minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
USBやNFC・Bluetoothで接続して使う物理的な多要素認証デバイス。フィッシング耐性の高い「所有」要素として運用される。
詳しい解説
セキュリティキー(Security Key)とは、PCやスマートフォンに接続して認証を行う物理的なデバイスです。代表的な製品としてYubico社の「YubiKey」、Google社の「Titan Security Key」、Feitian社の各種モデルなどがあります。USB-A/USB-C/Lightning/NFC/Bluetoothなど多様なインターフェースに対応し、PCやスマホに差し込んでタッチするだけでログインを承認できます。
認証の仕組みはFIDO2/WebAuthn規格に基づき、サーバーに保存されるのは「公開鍵」のみで、秘密鍵はキー内部から外に出ません。これによりフィッシングサイトに誘導されてもログインできない(サーバー証明書を確認する仕組みのため)ことから、最も強力な多要素認証として位置づけられています。
Google・Microsoft・Apple・GitHub・AWSなどの大手サービスがネイティブ対応しており、企業の管理者アカウント・銀行・暗号資産取引所などで広く採用されています。Windows HelloもFIDO2規格と互換性があり、外付けセキュリティキーをWindowsログイン用認証要素として登録できます。
紛失リスクへの対策として、通常2本(メインとバックアップ)を購入して別々の場所に保管するのが推奨運用です。SMS二段階認証は近年フィッシング耐性が低いとされており、重要アカウントはセキュリティキーへの移行が推奨されています。
システム管理者がAWS rootアカウントのセキュリティを強化したい場合、YubiKey 5C NFC を2本購入し、メイン用は会社の金庫、バックアップ用は自宅の鍵付き引き出しに保管します。AWSのIAM設定で両方をMFAデバイスとして登録すれば、ログイン時にPCに差し込んでタッチするだけで認証完了。フィッシングメール経由の偽AWSログイン画面ではキーが反応しないため、最強レベルの侵入対策が実現します。SMS認証経由の管理者乗っ取り事故は世界中で多発しているため、企業のクラウド管理者には特に推奨される投資です。
別の呼び方
YubiKey
FIDO2キー
物理セキュリティキー
