多要素認証をシンプルに実現。「YubiKey」を提供するSCSK×IIJのパートナーシップ

本日はありがとうございます。最初に増渕様、藤井様の業務のご担当範囲を教えてください。

私たちの部署では、主に海外のセキュリティ製品の輸入販売をビジネスにしています。具体的には、海外セキュリティ機器ベンダーの一次代理店としてビジネスを行っておりまして、システムインテグレータ様や通信キャリア様など、販売パートナーの製品提案をサポートしています。また併せて新規商材の発掘、輸入、販売の企画もしています。

今回ご紹介いただくYubiKeyも、米国に本社があるYubico社が製造元なので、海外企業の製品ということになりますね。早速ですが、YubiKeyの概要を教えてください。

YubiKeyは、多要素認証用のハードウェアデバイスです。多くのWebサービスやアプリケーションでIDとパスワードを利用してログインしていると思いますが、IDとパスワードが漏れてしまった場合は、簡単に第三者にログインされてしまいます。
それを防ぐために、ID、パスワードにもう1つの要素を加えた多要素認証を実現したいというニーズが高まっていますが、YubiKeyを利用することでそれが簡単に実現できるのです。
上のように非常にシンプルな形状で、特別なソフトウェアなどを搭載していない、認証に特化したデバイスです。電池も不要ですので、電池交換などの手間もありません。

最近、企業のセキュリティインシデントのニュースもよく聞くようになってきましたが、やはりYubiKeyの需要も増えているのでしょうか。

そうですね、特にIDとパスワードを抜き取ることを狙ったフィッシング攻撃も増えていて、それに伴って認証のセキュリティを強化したいという企業が増えていますね。最近ではこのような問題に対応するために、FIDO2と呼ばれる認証方式を採用したサービスが広がりつつあります。

確かに広がっていますね。

加えて最近は多くの企業でSaaSやWebサービスの利用が増えていて、IDとパスワードを使いまわしている方も多いと思います。ですが、それだと1つのサイトやサービスでIDとパスワードが漏れてしまった場合、それ以外のサイトやサービスのIDとパスワードも漏れてしまうことになります。
そういった背景もありIDとパスワードだけではなく、認証のセキュリティを高めたいというニーズが高まっていますね。多要素認証を必須とするサービスも増えてきました。

YubiKeyを他の製品と比較したときの強みを教えてください。

まずシンプルなデバイスであるというのが一番大きいですね。メッセージやメールで認証キーやワンタイムパスワードを送付する方式の多要素認証ソリューションもあると思いますが、その方式ではSMSやメールを受信するスマホなどの端末が必要になってしまいます。
そもそも会社から支給されたスマホを全員が持っていない企業も多いと思いますし、多要素認証のためだけにスマホを配布するのもハードルが高いと思います。そういった場合でもYubiKeyを利用すれば、スマホなどに比べて低コストで多要素認証を実現できます。

なるほど、確かにそういった企業も多いでしょうね。例えば、今では多くの従業員がリモートワークをしていて、その際のセキュリティも話題になっていると思いますが、スマホを支給されていない方も多いでしょうし。

はい、更にスマホに比べると管理上もシンプルで、より低リスクであると思います。YubiKeyの場合は仮に紛失したとしても、YubiKey単体は特に大きな意味を持たないデバイスですし、コストも低いです。もちろん、紛失や盗難にあった場合は、サービスから該当Yubikeyの登録削除をお願いします。

どのぐらいの企業で利用されていますか?

160以上の国において、累計4,500社以上、数百万人がYubiKeyを利用しています。また連携可能なアプリが多く、Microsoft 365、 Azure Active Directory（Azure AD）、Salesforce、Oktaをはじめとした1,000種類以上のサービスに対応している点も、導入企業が多い理由になっていますね。

たくさんの企業様がご利用になっているのですね。

対応サービスやアプリケーションに関しては、YubiKeyの提供元であるYubico社が「Works with YubiKey catalog」というサイトで、連携済みのサービスやアプリケーションを公開しています。このサイトを見ると、非常に多くのサービスやアプリケーションが対応していることがお分かりいただけると思います。
Works with YubiKey catalog

特によく利用されている業種や、企業規模などはございますか?

特に業種や規模に目立った特徴はないですね。例えば、グローバルの実績ではGoogle社のような大企業でも利用されていますし、国内企業においても、大企業での数万人単位での導入はもちろんのこと、従業員数名の企業でも利用されています。

あらゆる企業で導入できるんですね。YubiKey導入時の作業量や難易度、ハードルも低いということでしょうか。

はい。先ほどもお話したとおり、IDaaS、SaaSなど、様々なサービスにYubiKeyが対応しているため、大掛かりな検証は不要だという点でも導入のハードルは低いと思います。従業員への展開も基本的には配布するだけですが、中にはそういった初期導入の作業や管理のリソースを懸念されるお客様もいらっしゃいますので、弊社ではYubiKeyの導入支援サービスもご提供しています。

IIJのサービスとセットでご紹介いただけるシーンを教えてください。

セットで提案させていただくサービスとしては、ID管理サービス（IDaaS）のIIJ IDサービスが多いですね。IIJ IDサービスはオプションでFIDO2の多要素認証の機能を提供しています。YubiKeyと連携することで多要素認証を簡単に実現できるので、紹介させていただくケースが多いです。

弊社のお客様の多くはセキュリティやサービス品質に厳しいので、そういったお客様には喜んでいただけるソリューションですね。

そうですね。YubiKeyは管理上シンプルで故障も少ないので、グローバルにビジネス展開されている企業でも展開いただきやすいかと思います。また海外でもYubiKey は広く利用されているので、現地利用者のハードルも低いかと思います。

YubiKeyの今後のアップデート予定などがあれば教えてください。

2021年末に指紋認証機能をもったデバイスがリリースされまして、生体認証に対応しました。特に日本国内の企業からのニーズが多かったので、ぜひお問い合わせいただければと思います。
また、YubiKeyに関する情報は以下の専用サイトにまとめて掲載しています。こちらも併せてご覧ください。
https://securitykey-scsk.jp/

本日はありがとうございました。