エディター
Dean H. Saxe氏、Amazon Web Services、FIDO Enterprise Deployment Working Group共同議長
1. イントロダクション
昨年、 FIDO Alliance、Apple、Google、Microsoftは、パスキー(同じパスキープロバイダーに登録されているデバイス間でバックアップおよび利用可能になる可能性のあるFIDO資格情報)をサポートする意向を発表しました。 それ以来、複数のプラットフォームとパスワードマネージャーによるパスキーとベータ実装のサポートを見てきました。 企業はパスキーに関心を示していますが、どこから始めればよいのか、自社の環境でどのような種類のパスキーが機能するのか、パスキーが自社の認証戦略にどのように適合するのかがわかっていません。
FIDO Allianceは、パスワードレスのFIDOクレデンシャルを表すために「パスキー」という用語を採用していることに注意することが重要です。 これには、同期パスキー(元のアナウンスと意図と一致する)と、デバイスデバイス固定パスキー(発行されたデバイスから離れることのできないFIDO認証資格情報)(FIDOセキュリティキーなど)が含まれます。
以下の一連の論文では、FIDOエンタープライズ展開ワーキンググループ(EDWG)が、SMBから大企業まで拡張するFIDOソリューションの展開について、リーダーや実務家にガイダンスを提供します。 このシリーズでは、同期パスキーからデバイス固定パスキーまで、FIDO クレデンシャルにはさまざまな異なるユースケースがあることを認識した上で、さまざまな企業のユースケースにわたってどのソリューションが適しているかを特定するための重要な判断ポイントを明らかにする。 企業は、さまざまなユースケースに対応するために、複数のFIDOベースのソリューションが必要であることに気付く可能性があります。
組織が自社の環境でパスキーを使用する方法を評価する際には、組織の法律、規制、およびセキュリティ要件を判断し、 同期パスキー と デバイス固定パスキー の両方がこれらの要件をどのように満たすことができるかを評価する必要があります。
読者はFIDOプロトコルについて高いレベルの理解を持っていることを前提としていますが、そうでない場合は、 https://passkeys.dev/ を参照してください。
2. パスキーを選ぶのか?
パスワードはデータ漏洩の80%以上が根本原因であり、最大51%のパスワードが再利用されているため、クレデンシャルスタッフィング攻撃の対象となっています。 FIDOの資格情報は、その設計により、本質的にパスワードよりも安全です。 これらの認証情報は、特定のオリジン(https://fidoalliance.org/ など)をスコープとする一意の暗号化キーペアであり、無関係なサービスによる検出を防ぎます。 パスワードとは異なり、FIDOの認証情報はフィッシングに対する耐性が高く、秘密鍵である認証情報を証明書利用者(RP)サーバーから盗むことはありません。
FIDOの認証情報は、低保証から高保証まで、さまざまなユースケースで利用でき、ユーザーエクスペリエンス、利便性、セキュリティのバランスが取れています。 ハードウェアセキュリティキーから、電話、タブレット、ラップトップの生体認証ハードウェア、パスワードマネージャーまで、さまざまな認証システムにより、企業は独自の環境に適したツールを選択できます。
すべてのFIDO資格情報は暗号化キーペアに基づいていますが、同じセキュリティ特性を示すわけではなく、すべてのユースケースに適しているわけでもありません。 たとえば、ハードウェア セキュリティ キーは、 デバイス固定パスキーを持つ FIPS 認定デバイスである場合があります。 RP は、登録時に提供される構成証明ステートメントに基づいて、これらの資格情報を識別できます。 一方、同期パスキーの実装は、クラウドベースのサービスを通じてキーマテリアルを同期します。 サードパーティ サービスでの資格情報のエクスポートと管理には、追加の考慮事項が発生し、すべての組織のセキュリティ要件を満たしているとは限りません。 4 ページの表は、デバイスにバインドされた 同期パスキーの使用例とプロパティをまとめたものです。
このシリーズを読むと、FIDOエコシステムに固有の用語に遭遇するかもしれません。 これらの用語の定義については、 FIDO技術用語集 を参照してください。
ほとんどの企業では、これらのペーパーの 1 つ以上にまたがるユースケースが存在することが予想されます。 この旅のどの段階でも、組織は今日からFIDOの認証情報を使い始めて、認証情報の再利用、フィッシング、クレデンシャルスタッフィングを減らすことができます。
