エディター
ジェローム・ベッカート、アクシアド
グレッグ・ブラウン、アクシアド
マット・エステス、アマゾン ウェブ サービス
要約
このホワイトペーパーの目的は、 デバイス固定パスキー と同期 同期パスキー の両方の機能と機能を分析し、中程度の保証環境で両方の資格情報タイプをどのように利用できるかを判断するためのガイダンスを提供することです。 このホワイト ペーパーでは、”中程度の保証” という用語は、法律、規制、およびセキュリティの要件が十分に柔軟で、パスワードの代わりに 同期パスキー を使用し、標準ユーザー アカウントと デバイス固定パスキー に多要素認証 (MFA) を使用して、両方のタイプの資格情報を使用できる環境または組織を指します最高レベルの保護と保証を必要とするユーザーアカウントの場合。 このペーパーは、 デバイス固定パスキー と同期 同期パスキーでサポートされる機能と要件の比較を提供するように設計されており、中程度の保証ニーズを持つ組織で両方のタイプの資格情報を一緒に使用する方法のビジョンを提供します。
聴衆
このホワイトペーパーは、IT管理者、エンタープライズセキュリティアーキテクト、経営幹部など、組織全体にFIDO認証を導入することを検討しているすべての人を対象としたホワイトペーパーシリーズの1つです。
読者は、 ここで一連の論文の紹介を見つけることができます。 入門ホワイト ペーパーでは、低保証から高保証までのさまざまなユース ケースを網羅した、シリーズのすべてのペーパーへの追加の説明とリンクを提供します。 ほとんどの企業では、これらのペーパーの複数にわたるユースケースが存在すると予想しており、読者にはデプロイメント要件に関連するホワイト ペーパーを確認することをお勧めします。
このホワイトペーパーは、読者がFIDO2の資格情報と、FIDO2で果たす役割について基本的な理解を持っていることを前提としています。
認証プロセス。FIDO2の紹介情報は、 FIDO2 – FIDO Allianceでご覧いただけます。
1. イントロダクション
FIDO2 資格情報の初期実装は、ローミング認証子またはプラットフォーム認証子のいずれかで デバイス固定パスキー として作成され、資格情報の秘密鍵はデバイスの認証子に保存され、認証子からのエクスポート、コピー、バックアップ、または同期は許可されません。 この構成は、認証のための非常に安全でフィッシングに強いソリューションを提供し、信頼者(Webサイトやサービスプロバイダーなど)に、ユーザーとデバイスがシステムの正当なユーザーであるという非常に高いレベルの信頼性を提供します。 しかし、この高いレベルの保証には、主にユーザビリティとアカウントの回復に関するいくつかの課題が伴います。 たとえば、認証子から秘密鍵を取得する方法がないため、秘密鍵が保存されているデバイスが紛失または損傷した場合、その鍵が認証されたリソースへのアクセスは失われます。 デバイス固定パスキーの場合、解決策は、2 番目のデバイスバウンドパスキーをすべての証明書利用者に登録することです。 これにより、ユーザーは両方の認証子を登録する必要があるため、ユーザー エクスペリエンスがより困難になります。 これは、ID プロバイダー (IdP) を使用してアプリケーションへのアクセスをフェデレーションすることで認証フローを統合した組織では、証明書利用者が IdP 自体であるため、多少軽減されます。
これらの課題を解決するために、2022年5月、Apple、Google、Microsoftは、それぞれのオペレーティングシステムで 同期パスキー をサポートする意向を発表しました。 同期パスキーは、秘密鍵と公開鍵のペアの継続的な使用など、 デバイス固定パスキーと同じ特性を多数備えています。 ただし、1つの大きな違いは、 同期パスキー を使用すると、資格情報の秘密鍵を、同じベンダーの同期ファブリックエコシステム(AppleエコシステムのiCloudなど)に存在するユーザーが所有する他のデバイスに同期できることです。 また、同期されたパスキーにより、より合理的でユーザーフレンドリーなエクスペリエンスを作成できます。 すべてのパスキーは、いくつかの共通のセキュリティ特性を共有し、フィッシングに対する耐性が高く、一意のキーペアを使用して強力な認証を可能にします。 ただし、同期された デバイス固定パスキーの違いに注意することも重要です。 たとえば、 同期パスキー は、デバイスにバインドされたパスキーに対して分析すると、新しいセキュリティ上の考慮事項を導入します。 逆に、 同期パスキー は、アカウント回復の課題により簡単に対処できます。
