Sponsored Contents

securityの最新記事

Image credit:
Save

Google、社員へのセキュリティキー導入でフィッシング被害が0件に

パスワードを打ってスマホに届くコードを打って……なんて手間はなくなります

山本竜也(Tatsuya Yamamoto)
2018年7月24日, 午後05:30 in security
370シェア
138
96
0
136

連載

注目記事

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

4年ぶりの新生Mac mini レビュー。10万円以下で買えるCore i3モデルの実力は?

Brother Hawk, 12月10日
View

偽サイトに誘導して、ユーザーのアカウント情報などを盗み出すフィッシング詐欺。最近は本物と見分けがつかないような偽サイトも登場し、より一層の注意が必要な状況となっています。そんな中、多数の従業員を抱えるGoogleが、2017年に業務関連アカウントでのフィッシング被害が0だったとの事例が報告されています。

セキュリティ関連の情報を報じているKrebs On Securityによると、Googleは2017年に8万5000人以上の全従業員に対し、USBセキュリティキーの使用を義務付けたところ、フィッシング被害の報告が0件になったとのことです。

USBセキュリティキーを使用する前がどうだったのかが分からないため、USBセキュリティキーのおかげでフィッシング被害を防げたとは言い切れませんが、意識付け等の意味でも一定の効果はあったと考えられます。

あらためてセキュリティキーについて触れておくと、その名の通りにUSB接続で使える認証用のデバイスで、FIDOアライアンスのU2F (Universal 2nd Factor)プロトコルに対応したものが一般的。GoogleやDropbox、Facebook、Twitterなどが二要素認証(二段階認証)でセキュリティキーをサポートしています。



通常、二要素認証では、SMSに送信されるコードや認証用アプリで生成されるコードを入力するものがほとんどですが、セキュリティキーはUSBポートに差し込みキー上のボタンに触れると認証が完了します。認証には物理的なキーが必要となるため、コードを入力する形式よりも安全性は高くなります。

なお、現在はパスワードと組み合わせた二段階認証としてU2Fが使用されていますが、今後はパスワードそのものが不要なUAF(Universal Authentication Framework)が主流になると考えられおり、UAF(とU2F)を基にしたWebAuthn(Web Authentication)がすでにW3Cの勧告候補になっています。


とはいえ、利用するには各サービスが対応する必要があり、広く普及するには時間がかかります。それまでの過渡期的な手段となるかもしれませんが、セキュリティ対策のためUSBセキュリティキーを導入するのは有効な手段と言えそうです。


370シェア
138
96
0
136

Sponsored Contents