セキュリティ対策でYubikeyを導入してみた / 開発者向けブログ・イベント

こんにちは、GMOインターネットグループ株式会社の小林です。
今回はセキュリティ対策の一環で導入しました、Yubileyについてご紹介させていただきます。

導入背景

以前よりMicrosoft365を導入していましたが、元々はID/PASSでの認証でした。それでは脆弱な状態であると判断し、全パートナーにスマートフォンを配布して多要素認証を導入しました。
しかし、コールセンターや特定の業務のみに従事している場合は多要素認証のためだけにスマートフォンを配布するため一定のリスクが伴います。そのためID/PASSのみの認証にはならずに多要素認証を実装できるYubikeyの導入を決めました。

Yubikeyとは

Yubikoという会社が開発したセキュリティキーで、用途に応じて複数の種類が発売されています。今回導入したのは以下画像にあるUSBのような形状のものになります。

種類についての詳しくは日本の公式代理店であるソフト技研のサイトを参考にしてください。

導入方法

Yubikeyが使用できるサービスは様々ありますが、今回は全パートナーに導入済のMicrosoftアカウントの認証に実装してみました（多要素認証を実装するためには事前にMicrosoftのライセンス及びMicrosoftアカウントの設定が必要になりますのでご注意ください）

簡単にユーザーが使用を開始できるまでの方法をご紹介させていただきます。

①Yubikeyのソフトウエアを使用するPCにインストールします（Yubico Authenticater）
②PCにインストールされたYubico Authenticaterを起動します。

③Yubikeyデバイスをパソコンに接続します。

④Yubikeyを接続するとアプリが以下の画面に代わります。
　「三本リーダー」をクリックします。

⑤「Add account」をクリックします。

⑥以下のリンクをクリックし、Microsoft365のセキュリティページにアクセスします。
　Microsoft365マイアカウント-セキュリティ確認
　「＋サインイン方法の追加」をクリックします。

⑦「認証アプリ」を選択し、「追加」をクリックします。

⑧「別の認証アプリを使用します」をクリックします。

⑨「次へ」をクリックします。

⑩認証アプリのQRコードが表示されます。
　㋐Yubico Authenticaterの「Scan QR code」をクリックします。
　㋑Yubico Authenticaterの「Require touch」をクリックします。
　㋒Yubico Authenticaterの「Save」をクリックします。
　㋓認証アプリの「次へ」をクリックします。

⑪Yubico Authenticaterにメールアドレスを登録されます。
　㋐Yubico Authenticaterに登録されているアカウントの「指マーク」をクリックします。
　㋑Touch requiredというメッセージが表示されますので、Yubikeyデバイスの金属部分をタッチします。
　㋒認証の番号が表示されますので、認証アプリの「コード入力」場所に入力します。
　㋓認証アプリの「次へ」をクリックします。

⑫認証アプリの登録が完了するとセキュリティ情報に認証アプリが表示されます。

利用方法

次回以降、再認証がMicrosoftのログインページで求められる際はパスワード認証の後に以下の認証が求めらます。表示されたらYubico Authenticatorからコードを取得して入力してログインできれば認証完了となります。

※Yubico Authenticatorのコードを確認する方法

①Yubico Authenticatorのアプリを起動します。

②Yubicoアプリに登録されているアカウントの「指マーク」をクリックします。

③以下の画面が表示されますので、「Calculate」アイコンをクリックします。

④「Touch required」のメッセージが表示されます。

⑤Yubikeyデバイスの指定した場所を「タッチ」します。

⑥Yubico Authenticatorの認証コードが表示されます。

まとめ

Yubikeyの設定自体は簡単で、仕様を理解していれば短時間で導入可能です。

実際の多要素認証の場面では物理的に触れることで認証されるため、業務で利用するパートナーにとっても理解しやすいものとなります。導入によりスマートフォンを使用する多要素認証よりも問い合わせが少なくなり、IT部門と利用者の双方の負担が軽減され、時間とリソースを節約することもできます。

ご参考になれば幸いです。