ホワイトペーパー中程度の保証のユースケースにおけるFIDO認証

8月 29, 2024

エディター

ジェローム・ベッカート、アクシアド
グレッグ・ブラウン、アクシアド
マット・エステス、アマゾンウェブサービス

要約

このホワイトペーパーの目的は、組織がデバイスバインドされたパスキーと同期されたパスキーの両方の機能と機能を分析して、中程度の保証環境で両方の資格情報タイプをどのように利用できるかを決定する際に、ガイダンスを提供することです。このホワイトペーパーでは、「中程度の保証」という用語は、法律、規制、およびセキュリティ要件が、同期されたパスキーを使用してパスワードを置き換え、標準ユーザーアカウントには多要素認証 (MFA) を使用し、最高レベルの保護と保証を必要とするユーザーアカウントにはデバイスバインドパスキーを使用して、両方の種類の資格情報を使用できる柔軟性を備えた環境または組織を指します。このホワイトペーパーは、デバイスバインドされたパスキーと同期されたパスキーでサポートされる機能と要件を比較することを目的としており、中程度の保証ニーズを持つ組織で両方のタイプの資格情報を一緒に利用する方法のビジョンを提供します。

聴衆

このホワイトペーパーは、IT管理者、エンタープライズセキュリティアーキテクト、経営幹部など、組織全体にFIDO認証を導入することを検討しているすべての人を対象としたホワイトペーパーシリーズの1つです。

読者は、ここで一連の論文の紹介を見つけることができます。入門ホワイトペーパーでは、低保証から高保証までのさまざまなユースケースをカバーし、シリーズのすべての論文への追加の説明とリンクを提供します。ほとんどの企業には、これらのペーパーの複数のユースケースがあると予想されており、読者には導入要件に関連するホワイトペーパーを確認することをお勧めします。

ホワイトペーパーは、読者がFIDO2認証情報と、FIDO2認証情報が果たす役割について基礎を理解していることを前提としています。
認証プロセス;FIDO2の紹介情報は、 FIDO2 – FIDO Allianceでご覧いただけます。

1. イントロダクション

FIDO2 認証情報の初期実装は、ローミング認証システムまたはプラットフォーム認証システムのいずれかでデバイスバインドパスキーとして作成され、認証情報の秘密キーはデバイスの認証システムに保存され、認証システムからのエクスポート、コピー、バックアップ、同期は許可されません。この構成は、証明書利用者 (Web サイトやサービスプロバイダーなど) に、ユーザーとデバイスがシステムの正当なユーザーであるという非常に高いレベルの信頼性を与える、非常に安全でフィッシング耐性のある認証ソリューションを提供します。ただし、この高レベルの保証には、主にユーザビリティとアカウントの回復に関するいくつかの課題が伴います。たとえば、オーセンティケーターから秘密鍵を取得する方法がないため、秘密鍵が格納されているデバイスが紛失または破損すると、鍵が認証されたリソースへのアクセスが失われます。デバイスバインドパスキーの場合、解決策は、すべての証明書利用者に 2 番目のデバイスバインドパスキーを登録することです。これにより、ユーザーは両方のオーセンティケーターを登録する必要があるため、ユーザーエクスペリエンスがより困難になります。ID プロバイダー (IdP) を使用してアプリケーションへのアクセスをフェデレーションすることで認証フローを統合した組織では、証明書利用者が IdP 自体であるため、これはいくらか軽減されます。

これらの課題を解決するために、2022 年 5 月に Apple、Google、Microsoft は、オペレーティングシステムで同期パスキーをサポートする意向を発表しました。同期されたパスキーには、秘密鍵と公開鍵のペアが引き続き使用されるなど、デバイスバインドされたパスキーと同じ特性の多くがあります。ただし、1 つの大きな違いは、同期されたパスキーを使用すると、資格情報の秘密鍵を、同じベンダーの同期ファブリックエコシステム (Apple エコシステムの iCloud など) に存在するユーザーが所有する他のデバイスと同期できることです。同期されたパスキーにより、より合理化されたユーザーフレンドリーなエクスペリエンスを作成することもできます。すべてのパスキーは、いくつかの共通のセキュリティ特性を共有し、フィッシングに対する耐性が高く、一意のキーペアを使用して強力な認証を可能にします。ただし、同期されたパスキーとデバイスバインドされたパスキーの違いに注意することも重要です。たとえば、同期されたパスキーは、デバイスバインドされたパスキーに対して分析すると、セキュリティに関する新しい考慮事項が導入されます。逆に、同期されたパスキーを使用すると、アカウント回復の問題をより簡単に解決できます。

組織は、環境内で両方の資格情報タイプをどこでどのように利用できるかを評価するために、組織の法的、規制的、およびセキュリティ要件を確認して理解する必要があります。組織がこれらの要件を評価する場合、これらの要件の組み合わせを認証保証レベル (AAL) と呼び、さまざまな保証レベルのガイダンスと推奨事項を提供する米国国立標準技術研究所 (NIST) のドキュメントを参照します。現在、NISTは、同期されたパスキーをより適切に組み込むためにこれらの保証レベルを更新する作業を進めていますが、現在の標準は、デバイスバインドされたパスキーと同期されたパスキーの組織への実装を評価する場合に役立ちます。NIST と AAL の詳細については、「Authenticator Assurance Levels (nist.gov)」を参照してください。

