ハードウェアキーを使用すると、最高レベルの認証セキュリティが実現し、優れたフィッシング耐性が提供されます。しかし、お客様からは、「どのように実装すればいいのか」「どのセキュリティキーを購入すればいいのか」といった問い合わせがあります。本日、Cloudflareのお客様向けに、ハードウェアキーをこれまで以上にお求めやすく、経済効果の高い特別なプログラムをご紹介します。業界をリードするハードウェアセキュリティキーベンダーであるYubicoとの新たなコラボレーションで実現したこのプログラムにより、Cloudflareのお客様は「インターネット特別料金」でハードウェアキーを購入することができます。
Cloudflareをご利用のすべてのお客様は、今すぐCloudflareのZero Trustサービスと簡単に統合できるYubicoセキュリティーキーをご購入いただけます。このサービスは、自宅のホームネットワーク保護から世界最大規模の企業のセキュリティ対策まで、あらゆる規模の組織で利用できます。Cloudflareのお客様は、今すぐCloudflareダッシュボードにサインインして、ハードウェアセキュリティーキーを大幅な割引価格で入手できます。
2022年7月、Cloudflareは、ハードウェアセキュリティキーと組み合わせたCloudflare Zero Trustを使用して、130社を超える企業を標的としたSMSフィッシング攻撃による侵害を未然に阻止しています。この際使用されたのが、YubiKeysです。YubiKeysのメーカーであるYubicoとの今回の新たなコラボレーションによって、あらゆる規模の組織でのハードウェアキーの導入についての障壁が取り払われることになります。
なぜハードウェアセキュリティキーなのか?
組織の機密性の高いリソースには、その接続先がセルフホスト型のWebアプリケーション、SaaSツール、または任意のTCP接続とUDPストリームに依存するサービスかどうかを問わず、適切なユーザーのみが接続していることを確認する必要があります。従来、ユーザー証明には、ユーザー名とパスワードを使用していましたが、フィッシング攻撃では、ユーザーをだましてこの両方の情報が盗まれます。
これに対応すべく、企業のセキュリティチームは多要素認証(MFA)ツールの導入を開始し、セキュリティレイヤーが追加されることになりました。ユーザーは、ユーザー名、パスワード、そしてその他の値を入力する必要があります。この値の提供については、たとえば、ユーザーのデバイスで乱数を生成するアプリケーションを実行したり、ユーザーの電話番号を登録してテキストメッセージでコードを受信したりという方法がとられました。このようなMFAのオプションにより、セキュリティは向上したとはいえ、フィッシング攻撃の対策としては依然として脆弱であると言えます。フィッシング詐欺サイトは進化しており、ユーザーにMFAコードを入力させたり、SIMスワップ攻撃をしかけてユーザーの電話番号を盗んだりして、この値を手に入れることができるようになっているのです。
ハードウェアベースのセキュリティキーを採用すると、フィッシング攻撃が不可能となるMFAのオプションが実現します。ハードウェアキーの場合、WebAuthN標準を採用して認証サービスに証明書を提示し、キーの検証は、暗号保護されたやりとりで実行されます。このキーはフィッシング詐欺サイトが取得できないものであり、後になりすましを行うことも不可能です。
ユーザーがIDプロバイダーに単一または複数のキーを登録すると、ユーザー名とパスワードの提示に加え、プロバイダーはハードキーも使用できるMFAオプションを要求することになります。ログインの際は、キーをタップするだけで、アプリケーションでコードを生成したりするわずらわしさはありません。サービスがフィッシング攻撃から保護されるため、セキュリティチームにも安心感が提供されます。
Cloudflare Zero Trust製品を使用するとハードウェアセキュリティキーがさらに拡張
今日、ほとんどのIDプロバイダーでは、MFAオプションとしてハードウェアキーをユーザーが登録できるようになりましたが、管理者にはハードウェアキーの使用を必須に設定する制御機能は提供されていません。セキュリティキー自体を提示できない場合、ユーザーにはアプリベースのコードなどの安全性の低いオプションにフォールバックするオプションが提供されているのです。
Cloudflareでは、セキュリティキーを最初に展開した際に、この問題に遭遇しています。アプリベースのコードのように、安全性が低く、フィッシング詐欺に対して漸弱なオプションにユーザーがフォールバックできるということは、攻撃者もその方法を利用できるということに他なりません。1万社以上のお客様と同様、Cloudflareでは社内でもCloudflare Zero Trust製品を使用しており、ユーザーが必要とするリソースおよびツールに接続する方法の一部の保護対策としてしています。
