パスキーの安全性を高めています。
• ２．認証アプリ
  認証アプリはワンタイムパスワードの生成・表示するためのソフトウェアベースのアプリケーションです。優れたセキュリティを提供しますが、セキュリティキーほどフィッシングに対する耐性はないです。Yubico社ではYubiKeyへ格納されたワンタイムパスワードを表示するためにYubico Authenticator(無償ツール)　を提供しております。
• ３．パスキー
  公開鍵暗号を使用し、資格情報の所有を確認します。スマートフォンでWebサイトやアプリにサインインする際には、スマートフォンのロックを解除するだけでログインでき、パスワードの入力は不要となります。

サービスがサポートしているアカウントのセキュリティオプションを把握したら、次のステップでYubiKeyの登録を行います。

YubiKeyをUSBポートに接続するか、NFCを使用するかを選択してください。 YubiKeyを初めて使用し、NFCを使用する予定の場合は、YubiKeyをアクティブにするために、最初にYubiKeyを電源付きのUSBコンセントに接続する必要があります。詳細については、Yubico社の下記ページをご確認ください。

Restricted NFC setup | Yubico

下記手順は一般的な手順を示していますが、サービスによってサポート内容が異なることにご注意ください。各サービスには独自のセキュリティ設定があるため、設定手順に違いがある場合があります。

• １．セキュリティキーの設定手順
  • １．選択したサービスにログインし、アカウントのセキュリティ設定に移動します。
  • ２．「セキュリティキー」を追加するオプションを探します。
  • ３．セキュリティキーを追加するには、ブラウザーに表示される指示も含め、サービスから提供される指示に従ってください。
  
• ２．認証アプリの設定手順
  • １．YubiKeyと互換性のあるデバイスにYubico Authenticatorアプリをダウンロードします。
    • ※Yubico Authenticatorは下記ページよりダウンロードください。
      Yubico Authenticator App for Desktop and Mobile | Yubico
  • ２．選択したサービスにログインし、アカウントのセキュリティ設定に移動します。
  • ３．「認証アプリ」を追加するオプションを探します。
  • ４．QRコードをスキャンするか、サービスによって生成されたキーコードを入力して、YubiKeyとペアリングします。
  • ５．Yubico Authenticatorによって生成された6〜8桁のコードをサービスに入力して、セットアップを完了します。
  
• ３．パスキーの設定手順
  • １．選択したサービスにログインし、アカウントのセキュリティ設定に移動します。
  • ２．「パスキー」を追加するオプションを探します。
  • ３．ブラウザーは、さまざまな方法でパスキーを作成するように求めます。「セキュリティキー」という名前または説明のあるオプションを選択してください。「セキュリティキー」を選択しないと、YubiKeyで保護されていないパスキー（例：端末に生成するパスキー等）を誤って作成してしまう可能性があります。
  • ４．パスキーオプションを選択したら、ブラウザーの指示に従ってください。
    パスキーの詳細については下記ページをご確認ください。
    What is a Passkey? | Yubico
  • ※注:特定のサービスでは、PIN の作成や、すでに設定されている PIN の確認が求められる場合があります。
    これは FIDO2 PIN であり、Yubico Authenticator やWindowsの設定を使用して簡単に設定できます。
  

常に複数の YubiKey を用意することをお勧めします。こうすることで、家や車の鍵と同じように、1 つのキーをプライマリ キーとして使用し、もう 1 つをスペア キーとして使用できます。スペア キーを用意しておけば、プライマリ キーを紛失した場合でも、必要なときにアカウントにアクセスできなくなることはありません。

スペア YubiKey は、上記と同じ手順に従って設定できます。プライマリ キーとスペア キーの両方を同時に設定することをお勧めします。

• テストする
  YubiKey の設定が完了したら、ログインしてみてください。YubiKey の入力を求めるメッセージが表示されます。表示されない場合は、何か問題が発生したか、サービスが「信頼できるデバイス」を使用している可能性があります。一部のサービスには「信頼できるデバイス」機能があり、認識されたデバイスでの確認コードとセキュリティ キーの使用をスキップできます。
• 安全に保つ
  YubiKeyは、家の鍵と同じように常時携帯してください。スペアキーは安全な場所に保管し、誰とも共有しないでください。

今回はYubiKeyをオンラインサービスへセットアップする方法についてご紹介しました。
本Webページに記載されているものは、FIDO認証やワンタイムパスワードの設定を記載しており、YubiKeyの設定の一例に過ぎません。
また、YubiKeyの設定画面については利用するサービスによって設定画面が異なるため、より詳細についてはご利用のサービスベンダーへお問い合わせください。
弊社ではMicrosoft365やAmazon AWS、Google Workspaceなど、一部のサービスにおける設定とデモンストレーションを実施することも可能ですので、それらをご希望の際にはぜひ弊社へご相談ください。
その他YubiKeyに関するご相談・お問合せも、お気軽に弊社までお問合せください。