ハードウェアセキュリティキーについて知っておくべきことすべて

フィッシングからデータベース漏洩まで、最近ではオンラインで自分自身を守ることがますます難しくなってきています。ハードウェア セキュリティ キーは、オンライン アカウントにさらなる保護層を追加する実用的なソリューションです。この記事では、ハードウェア セキュリティ キーの仕組み、長所と短所、一般的な問題について説明し、ハードウェア セキュリティ キーが適切なデバイスかどうかを判断するのに役立ちます。

ハードウェア セキュリティ キーとは何ですか?

ハードウェア セキュリティ キーは、多要素認証 (MFA) 設定に対する追加の「要素」として機能する、小型で高度に安全なデバイスです。従来の OTP と同様に、ハードウェア セキュリティ キーを使用すると、悪意のある人物がログイン情報を入手したとしてもオンライン アカウントにアクセスできなくなります。

ハードウェア セキュリティ キーは通常、PC に接続できるNFC対応のスマート カードまたは USB スティックという形で提供されます。人気の Yubikey 5 NFC などの一部のキーでは、USB と NFC の組み合わせが提供されており、コンピューターとモバイル デバイスの両方でデバイスを使用できます。

ハードウェアセキュリティキーの仕組み

基本的に、ハードウェア セキュリティ キーは公開キー暗号化を使用してログイン情報を認証します。互換性のある Web サイトまたはアプリで最初にキーを構成すると、そのサービスに固有の暗号化キーのペアが生成されます。キーは、そのキーペアの秘密部分を「セキュリティ チップ」に保存し、サービスは公開部分を取得してサーバー上に保存します。

ログインに成功すると、Web サイトまたはアプリで、キーをデバイスに接続するか、NFC 経由でキーを検出するように求められます。サービスはあなたのキーにデータを送信しますが、そのデータは秘密キーで署名される必要があります。次に、サービスはそのデータを取得し、公開キーを使用して、データが秘密キーによって正しく署名されていることを確認します。

すべてのサービスでハードウェア セキュリティ キーの使用が許可されていますか?

ほとんどの主要なオンライン サービスでは、ハードウェア セキュリティ キーが機能します。サポートは明示的に保証されていませんが、Google、Amazon、X などの一般的なプラットフォームではハードウェア セキュリティ キーがサポートされると予想されます。たとえば、アカウント設定ページのセキュリティとアカウント アクセスセクションに移動して、X に Yubikey サポートを追加できます。

さらに、サポートは多くの場合、ケースバイケースで異なります。これは、プラットフォーム自体がハードウェア セキュリティ キーのサポートを追加および提供する責任があるためです。したがって、購入を決定する前に、アクセスする Web サイトがこの MFA 方式をサポートしているかどうかを検討する必要があります。

ハードウェアセキュリティキーと他のMFA方式の比較

ハードウェア セキュリティ キーと SMS およびメール MFA の比較

従来の SMS および電子メール MFA よりもハードウェア セキュリティ キーを使用する利点の 1 つは、シームレスに ID を確認できることです。 OTP コードに依存しないため、アカウントにログインする際にユーザーの介入は必要ありません。これにより、フィッシング攻撃を防ぐだけでなく、ログインプロセスも高速化されます。

ただし、このシームレスなアプローチには、かなり高額な価格も伴います。現在、ほとんどのハードウェア セキュリティ キーの価格は 30 ～ 80 ドルで、安価なものは特定のアプリケーションにしか使用できません。一方、SMS および電子メール MFA では、すでにお持ちのデバイスを活用します。これにより、SMS および電子メール MFA のコストが実質的に 0 ドルに削減され、アカウントを保護するための非常に手頃な方法になります。

ハードウェアセキュリティキーと認証アプリ

SMS や電子メールの MFA と同様に、認証アプリもハードウェア セキュリティ キーと比較すると同じ根本的な問題を抱えています。 OTP に依存しているため、フィッシング攻撃に対して脆弱です。

ただし、ほとんどの認証アプリケーションは RFC 6238 (TOTP) 標準を使用しているため、現在利用できる最もアクセスしやすい MFA 方法の 1 つとなっています。つまり、アクセスしている Web サイトに TOTP を有効にするオプションがある可能性が高いということです。すべての Web サイトが FIDO2 標準をサポートできるわけではないため、これはハードウェア セキュリティ キーよりも有利です。

ハードウェアセキュリティキーと生体認証

ハードウェア セキュリティ ロックと生体認証ロックは同様のレベルのセキュリティと利便性を提供しますが、いくつか重要な違いがあります。まず、生体認証キーは、それが保存されているデバイスでのみ使用できます。たとえば、Touch IDでは iPhone でのログインのみが許可されます。これにより、特にハードウェア セキュリティ ロックと比較した場合、生体認証ロックで実行できる機能が大幅に制限されます。

生体認証ロックは、ハードウェア セキュリティ ロックよりも便利で使いやすい場合が多くあります。生体認証ロックは外部デバイスを必要とせず、既存のデバイスを活用します。このキーは OTP に依存しないため、フィッシング攻撃にも耐性があります。

ハードウェア セキュリティ キーを紛失するとどうなりますか?

ハードウェア セキュリティ ロックの強みの 1 つは、弱点でもあります。物理的なオブジェクトであるため、キーを紛失する可能性があります。オンライン バンキングなどの重要なサイトにログインするためにハードウェア セキュリティ キーに依存している場合は、これが懸念される可能性があります。

このような場合、ほとんどのロックには不正アクセスに対する何らかの保護機能があることを覚えておくことが重要です。たとえば、Yubikey 5 ではユーザーが PIN を設定する必要があり、間違った PIN を複数回入力すると自動的に消去されるメカニズムが備わっています。

さらに、ハードウェア セキュリティ キーには、ユーザー名やパスワードなどの機密情報は保存されません。これらのキーは、秘密キーを安全なチップに保存するため、悪意のある人物が抽出することは不可能です。