安全密钥
本文约需 2 分钟阅读
セキュリティキーとは、FIDO2/U2F 規格に準拠した物理的なハードウェア認証デバイスです。 USB ポートに差し込むか NFC でタッチするだけで、パスワードに加えた強力な第二認証要素として機能します。 公開鍵暗号に基づくチャレンジ-レスポンス方式を採用しており、フィッシング攻撃に対して 構造的な耐性を持つ点が、SMS OTP やTOTP と決定的に異なります。 Google は 2017 年に全従業員 (8 万人以上) にセキュリティキーの使用を義務化し、 以降フィッシングによるアカウント侵害がゼロになったと報告しています。
主要製品と接続方式
セキュリティキーの市場は Yubico の YubiKey シリーズが圧倒的なシェアを持ち、 Google の Titan Security Key、Feitian の ePass シリーズが続きます。 接続方式はデバイスの利用環境に合わせて選択します。
| 接続方式 | 対応デバイス | 特徴 |
|---|---|---|
| USB-A | PC (従来型ポート) | 最も普及。レガシー環境との互換性が高い |
| USB-C | 最新 PC / Mac / iPad | 今後の主流。MacBook ユーザーに必須 |
| NFC | スマートフォン (Android / iPhone) | かざすだけで認証。モバイル利用に最適 |
| Lightning | iPhone (旧モデル) | iPhone 14 以前向け。USB-C 移行で縮小傾向 |
実務では USB-C + NFC 対応のモデルを 1 本持っておくと、PC でもスマートフォンでも 利用できて汎用性が高いです。セキュリティキーの製品一覧 (Amazon)で各モデルを比較できます。
フィッシング耐性が高い理由 - オリジン検証
セキュリティキーがフィッシングに 強い最大の理由は、認証時にブラウザのオリジン (ドメイン) を暗号的に検証する仕組みにあります。 攻撃者が偽サイト (例: g00gle.com) にユーザーを誘導しても、セキュリティキーは 正規サイト (google.com) 用の認証情報を偽サイトのオリジンでは使用しません。 この検証はハードウェアレベルで自動的に行われるため、ユーザーが URL を 見間違えても攻撃は成立しません。
これは SMS OTP や TOTP にはない特性です。OTP はユーザーが偽サイトにコードを 入力すれば攻撃者に渡ってしまいますが、セキュリティキーではそもそも署名が 生成されないため、中間者 (AiTM) 攻撃にも耐性があります。 詳しくはセキュリティキー導入ガイドを 参照してください。
パスキーとの違い
セキュリティキーとパスキーは どちらもFIDO2/WebAuthn 規格に 基づいていますが、認証情報の保管方法が根本的に異なります。
秘密鍵は物理デバイス内に閉じ込められ、外部に取り出せない。 紛失するとその鍵でのログインは不可能になる。 企業のセキュリティポリシーで「鍵の所在を物理的に管理したい」場合に適する。
秘密鍵が iCloud キーチェーンや Google パスワードマネージャー経由で 複数デバイスに同期される。デバイス紛失時もクラウドから復元可能。 一般ユーザーの利便性を重視する場合に適する。
紛失時のリカバリー設計
セキュリティキーの最大の運用課題は紛失・故障時のリカバリーです。 物理デバイスに秘密鍵が固定されているため、鍵を失うとそのまま アカウントにアクセスできなくなるリスクがあります。実務では以下の多層的な リカバリー設計が推奨されます。
- バックアップ用のセキュリティキーを 2 本目として登録し、安全な場所に保管する
- 多要素認証の 代替手段 (パスキー、リカバリーコードなど) を事前に設定しておく
- 企業環境では IT 管理者によるリカバリーフローを整備する
- 重要アカウントには必ず複数の認証手段を登録する
二段階認証の基本やパスキー移行の課題も あわせて確認しておくと、認証設計の全体像が見えてきます。
現場での使用例
「全社員に YubiKey を 2 本ずつ配布し、1 本は常時携帯、1 本は自宅保管としました。 導入後 2 年間でフィッシングによるアカウント侵害はゼロ。TOTP 時代に月 5 件あった インシデントが完全になくなりました。」
这篇文章对您有帮助吗?