YubiKeyのような物理的なセキュリティキーは、2段階認証を強化し、オンラインアカウントとデータを攻撃者から守る優れた方法です。iOSとmacOSでYubiKeyを使用する際に知っておくべきことをご紹介します。
あらゆる形態の二要素認証はパスワードだけに頼るよりも優れていますが、物理キーはワンタイムパスコード(OTP)などの一般的な方法に比べて多くの利点があります。どこから始めればよいかわからない場合は、ここで基本事項をいくつかご紹介します。
物理セキュリティ キーとは何ですか?
2 要素認証によるアカウントのセキュリティは、主に 2 つの要素、つまりパスワードのようにユーザーが知っているものと、OTP コード用の電話へのアクセスのようにユーザーが持っているものから成ります。
2要素認証(2FA)は、ログインプロセス中に、ユーザーが持っている情報(「何か」)を必須のステップとして追加します。しかし、基本的な2FAシステムの多くは、SMSテキストメッセージで送信されるパスコードに依存しており、これは熟練した攻撃者やSIMジャッキングなどの手口に対して脆弱です。
セキュリティキーは、固有の脆弱性の一部を排除するのに役立ちます。セキュリティキーは、USBドライブほどの大きさと形状の小さなデバイスです。設定が完了したら、デバイスに差し込むだけで、認証の2要素として使用できます。
キーへの物理的なアクセスを要求することで、パスワードが侵害された場合でも、誰かがアカウントに侵入できる可能性が大幅に減少します。
現在、市場には多くのセキュリティキーが存在します。しかし、FIDO Universal 2nd Factor(U2F)に準拠したものを選ぶのが最善です。人気のあるメーカーとしては、Yubico、HyperFido、Thetisなどが挙げられます。
セキュリティキーと他の2FA方式の比較
一般的に、セキュリティ キーは他の 2FA 方法よりもはるかに安全です。
セキュリティキーは2要素認証(多要素認証)の唯一の選択肢ではありません。また、他の選択肢と比較すると、セキュリティキーには独自の欠点があります。
まず、セキュリティキーは現在Apple IDやiCloudサービスと互換性がありません。Appleは独自の2FAシステムを採用しており、信頼されたAppleデバイスにワンタイムパスコードを送信しています。
Appleの2FAはSMSパスコードよりも安全です。しかし、Appleの2FAをGmailやFacebookアカウントのセキュリティ保護に使うことはできません。そこでサードパーティ製のシステムの出番となります。
物理的なセキュリティキー以外にも、一定間隔でランダムにワンタイムパスコードを生成する認証アプリなど、様々な選択肢があります。これらの認証コードはデバイスから外部に漏れることがないため、SMSパスコードよりもはるかに安全です。
他のワンタイムパスコードと同様に、認証アプリも特定の種類のフィッシング攻撃に対して脆弱です。もし誰かがあなたのiPhoneや認証アプリをインストールしたデバイスに物理的にアクセスした場合、あなたのアカウントにもアクセスできてしまう可能性があります。
セキュリティキーを使用すると、コピー、貼り付け、入力などの手間がなくなるため、フィッシング攻撃の脆弱性が排除されます。キーへの物理的なアクセスは懸念されるかもしれませんが、パスワードを求められる可能性は依然としてありますし、いつでもアカウントからキーを削除できます。
iOSおよびmacOSで互換性のあるサービス
パスコード不要の2FAを提供するオンラインアカウントやプラットフォームは、ほぼすべてセキュリティキーに対応しています(ただし、状況は人によって異なります)。これには、Google、Facebook、Twitter、Dropboxなどのソーシャルメディアサイトやオンラインサービスも含まれます。
また、パスワード マネージャーの保管庫をロックダウンするためにも使用できますが、ほとんどのパスワード マネージャーでは、その機能のロックを解除するために有料のプレミアム サブスクリプションが必要です。
macOSでは、ほとんどのウェブブラウザでセキュリティキーを使用できます。Yubico製のキーなど、一部のキーではMacデバイスを実際にロックすることもできます。