このホワイトペーパーに関しては、中程度の保証環境とは、AAL1 レベルや AAL2 レベル、および AAL3 レベルの保証の組み合わせによって対応できる、いくつかの異なる認証ユースケースシナリオを持つ組織です。このホワイトペーパーでは、デバイスバインドパスキーと同期パスキーの両方の長所と短所を深く掘り下げ、組織が独自の法的、規制、セキュリティ要件とともに使用できる2つの比較を提供し、デバイスバインドパスキーと同期パスキーの両方を中程度の保証環境に実装する方法と場所を決定し、安全な、 FIDO2 資格情報が組織のあらゆる部分で提供する、フィッシングに強く、ユーザーフレンドリーな認証プロセス。

ホワイトペーパーをダウンロード

2. FIDO資格の採用に関する考慮事項

組織が組織の AAL1、AAL2、AAL3 要件をサポートするために、デバイスバインドパスキーと同期パスキーの両方の使用を評価する場合、考慮すべき要素がいくつかあります。これらの要素については以下で説明し、両方のタイプの資格情報を分析し、企業内で使用できる場所を決定するために必要な情報を組織に提供することを目的としています。

2.1. ユーザー・エクスペリエンス
ユーザーエクスペリエンスの観点から、FIDO認証情報を使用してシステム認証を行う目標は常に、ユーザーに使いやすく楽なプロセスを提供することでした。元の FIDO 実装では、合理化されたサインインエクスペリエンスが提供されましたが、それでもユーザーエクスペリエンスにいくつかの課題がありました。

パスキーには、ユーザーがパスキーの作成に簡単にアクセスできるようにし、ユーザーが認証時に使用する資格情報を選択するだけでユーザー名やパスワードを入力する必要がなくなる自動入力のようなエクスペリエンスを提供する「パスキー自動入力 UI」と呼ばれる新機能など、ユーザーエクスペリエンスを向上させるのに役立ついくつかの機能強化が導入されています。このエクスペリエンスは非常に使いやすくなり、ほとんどのユーザーがパスワードマネージャーなどのソリューションを使用するときにすでに気に入っており、快適に感じているエクスペリエンスと非常によく似ています。現在のパスワードエクスペリエンスよりもユーザーが好むパスキーユーザーエクスペリエンスを作成することで、以前のパスキー実装で見られた導入のハードルが取り除かれます。

2.1.1 バックアップ、紛失したデバイス、および回復
デバイスバインドパスキーでは、秘密キーが保存され、オーセンティケーターから離れることはできません。これにより、非常に安全なソリューションが作成されますが、キーデータのバックアップ、認証システムの紛失、およびユーザーの新しい認証システムの追加に関して、ユーザーと企業に課題が生じます。デバイスバインドされたパスキー (FIDO_Account_Recovery_Best_Practices-1.pdf (fidoalliance.org)) には推奨される回復方法がありますが、同期されたパスキーは、よりユーザーフレンドリーな方法でこれらの課題を解決するために機能します。同期されたパスキーソリューションの実装により、ユーザーは、認証子を紛失した場合でも引き続きアクセスできるようにするために、証明書利用者に複数の認証子を登録する必要がなくなりました。オーセンティケーターを紛失した場合、ユーザーはパスキープロバイダーが提供する回復プロセスを使用してパスキーを回復できます。さらに、同期されたパスキーは、ユーザーがデバイスごとに一意の資格情報を登録したり、複数のデバイスバインドされたパスキーを維持して資格情報の損失のリスクを最小限に抑えたりする必要がないため、ユーザーエクスペリエンスが向上します。設定が完了すると、同期されたパスキーは、パスキープロバイダと同期されたすべてのデバイスで使用できるようになります。

ただし、同期されたパスキーは、パスキープロバイダーとその同期ファブリックへの依存関係を作成します。各プロバイダーは、資格情報が悪用されないように保護するための独自のセキュリティ制御とメカニズムを含む、独自の同期ファブリックを実装しています。特定のセキュリティまたはコンプライアンス要件を持つ組織は、どのプロバイダーまたはハードウェアセキュリティキーが要件を満たしているかを評価する必要があります。

同期されたパスキーは、オーセンティケーターの秘密キーを、ユーザーが同じベンダーのエコシステム内で所有している他のデバイスのオーセンティケーターと同期できるため、セキュリティ体制が低くなります。また、組織は、現在、これらの資格情報が作成および保存されたデバイスを追跡できる標準やシステムがなく、資格情報が他の人と共有されたときに識別するメカニズムも存在しないことにも注意する必要があります。高レベルの保証を必要とする組織のユースケースでは、この情報を特定または取得できないという事実は、同期されたパスキーが特定の組織のユースケースに適したソリューションではないことを意味し、それらのユースケースをサポートするためにデバイスバインドされたパスキーに目を向ける必要があります。

