コンピューターシステムへの入り口である「認証」ですが、従来型の認証方式に潜む様々な危険要因から、昨今では多要素認証(MFA:Multi Factor Authentication)の導入が各所で推奨されております。
今回の記事では、YubiKeyを用いて、Dropboxをよりセキュアに利用する方法を紹介します。
YubiKeyと多要素認証
多要素認証とは、認証の三要素である「知識情報」(ID、パスワード、PIN番号などの、本人のみが知る情報)、「所持情報」(物理デバイスや端末アプリなど、本人のみが持つ情報)、「生体情報」のうち、いずれか2つ以上を組み合わせて認証に利用する認証方式を指します。
要素を組み合わせる必要がある点で二段階認証とは異なり、また生体認証だけでも多要素にはなりません。
要素を組み合わせる必要がある点で二段階認証とは異なり、また生体認証だけでも多要素にはなりません。
生体認証を利用する場合にも、ID/パスワード(またはPIN番号)+生体認証などのように、複数の要素を組み合わせることで、初めて多要素認証が成立します。
Dropboxでは多要素認証の中でもセキュリティレベルの高いオプションとして、FIDO2対応のセキュリティキーを利用した方式が使用可能となっています。今回の設定では、DropboxのFIDO2多要素認証を実現するために、弊社取扱い製品でありますYubiKeyによる多要素認証を行ってみたいと思います。
YubiKeyはインターフェース(USB-A/C、Lightning、NFC)や、使用可能プロトコルに応じたいくつかの種類がありますが、今回は下記2種類のYubiKeyを使用します。
YubiKey 5 NFC
FIDO2、FIDO U2Fの他に、OATH-TOTP/HOTP、PIV(証明書)、OpenPGPなど、様々なセキュリティプロトコルに対応。
またスマホなどへの非接触認識(NFC)機能をそなえている。
「y」マーク金属部に指で触れることにより、FIDO2の認証処理を開始する。
またスマホなどへの非接触認識(NFC)機能をそなえている。
「y」マーク金属部に指で触れることにより、FIDO2の認証処理を開始する。
YubiKey Bio FIDO Edition
FIDO2、FIDO U2Fをサポートし、指紋による本人確認機能を持つ。FIDO以外のセキュリティプロトコルや、NFCには対応しない。
キーに予め登録された指紋情報と、センサー部に触れた指の指紋を比較し、合致した場合にのみFIDO2の認証処理を開始する。
最大で5つの指紋登録が可能。
キーに予め登録された指紋情報と、センサー部に触れた指の指紋を比較し、合致した場合にのみFIDO2の認証処理を開始する。
最大で5つの指紋登録が可能。
Dropboxで2段階認証を有効化する
YubiKeyをFIDO2セキュリティキーとして設定する前に、Dropboxの2段階認証機能を有効化しておく必要があります。
なお、本手順はGoogle Chromeブラウザにて設定を行っております。
なお、本手順はGoogle Chromeブラウザにて設定を行っております。
Dropboxにサインインし、右上のアカウントアイコンをクリックして表示されるメニューから、「設定」を選択します。
アカウントの設定画面から、「セキュリティ」タブを開き、「2段階認証」を「オン」に変更します。
2段階認証を有効にするためのダイアログが表示されますので、「使ってみる」で設定を開始します。
サインイン後の初回設定では、アカウントのパスワードを求められますので、入力して「次へ」進みます。
2段階認証を有効にするためには、最初にワンタイムパスワードの設定が必要となります。
YubiKey 5 NFCはYubico Authenticatorソフトウェアを併用することで、Dropboxのワンタイムパスワード方式(OATH-TOTP)にも対応しますので、これを設定するために「モバイルアプリを使用」を選択して「次へ」進みます。
QRコードが表示されますので、コードをYubico Authenticatorでスキャンします。
スマホアプリのYubico Authenticatorの場合はカメラでスキャンが行えます。
今回は、WindowsにインストールしたYubico Authenticatorでスキャンを行います。
スマホアプリのYubico Authenticatorの場合はカメラでスキャンが行えます。
今回は、WindowsにインストールしたYubico Authenticatorでスキャンを行います。
Yubico Authenticatorを起動します。
YubiKeyがUSBポートに接続されていない状態では、「Insert your YubiKey」という表示になっています。
YubiKeyを接続すると、アカウント一覧が表示されますが、初期状態では未登録なので「No accounts」です。