iOSでの互換性は少し複雑です。セキュリティキーに対応しているサードパーティ製アプリのほとんどは、iOSアプリでもセキュリティキーをサポートしています。iOSおよびiPadOS 13.3以降、AppleはSafariでオンラインサービスにログインする際にもセキュリティキーをネイティブでサポートしています。
一部のセキュリティ キーでは、YubiKey 5 などの人気の Yubico モデルを含め、NFC 経由の短距離無線認証も提供されています。スマートフォンやタブレットが NFC をサポートしていない場合は、互換性のあるコネクタを備えたキーを探してください。
セキュリティキーの設定
設定から起動までの具体的な手順はモデルによって異なりますが、ほぼ共通です。識別またはリンクのプロセスがあるだけで、それだけです。Googleは独自の物理セキュリティキーを提供しており、他のベンダーも同様に提供していますが、この記事では最も人気のあるセキュリティキーメーカーであるYubicoを例に挙げます。
Yubicoは、対応サービスすべての設定手順を掲載した専用ウェブページを公開しています。ページ上部には、より一般的なプラットフォーム向けの手順が掲載されていますが、保護したいプラットフォームが表示されるまでスクロールダウンしてください。ただし、前述の通り、Apple IDはまだサポート対象外です。
そのウェブページからリンクをたどるか、サービスのウェブサイトに直接アクセスしてください。アクセスしたら、通常はサービスのセキュリティ設定ページにアクセスし、2FAオプションとしてセキュリティキーを追加するだけです。
セキュリティキーを紛失した場合に備えて、バックアップの2FA認証方法を用意しておくことをお勧めします。予備のセキュリティキーや認証アプリなどが考えられます。セットアップ時にバックアップ方法を追加しておいてください。
セキュリティキーの使用
ほとんどのサービスでは、セキュリティ キーを使用する手順が案内されます。
セキュリティキーを2要素目として追加したら、どこへ行くにも必ず携帯してください。セキュリティ設定によっては、セキュリティキーがないとアカウントにログインできない場合があります。
SMSベースの2FAと同様に、信頼できるデバイスにログインする際にセキュリティキーを使用する必要はありません。同様に、アカウントに既にログインしているデバイスの認証も不要です。
2要素認証で保護されたアカウントにログインする際は、通常、セキュリティキーをパソコンのUSBポート、またはiPhoneやiPadのLightningポートに接続します。前述の通り、一部のキーはNFCによるワイヤレス認証に対応しています。対応している場合は、iPhoneまたはNFC対応デバイスにキーを近づけるだけで認証が完了します。
Yubicoなどの一部のモデルでは、キー自体に物理的に触れる必要があります。通常は、何らかの接触点またはボタンがありますので、お使いのモデルの取扱説明書をご確認ください。接触すれば、通常通りログインできるはずです。
macOSとiOSのセキュリティキーはまだ始まったばかり
セキュリティキーは現時点ではあまり普及していません。そのため、多くのサービスやアカウントの種類がセキュリティキーと互換性がありません。たとえ互換性があったとしても、必ずしも適切に実装されているとは限りません。
それでも、セキュリティキーは、特にリスクの高いユーザーやセキュリティ意識の高いユーザーにとって、アカウントを保護するための優れた選択肢であることに変わりはありません。セキュリティキーの普及が進むにつれて、Appleなどのサービスがセキュリティキーをより幅広く採用するようになるでしょう。
データ侵害、フィッシング攻撃、その他のセキュリティリスクの増加により、セキュリティ キーや認証アプリなどの 2FA システムの必要性は今後さらに高まるでしょう。
しかし、セキュリティキーの使用を早く始めるか遅く始めるか、あるいは全く使わないかに関わらず、重要なのはセキュリティの限界をすべて認識することです。どんな種類の2FAでも、使用することは正しい方向への一歩です。