2.3 資格証明タイプの証明と適用
構成証明は、登録プロセスのセキュリティを強化するために設計された機能です。構成証明メカニズムは、仕様によってオプション機能として定義されていますが、ほとんどのハードウェアセキュリティキーが実装しています。構成証明とは、証明書利用者が証明書利用者に対話を許可するかどうかについて情報に基づいた決定を下せるように、証明書利用者が自分自身に関するメタデータを証明書利用者に提供する機能です。このメタデータには、オーセンティケーターのベンダーとモデルを表す一意の ID である Authenticator Attestation Globally Unique Identifier (AAGUID)、オーセンティケーターが使用する暗号化の種類、オーセンティケーターの PIN と生体認証機能などの項目が含まれます。一部の認証ベンダーは、組織が認証システム登録要求に含まれる構成証明に一意の識別情報を追加できるエンタープライズ構成証明と呼ばれる機能もサポートしており、この追加情報を使用して、組織が特定の認証システムセットのみの登録を許可する企業内の制御された展開をサポートすることを目的としています。エンタープライズ構成証明の詳細については、ホワイトペーパー FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf (fidoalliance.org) を参照してください。

公開時点では、同期されたパスキーは構成証明を実装していないため、より高いレベルの保証を必要とする高い特権を持つユーザーがいるシナリオや、エンタープライズ構成証明を実装する組織には適切なソリューションではありません。これらの高い特権を持つユーザーをサポートするために、証明書利用者や組織はこれまで、構成証明をサポートし、ソリューションに含めるベンダーのデバイスバインドパスキーと認証子に注目してきましたが、今後も注目し続ける必要があります。すべてのユーザーを高い特権ユーザーとして扱う必要がある、またはエンタープライズ構成証明を実装する必要がある規制、法律、またはセキュリティ要件がある組織の場合は、デバイスバインドされたパスキーのみを環境に実装することをお勧めします。このシナリオの詳細については https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf、コンパニオンホワイトペーパー「High Assurance Enterprise Authentication」を参照してください。中程度の保証組織は、標準ユーザーに同期されたパスキーを実装してパスワードと MFA をより安全なソリューションに置き換え、高い特権を持つユーザーと最高レベルの保証を必要とするリソースへのアクセスにデバイスバインドパスキーを使用することで、すべてのユーザーをサポートできます。

ただし、同じ認証ドメインに両方のタイプのパスキーを実装すると、リソースにアクセスするときに正しい種類のパスキーが使用されるようにするために、組織が追加の手順を実行する必要がある追加の課題が生じます。たとえば、高レベルの保証を必要とするリソースにアクセスするときに、高い権限を持つユーザーが同期されたパスキーではなく、デバイスバインドされたパスキーを使用していることを確認するなどです。組織は、ID プロバイダーのユーザーリスク評価とポリシーエンジンフレームワークを活用して、この課題を解決できます。ダウンストリームの承認決定で使用される AAL (または選択したその他のプロパティ) を表す識別子でユーザーのセッションに透かしを入れることも、この課題を解決するために使用できます。フェデレーション認証環境では、OpenID Connect によって標準化された認証方式リファレンス (amr、 RFC8176) などの標準を使用してこれを伝達できます。

3. まとめ

中程度の保証環境では、デバイスバインドされたパスキーと同期されたパスキーの両方を一緒に実装して、組織のすべてのユースケースに対してより安全な認証ソリューションを提供できます。より使いやすい同期パスキーを実装して、標準の保証レベル要件を持つユーザーのパスワードと MFA を置き換えることができ、より安全で使いやすい認証方法を提供できます。最高レベルのセキュリティを必要とする組織内の高度な権限を持つユーザーに対しては、さらに高いレベルのセキュリティと認証プロセスにおける追加のレベルの信頼を提供するデバイスバインドパスキーを発行できます。このホワイトペーパーでは、ユーザーエクスペリエンスを向上させる同期パスキーと、セキュリティ機能が強化されたデバイスバインドパスキーを比較した情報を提供します。この情報を使用して、組織はデバイスバインドされたパスキーと同期されたパスキーを評価し、両方を組織内でどのように活用して、中程度の保証環境の要件を満たし、それを超える使いやすく安全な認証方法を提供するかを判断できます。

4. 次のステップ

組織の次のステップは、FIDO2 資格情報の評価を開始して、フィッシングの影響を受けやすく、全体的なセキュリティ体制の重大な弱点であることが十分に文書化されているパスワードから脱却できるようにすることです。中程度の保証ニーズがあり、デバイスバインドパスキーと同期パスキーの両方を実装する組織は、どの資格情報の種類が最高の投資収益率をもたらすかを決定し、最初にその資格情報の種類の実装に取り組み、可能であれば他の資格情報の種類の展開を完了してフォローアップする必要があります。どちらのタイプの FIDO2 資格情報を実装することも、パスワードレス環境への移行における大きな前進であり、組織全体のセキュリティ体制を大幅に向上させます。