組織は、両方の資格情報の種類を環境内でどこでどのように利用できるかを評価するため、組織の法律、規制、およびセキュリティ要件を確認して理解する必要があります。 組織がこれらの要件を評価するとき、多くの場合、これらの要件の組み合わせを認証保証レベル (AAL) と呼び、さまざまな保証レベルのガイダンスと推奨事項を提供する米国国立標準技術研究所 (NIST) のドキュメントを参照します。 現在、NIST では、 同期パスキーをより適切に組み込むためにこれらの保証レベルを更新する作業が進行中ですが、現在の標準は、 デバイス固定パスキー と同期 同期パスキー の組織への実装を評価する際に役立ちます。 NIST と AAL の詳細については、 認証器 Assurance Levels (nist.gov) を参照してください。
このホワイト ペーパーでは、中程度の保証環境とは、AAL1 や AAL2、および AAL3 レベルの保証を組み合わせることで満たすことができる、いくつかの異なる認証ユースケース シナリオを持つ組織を指します。 このホワイトペーパーでは、 デバイス固定パスキー と同期 同期パスキー の両方の長所と短所を深く掘り下げて、組織が使用できる2つの比較と、独自の法的、規制、およびセキュリティ要件を提供して、 デバイス固定パスキー と同期 同期パスキー の両方を実装する方法と場所を決定しますFIDO2 資格情報が組織のすべての部分で提供する安全でフィッシングに強く、ユーザーフレンドリーな認証プロセスを利用できるように、適度な保証環境に導入します。
2. FIDO資格の採用に関する考慮事項
組織が組織の AAL1、AAL2、および AAL3 要件をサポートするために デバイス固定パスキー と同期 同期パスキー の両方の使用を評価する場合、考慮すべきいくつかの要素があります。 これらの要因については以下で説明し、両方の種類の資格情報を分析し、企業内のどこで使用できるかを判断するために必要な情報を組織に提供することを目的としています。
2.1. ユーザー・エクスペリエンス
ユーザーエクスペリエンスの面では、FIDOクレデンシャルを使用してシステムへの認証を行う目的は、常にユーザーに使いやすく簡単なプロセスを提供することでした。
元の FIDO 実装では、合理化されたサインイン エクスペリエンスが提供されましたが、それでもユーザー エクスペリエンスの課題がいくつかありました。
パスキー には、ユーザーがパスキーの作成に簡単にアクセスできるようにする「パスキー自動入力UI」と呼ばれる新機能や、ユーザーが認証時に使用する資格情報を選択するだけでユーザー名やパスワードを入力する必要がなくなる自動入力のようなエクスペリエンスを提供するなど、ユーザーエクスペリエンスの向上に役立ついくつかの機能強化が導入されています。 このエクスペリエンスは非常に使いやすくなり、パスワードマネージャーなどのソリューションを使用するときにほとんどのユーザーがすでに気に入って快適であるエクスペリエンスと非常によく似ています。 ユーザーが現在のパスワード エクスペリエンスよりも好むパスキー ユーザー エクスペリエンスを作成することで、以前のパスキーの実装で見られた採用のハードルが取り除かれます。
2.1.1 バックアップ、紛失したデバイス、および回復
デバイス固定パスキーでは、秘密鍵はオーセンティケータに保存され、オーセンティケータから出ることは許可されません。
これにより、非常に安全なソリューションが作成されますが、主要なデータのバックアップ、認証器の紛失、およびユーザーの新しい認証器の追加に関して、ユーザーと企業にとって課題が生じます。
デバイス固定パスキー (FIDO_Account_Recovery_Best_Practices-1.pdf (fidoalliance.org)) には推奨される回復方法がありますが、同期パスキーは、よりユーザーフレンドリーな方法でこれらの課題を解決するために機能します。