ユーザーが社内のアプリケーションやサービスにアクセスする必要がある場合、Cloudflareのネットワークが、ID、デバイスのセキュリティ態勢、所在国など、すべてのリクエストや接続について、数種類のシグナルに関する評価を行います。管理者は、特定の宛先にのみ適用されるきめ細かいルールを構築することもできます。顧客データの読み取り機能がある内部管理者ツールを使用すると、正常な社用デバイスであり、特定の国からの接続であり、特定のIDプロバイダーグループのユーザーが所有するデバイスであることを必須要件にすることもできます。一方、フィードバックを求めて共有される新しいマーケティング用のスプラッシュページで必要となるのは、IDのみの場合があります。ユーザーの認証から、別の安全性の低いMFAオプションではなく、セキュリティキーの存在を検出できれば、そのシグナルを必須として強制とすることもできます。
数年前、IDプロバイダー、ハードウェアベンダー、セキュリティ企業が連携し、まさにこのようなタイプのデータの共有に向けた新しい規格、Authentication Method Reference(AMR)が開発されました。AMRを使用すると、IDプロバイダーは、現在利用されているMFAオプションタイプを含めたログイン試行に関する詳細を共有できるようになります。この発表から間もなく、当社はこのシグナルを検索して強制するルールを構築する機能をCloudflareのZero Trust製品プラットフォームに導入しています。これにより、組織の規模を問わず、セキュリティチームはリソースベースのルールを構築して、常に必ずハードウェアキーの使用を強制する構成を実現できます。
ハードウェアセキュリティキーを導入する際の障壁とは?
物理的な管理対象を必要とするセキュリティを導入する場合と同様、ハードウェアキーの導入には追加の複雑性が伴います。物理的にキーを大規模なユーザーに提供し、セキュリティチーム全体でユーザーの登録を行える方法が求められています。
いずれの場合でも、導入は、ハードウェアセキュリティキーの購入が最初のステップとなります。無料版もあるアプリベースのコードと異なり、セキュリティキーの場合は実費が伴います。組織によっては、このコストが抑止力となり、この障壁により、安全性について妥協してしまう場合もあるでしょう。ただし、すべてのMFAが同様のセキュリティレベルを提供するわけではないことに留意する必要があります。
現在、部分的または完全にテレワーク勤務を採用している組織の場合は特に、オフィスに物理的に出勤しないエンドユーザーにキーを渡すことが、IT部門の課題となる場合もあります。Cloudflareでは、ハードウェアキーの初導入時の際、全社規模の社員旅行を実施して、キーを渡すことができました。今日では、物理的に一か所でキーを手渡しするどころか、グローバル規模の各オフィスで手渡しすることさえ困難となった組織がほとんどでしょう。
Yubicoとのコラボレーション
Cloudflareのバースデーウィークは、これまで同様、ユーザーとセキュリティチームのインターネットでのアクティビティの安全性の向上と高速化を妨げる障壁やハードルを解消することを目標とするものです。この目標の一環として、当社はYubicoと連携し、引き続きハードウェアキーのセキュリティモデル採用の際の摩擦解消に向けて尽力しています。
今回のキャンペーンは、すべてのCloudflareのお客様がご利用いただけます。Cloudflareをご利用のお客様は、Cloudflareダッシュボードで直接このYubicoセキュリティーキーのキャンペーンを利用することができます。
Yubicoは今回、1個あたり10ドルという「インターネット特別料金」でセキュリティーキーを提供しています。キーはYubicoにより、直接お客様の元に発送されます。
キーの設定とIDプロバイダーおよびCloudflareのZero Trustサービスとの統合に関しては、CloudflareとYubicoの開発者向けドキュメントおよびサポートグループが、ガイドを提供します。
使用開始手順
ハードウェアキーのご注文は、ダッシュボードに移動し、バナー通知フローに従ってください。その後、YubicoがCloudflareアカウントに登録された管理者メールアドレスに直接メールを送信します。大規模なYubiKeyの導入を検討されている大企業の場合、YubicoのYubiEnterpriseサブスクリプションご検討ください。3年以上のサブスクリプションの初年度から50%の割引を受けることができます。
すでにハードウェアセキュリティキーを導入済みのお客様の場合、物理的なハードウェアキーがすでに手元にある場合、OktaやAzure ADなどのAMR対応IDプロバイダーに登録して、Cloudflare Accessでハードウェアキーの使用を強制するルールを構築することができます。最後になりましたが、CloudflareのZero Trust製品とYubikeyを組み合わせて導入した当社でのケーススタディにご興味のある方は、当社のセキュリティディレクターであるEvan Johnsonの「ブログ記事」をご参照ください。この記事では、Cloudflareの体験を振り返り、ここから学んだ教訓からの当社の推奨事項が紹介されています。