三菱電機が“脱パスワード”の切り札に「YubiKey」導入 なぜスマホでは駄目?:過去のインシデントからの教訓
認証情報の不正使用は重大な事件につながる。三菱電機は過去のインシデントの教訓からMFAの導入に踏み切る際、スマートフォンによる認証ではなく、物理的なセキュリティキー「YubiKey」を選んだ。その理由とは。
三菱電機が、数千個規模のハードウェア認証キーを導入し、認証システムの強化に乗り出した。背景には、同社が過去に経験した認証情報の不正使用によるセキュリティインシデントがある。このインシデントを機に、従来のパスワード認証の限界を認識し、強力な多要素認証(MFA)システムの導入を最優先課題としていた。
MFAを実現する手段として、三菱電機はセキュリティデバイスベンダーYubicoのハードウェア認証キー「YubiKey」の導入を決定した。なぜスマートフォンなどのモバイルデバイスではなく、専用のセキュリティキーを導入したのか。
フィッシング耐性と「脱パスワード」の現実解
全従業員にMFA用のスマートフォンを配布する案は、三菱電機にとって費用面で現実的ではなかったという。生産施設などモバイルデバイスの持ち込み自体が制限される環境では、スマートフォンを使った認証は機能しないという根本的な課題も抱えていた。
今回三菱電機が導入したYubiKeyは、USBポートに挿して使用する物理的な鍵だ。これによってスマートフォンを持ち込めない環境でも、安全なMFAが可能になった。
導入の決め手について、三菱電機の担当者は「スマートフォンの調達、配布にかかる費用の問題、モバイルデバイスの持ち込みに制限がある問題をまとめて解決できるのがYubiKeyだった」と評価している。利用者のITスキルに依存しにくい使いやすさも評価点だ。
YubiKeyはパスワードレス認証規格「FIDO」やスマートカード認証など、複数の認証方式で利用できる「マルチプロトコル」仕様である点も特徴だ。異なる認証方式を要求するシステムが混在していても、従業員は認証手段をYubiKeyに統一できるようになる。
サイバー攻撃の中でも、フィッシング詐欺によるIDやパスワードの窃取が深刻化している。パスワード自体をなくす「パスワードレス化」は、フィッシング詐欺に対する根本的な対策になる。同時に、情報システム部門にとっては、パスワードリセットの問い合わせ対応といった運用負荷の削減にもつながる。
三菱電機は、すでに導入した数千個のYubiKeyが問題なく稼働していることを確認済みだ。今後はインフラの進化に合わせ、研究施設などさらに多くの場面に展開することを計画している。同社は今回のYubiKey導入を、全従業員のパスワードレス認証を実現するための重要な土台と位置付けている。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。