アカウントの登録ができるYubiKeyは、YubiKey 5シリーズとなります。YubiKey Bioは使用できません。
YubiKeyを接続すると、アカウント一覧が表示されますが、初期状態では未登録なので「No accounts」です。
アカウントの登録ができるYubiKeyは、YubiKey 5シリーズとなります。YubiKey Bioは使用できません。
DropboxのQRコードが表示されているウィンドウに、Yubico Authenticatorのウィンドウを上に重ねます。
Yubico Authenticatorのメニューから「Scan QR code」を実行すると、QRコードが取り込まれます。
このとき、QRコードは全部見える状態にしておくことが必要です。
Yubico Authenticatorのメニューから「Scan QR code」を実行すると、QRコードが取り込まれます。
このとき、QRコードは全部見える状態にしておくことが必要です。
Yubico Authenticatorにスキャンされたアカウント情報が表示されます。
アカウント情報を確認して、Yubico Authenticatorの「Add account」をクリックします。
DropboxのQRコード画面で、「次へ」進みます。
アカウント情報を確認して、Yubico Authenticatorの「Add account」をクリックします。
DropboxのQRコード画面で、「次へ」進みます。
Yubico AuthenticatorにDropboxのワンタイムパスワードが表示されるようになります。
Dropboxの画面では、同期状態の最終確認のため、表示されているワンタイムパスワードが要求されます。
Yubico Authenticatorに表示されているワンタイムパスワードを、Dropbox画面に入力して「次へ」進みます。
Dropboxの画面では、同期状態の最終確認のため、表示されているワンタイムパスワードが要求されます。
Yubico Authenticatorに表示されているワンタイムパスワードを、Dropbox画面に入力して「次へ」進みます。
Dropboxでは、ワンタイムパスワードを表示できなくなった場合に備え、SMSによる受信ができるように設定することができます。
今回は電話番号を設定せず、「次へ」進みます。
今回は電話番号を設定せず、「次へ」進みます。
バックアップセキュリティコードが表示されますので、保存して「次へ」進みます。
(認証ができなくなった場合に使用します)
(認証ができなくなった場合に使用します)
これで、Dropboxの認証にセキュリティキーを設定できるようになりました。
DropboxにYubiKeyを設定する
ユーザーアカウントの設定から、セキュリティタブを開きます。
2段階認証が「オン」になり、セキュリティキーの設定が可能になっています。
2段階認証が「オン」になり、セキュリティキーの設定が可能になっています。
「セキュリティキー」の「編集」をクリックします。
設定ダイアログが開きますので、「新しいキーを追加」を行います。
セキュリティキーの追加処理に入ります。
「設定を開始」してYubiKeyの登録作業に進みます。
「設定を開始」してYubiKeyの登録作業に進みます。
Dropboxにサインイン後、初めてのキー追加時にはパスワードの入力が要求されます。
サインインアカウントのパスワードを入力し、「次へ」進みます。
サインインアカウントのパスワードを入力し、「次へ」進みます。
追加するセキュリティキーを要求されますので、USBポートにYubiKeyを挿し込みます。
ダイアログの「キーが差し込まれました」をクリックしてキー登録作業に進みます。
ダイアログの「キーが差し込まれました」をクリックしてキー登録作業に進みます。
ローカルマシンに挿し込んだYubiKeyを、Dropboxのサインイン用セキュリティキーとして設定することを確認するため、ブラウザが確認画面を表示します。
「OK」をクリックして先に進みます。
DropboxがYubiKeyの情報を参照可能になることに対し、ブラウザが確認画面を表示します。
「OK」をクリックして先に進みます。
「OK」をクリックして先に進みます。
セキュリティキーへのタッチ操作を求められますので、YubiKey 5 NFCの場合は金属部をタッチします。
YubiKey Bioの場合には、指紋認証部に指を置き、登録されている指紋のマッチングを行います。
YubiKey Bioの場合には、指紋認証部に指を置き、登録されている指紋のマッチングを行います。
キーの認識が終了すると、名前を登録して登録完了となります。
キーを識別しやすいよう、わかりやすい名前を登録しましょう。
キーを識別しやすいよう、わかりやすい名前を登録しましょう。
Dropboxには複数のセキュリティキーを登録することが可能です。
万が一の紛失に備えて、予備のYubiKeyを登録しておくことも可能となります。