同期パスキーソリューションの実装により、ユーザーは、オーセンティケーターを紛失した場合に継続的なアクセスを確保するために、複数のオーセンティケーターをリライイングパーティに登録する必要がなくなりました。
オーセンティケーターを紛失した場合、ユーザーはパスキープロバイダーが提供する回復プロセスを使用してパスキーを回復できます。
さらに、同期パスキーは、ユーザーがデバイスごとに一意の資格情報を登録したり、資格情報の損失のリスクを最小限に抑えるために複数のデバイス固定パスキーを維持したりする必要がないため、ユーザーエクスペリエンスを向上させます。
設定が完了すると、同期パスキーは、パスキープロバイダーと同期されたすべてのデバイスで使用できます。
ただし、同期されたパスキーは、パスキー プロバイダとその同期ファブリックへの依存関係を作成します。 各プロバイダーは、資格情報が誤用されないように保護するための独自のセキュリティ制御とメカニズムを含む、独自の同期ファブリックを実装します。 特定のセキュリティ要件またはコンプライアンス要件を持つ組織は、どのプロバイダーまたはハードウェアセキュリティキーが要件を満たしているかを評価する必要があります。
同期されたパスキーは、オーセンティケータの秘密鍵を、同じベンダーのエコシステムでユーザーが持っている他のデバイスのオーセンティケータに同期できるため、セキュリティ体制が低くなります。 また、組織は、現在、これらの資格情報が作成および保存されたデバイスを追跡するための標準やシステム、または資格情報が他のユーザーと共有されたタイミングを特定するメカニズムがないことにも注意する必要があります。 高レベルの保証を必要とする組織内のユースケースでは、この情報を特定または取得できないという事実は、 同期パスキー が特定の組織のユースケースに適したソリューションではないことを意味しており、これらのユースケースをサポートするために デバイス固定パスキー に目を向ける必要があります。
2.3 資格情報の種類の構成証明と適用
構成証明は、登録プロセスのセキュリティを強化するために設計された機能です。
構成証明メカニズムは、仕様によってオプション機能として定義されていますが、ほとんどのハードウェア セキュリティ キーでは実装されています。
構成証明とは、認証子が自身に関するメタデータを証明書利用者に返す機能であり、証明書利用者は、認証子が自分と対話することを許可するかどうかについて十分な情報に基づいた決定を下せるようにします。
このメタデータには、認証子のベンダーとモデルを表す一意の ID である 認証器 Attestation Globally Unique Identifier (AAGUID) などの項目、認証子が使用する暗号化の種類、認証子の PIN と生体認証機能などの項目が含まれます。
一部の認証子ベンダーは、組織が認証子登録要求に含まれる構成証明に一意の識別情報を追加できるエンタープライズ構成証明と呼ばれる機能もサポートしており、この追加情報を使用して、企業内での制御されたデプロイをサポートすることを目的としています。
組織は、特定の認証子セットのみの登録を許可したいと考えています。
Enterprise Attestation の詳細については、ホワイト ペーパー FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf (fidoalliance.org) を参照してください。
公開時点では、 同期パスキー は構成証明を実装していないため、より高いレベルの保証を必要とする高い特権を持つユーザーのシナリオや、エンタープライズ構成証明を実装する組織には適切なソリューションではありません。 これらの高い特権を持つユーザーをサポートするために、証明書利用者や組織はこれまで、ソリューションに構成証明をサポートし、構成証明を含めるベンダーの デバイス固定パスキー と認証子に注目してきましたし、今後も検討する必要があります。 規制、法律、またはセキュリティの要件により、すべてのユーザーを高い特権ユーザーとして扱う必要がある組織、またはエンタープライズ構成証明を実装する必要がある組織の場合は、 デバイス固定パスキー のみを環境に実装することをお勧めします。 