最初の論文では、パスワードを唯一の認証要素として使用しているユーザーに、組織がパスキーをデプロイする方法を検討します。 パスキーを導入することで、企業は、認証に企業や個人のデバイスを使用しながら、スタッフのフィッシングやクレデンシャルスタッフィングのリスクをすぐに軽減できます。 https://fidoalliance.org/fido-in-the-enterprise/。
SMS OTP、TOTP、HOTP などの従来の 2 要素認証ソリューションを展開している組織は数多くあります。 多くの場合、これらのデプロイは、フィッシング攻撃の成功を減らすための戦術的な対応でした。 ただし、これらのメカニズムはいずれもフィッシングの影響を受けません。 シリーズの 2 番目の論文では、パスキーがフィッシングに対する耐性の低いメカニズムに取って代わる方法を検討し、認証のユーザー エクスペリエンスを向上させます。 https://fidoalliance.org/fido-in-the-enterprise/。
規制の厳しい業界の企業は、スタッフの一部または全員に対して、より高保証の認証を利用する義務を負う場合があります。 これらの企業 (またはセキュリティ要件が厳しい他の企業) は、 同期パスキー、 デバイス固定パスキー、またはその両方を展開して、認証要件を満たすことができる場合があります。 シリーズの 3 番目のペーパーでは、これらの要件を満たすことができる FIDO ベースのソリューションを決定するためのガイダンスを提供します。 https://fidoalliance.org/fido-in-the-enterprise/。
最後の論文では、機能要件または規制要件で高い保証が必要な場合に デバイス固定パスキー の使用について説明します
認証。
これらのシナリオでは、構成証明データを使用して、パスキーの生成と管理に使用されるハードウェア デバイスを安全に検証します。
この構成証明データを使用して、規制対象の企業やユースケースの規制要件とセキュリティ要件への準拠を確保できます。 https://fidoalliance.org/fido-in-the-enterprise/。
デバイスにバインドされた パスキー | 同期 パスキー | |
---|---|---|
低保証 | 足りる | 足りる |
中程度の保証 | 足りる | 十分かもしれません |
高保証 | 十分かもしれません オーセンティケータに依存し、 規制/コンプライアンス要件(例:FIPS 140) | 不十分 |
ポータビリティ | デバイス間やエコシステム間で移植可能、例えばハードウェアセキュリティキー) 利用可能な接続オプション(USB、 NFC、BLE) | パスキープロバイダーエコシステム内でのポータブル |
共有可能/コピー可能 | いいえ – デバイスにバインドされた資格情報はエクスポートできません | サポートされている場合があります。
パスキーに依存 供給者 |
アカウント回復 | 登録して資格情報の損失シナリオを最小限に抑える デバイス固定パスキー エンタープライズ RP によるアカウント回復の定義 メカニズム | パスキープロバイダーが定義したメカニズムによる資格情報の回復により、新しいデバイスをブートストラップ エンタープライズ RP によるアカウント回復の定義 メカニズム |
コスト | 取得とプロビジョニングにかかる潜在的な追加コスト ハードウェアセキュリティキー (デバイスにバインドされたキーが次の場合) プラットフォームエコシステムでは利用できません | 既存のプラットフォームに組み込み サードパーティ/非プラットフォームパスキープロバイダーに追加費用が発生する可能性があります |
3. 謝辞
- ヴィットリオ・ベルトッチ、Okta
- グレッグ・ブラウン、アクシアド
- ジェローム・ベッカート、アクシアド
- ティム・カパッリ、マイクロソフト
- マシュー・エステス、アマゾン ウェブ サービス
- ジョン・フォンタナ、ユビコ、FIDOエンタープライズデプロイメントワーキンググループ共同議長
- リューイスラム、ダッシュレーン
- スー・クーメン、アメリカン・エキスプレス
- ジェフ・クレイマー、アクシアド
- カレン・ラーソン、アクシアド
- ショーン・ミラー、RSA
- トム・シェフィールド、ターゲット・コーポレーション
- ヨハネス・ストックマン、Okta
- シェーン・ウィーデン、IBM
- モンティ・ワイズマン、Beyond Identity
- Khaled Zaky、アマゾン ウェブ サービス
- FIDO Enterprise Deploymentワーキンググループメンバー