万が一の紛失に備えて、予備のYubiKeyを登録しておくことも可能となります。
DropboxにYubiKeyを使用したFIDO2多要素認証サインインを行う
Dropboxに、ユーザーIDとパスワードを指定してサインインします。
ユーザーID/パスワードの認証が正常であった場合、続いてセキュリティキーの挿入を求められます。
YubiKeyをUSBポートに挿し込んで認識させると、次の画面に切り替わります。
予めYubiKeyを挿入してあった場合、本画面は出力されず、次の画面が出力されます。
YubiKeyをUSBポートに挿し込んで認識させると、次の画面に切り替わります。
予めYubiKeyを挿入してあった場合、本画面は出力されず、次の画面が出力されます。
セキュリティキーが認識されると、タッチ操作を求められますので、YubiKey 5 NFCの場合はyマークをタッチします。
YubiKey Bioの場合は、指紋センサーに指を乗せ、登録されている指紋とのマッチングを行います。
YubiKey Bioの場合は、指紋センサーに指を乗せ、登録されている指紋とのマッチングを行います。
サインイン完了です。
DropboxにYubiKeyを使用したワンタイムパスワード認証サインインを行う
Dropboxの2段階認証を有効化する際に、ワンタイムパスワードの設定が行われました。
これによりYubico Authenticatorに設定したワンタイムパスワードでのサインイン認証も可能です。
これによりYubico Authenticatorに設定したワンタイムパスワードでのサインイン認証も可能です。
サインイン時に、セキュリティキーを要求されている画面で、「キャンセル」します。
キャンセルされた画面で、「代わりにモバイル認証システムを使用する」を選択します。
このとき、「このパソコンを信頼する」のチェックは入れないでください。
信頼されたパソコンでは、多要素認証が行われなくなってしまいます。(初期化することは可能です)
このとき、「このパソコンを信頼する」のチェックは入れないでください。
信頼されたパソコンでは、多要素認証が行われなくなってしまいます。(初期化することは可能です)
Yubico Authenticatorに表示されるワンタイムパスワードを、Dropboxのコード欄に入力します。
サインイン完了です。
ワンタイムパスワード方式の併用を望まれない場合、Dropboxから設定を外すことはできませんが、Yubico Authenticatorからアカウント情報を削除することは可能です。
Yubico Authenticator からDropboxのアカウントを削除すると、正しいワンタイムパスワードを生成できる機器が存在しなくなりますので、ワンタイムパスワード運用を不可能にすることが可能です。
YubiKey BioにPIN番号と指紋の登録を行う
YubiKey BioをFIDO2セキュリティキーとして使用するためには、予めPIN番号と指紋を登録しておく必要があります。
YubiKey BioへのPIN番号と指紋登録は、Yubico Authenticator(管理者権限で起動)で行うことができます。
YubiKey BioへのPIN番号と指紋登録は、Yubico Authenticator(管理者権限で起動)で行うことができます。
Yubico Authenticatorを管理者権限で起動し、YubiKey BioをUSBポートに挿して認識させます。
Configurationの、「Webauthn(FIDO2/U2F)」横にある「>」をクリックします。
Configurationの、「Webauthn(FIDO2/U2F)」横にある「>」をクリックします。
Configurationメニューの「Change PIN」でPIN番号の登録、変更を行うことができます。
「Fingerprints」で指紋の登録、削除を行うことができます。
「Fingerprints」で指紋の登録、削除を行うことができます。
PIN番号は、YubiKeyへのアカウント登録や抹消などを行う権限の確認に用いられます。
他人に知られることのないPIN番号を設定してください。(英数字4文字以上)
他人に知られることのないPIN番号を設定してください。(英数字4文字以上)
PIN番号を変更する際には、現在のPIN番号の入力が必要となります。(初回設定時は不要)
指紋の登録は最大5つまで可能です。
指紋の登録は最大5つまで可能です。
「Add」で指紋をスキャンし、名前を付けて登録します。
まとめ
今回の記事では、DropboxとYubiKeyの連携について紹介させて頂きました。
Dropboxをよりセキュアに利用するためにも、YubiKeyとの連携を検討してみてはどうでしょうか?
Dropboxをよりセキュアに利用するためにも、YubiKeyとの連携を検討してみてはどうでしょうか?