このシナリオの詳細については、付属のホワイト ペーパー「High Assurance Enterprise Authentication」を参照してください (https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf)。 中程度の保証組織は、標準ユーザーに 同期パスキー を実装してパスワードとMFAをより安全なソリューションに置き換え、その後、高い特権を持つユーザーと最高レベルの保証を必要とするリソースへのアクセスに デバイス固定パスキー を使用することで、すべてのユーザーをサポートできます。
ただし、同じ認証ドメインに両方のタイプのパスキーを実装すると、リソースにアクセスするときに正しいタイプのパスキーが使用されるようにするための追加の手順を組織が実行する必要があります。たとえば、高いレベルの保証が必要なリソースにアクセスするときに、高い特権を持つユーザーが同期されたパスキーではなく、デバイスにバインドされたパスキーを使用していることを確認するなど、追加の課題が発生します。 組織は、IDプロバイダーのユーザーリスク評価とポリシーエンジンフレームワークを活用して、この課題を解決できます。 ダウンストリームの認証決定で使用されるAAL(またはユーザーが選択した他のプロパティ)を表す識別子でユーザーのセッションに透かしを入れることも、この課題を解決するために使用できます。 フェデレーション認証環境では、OpenID Connect によって標準化された Authentication Method Reference (amr, RFC8176) などの標準を使用して、これを伝達できます。
3. まとめ
中程度の保証環境では、 デバイス固定パスキー と同期 同期パスキー の両方を一緒に実装して、組織のすべてのユースケースに対してより安全な認証ソリューションを提供できます。 よりユーザーフレンドリーな 同期パスキー を実装して、標準の保証レベル要件を持つユーザーのパスワードとMFAを置き換えることができ、より安全な認証方法を提供し、使いやすくなります。 最高レベルのセキュリティを必要とする組織内の高い特権を持つユーザーの場合、 デバイス固定パスキー 発行して、認証プロセスでさらに高いレベルのセキュリティと追加のレベルの信頼性を提供できます。 このホワイトペーパーでは、 同期パスキーと、ユーザーエクスペリエンスの向上、 デバイス固定パスキー、および強化されたセキュリティ機能の比較に関する情報を提供します。 この情報を使用して、 デバイス固定パスキー と同期 同期パスキー を評価し、組織内で両方をどのように活用して、中程度の保証環境の要件を満たし、それを超える使いやすく安全な認証方法を提供できるかを判断できます。
4. 次のステップ
組織にとっての次のステップは、FIDO2 資格情報の評価を開始して、フィッシングの影響を受けやすく、全体的なセキュリティ体制の重大な弱点であることが十分に文書化されているパスワードから組織が移行できるようにすることです。 中程度の保証ニーズがあり、 デバイス固定パスキー と同期 同期パスキー の両方を実装する組織は、どの資格情報の種類が最高の投資収益率を提供するかを判断し、最初にその資格情報の種類の実装に向けて取り組み、その後、可能な場合は他の資格情報の種類のデプロイを完了してフォローアップする必要があります。 どちらのタイプのFIDO2クレデンシャルも実装することは、パスワードレス環境に移行し、組織の全体的なセキュリティ体制を大幅に向上させるための大きな前進です。
5. 謝辞
グループディスカッションに参加した、またはこのペーパーのレビューに時間を割いて意見を提供してくださったすべての FIDO Alliance メンバーに感謝します。
- カレン・ラーソン、アクシアド
- ジェフ・クレイマー、アクシアド
- Dean H. Saxe氏、Amazon Web Services、 FIDO Alliance エンタープライズデプロイメントワーキンググループ共同議長
- トム・シェフィールド、ターゲット・コーポレーション
- FIDO Enterprise Deploymentワーキンググループメンバー
