世界がデジタル化していくにつれ、私たちの最も貴重な財産の中には、文書、写真、メール、その他のプライベートメッセージなど、触れることのできないものが増えています。ソーシャルメディアのアカウントを保護したいと思う人もいるかもしれません。しかし、触れることのできないものにロックをかけることは、人によっては分かりにくいかもしれません。他の高価な財産は、確実に保護するために人間の手を必要とします。車は鍵でロックするか、ボタンを押すか、ガレージを閉めるか、あるいはその両方でロックされます。住宅も同様の方法で保護され、現金や宝石は指で操作するコードで保護された金庫に保管されます。しかし、デジタル資産の保護は、通常、バーチャルな作業です。
私自身もこのキーを試してみましたが、設定に少し手間取りましたが、GoogleやTwitterといった重要なアカウントのセキュリティには安心感があります。しかし、神のようなTitanという名前が示す通り、本当にセキュリティは強固なのでしょうか?
Google Titan Keyの設定
ジャーナリストは、GoogleがTitan Keyの最適な候補として挙げている高リスクユーザーの一つです。私自身、仕事ではGmail、ドキュメント、スプレッドシートをよく使っています。Titan KeyはSalesforce、GitHub、Stripe、Dropbox、Twitter、Facebookなど、FIDO標準をサポートするあらゆる企業と互換性があります。
50 ドルの Titan バンドルには、USB/NFC Titan セキュリティ キー 1 個、外出時に持ち運べる Bluetooth キー 1 個、Bluetooth キー充電用マイクロ USB ケーブル 1 本、USB Type-A から USB Type-C へのコンバーター 1 個 (USB-C バージョンは開発中) が付属します。
どちらのキーも小さく、白く、軽量で、プラスチック製で非常に小さいため、デスクの上でもキーの上でも邪魔になりません。
しかし、Bluetoothキーをキーリングに差し込むのが面倒でした。キーリングを開ける際、Titan Keyをリングに立てかけながら差し込んだのですが(他のキーと同じように)、キーの左上部分にひどい傷がついてしまいました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
USBキーの設定は簡単でした。Googleで製品リストに掲載されているウェブサイトにアクセスし、正確な手順に従うだけで済みました。
Bluetoothの悩み
Bluetoothキーは別途登録が必要です。Bluetoothキーを登録したら、PCのアカウントにサインインできるようになりました。
しかし、iPhoneで使うには、Googleのセキュリティロックアプリをダウンロードする必要がありました。ダウンロードしてiPhoneのBluetoothをオンにし、Googleアカウントにログインしました。でも、それ以上はできませんでした。
Googleアカウントをクリックすると、ウェブブラウザのウィンドウが開き、「設定完了です。このスマートフォンにアカウントが安全に設定されました」というメッセージが表示され、「完了」をクリックするオプションがありました。「完了」をクリックすると、Smart Lockアプリに戻り、同じページにGoogleアカウントの一覧が表示されました。スマートフォンのBluetoothをオンにしているにもかかわらず、利用可能なデバイスのリストにキーが表示されません。同僚がAndroidスマートフォンで試した時はBluetoothキーは機能しましたが、私のiPhoneではペアリングできませんでした。
私の場合、Androidスマートフォンを入手しない限り、Titan KeyはPCでしか使えません。この問題についてGoogleに問い合わせましたが、記事の公開までに解決してもらえませんでした。
Yubicoを含む一部の企業は、Bluetoothを本質的に安全ではないと考えていることも注目すべき点です。先月のTitan Keyの発表を受けて、YubicoのCEOであるStina Ehrensvard氏はブログ記事で次のように述べています。「Yubicoは以前、Bluetoothセキュリティキーの開発に着手し、Bluetooth U2F規格の策定にも貢献してきましたが、セキュリティ、ユーザビリティ、耐久性に関する当社の基準を満たしていないため、製品の発売を見送ることにしました。BluetoothはNFCやUSBのようなセキュリティ保証レベルを提供しておらず、バッテリーとペアリングが必要なため、ユーザーエクスペリエンスは劣悪です。」
2019年5月15日更新: Googleは本日、Bluetoothキーにセキュリティ上の欠陥があることを発表し、無償交換を開始しました。また、キーを1つ使用することは、キーを全く使用しないよりも安全であるとも述べています。Google TitanのBluetoothセキュリティキーがハッキングされる可能性については、こちらをご覧ください。
Google Titan Keyの使用
Titan KeyはGoogleアプリケーションでは非常に優れたパフォーマンスを発揮しました(繰り返しますが、私のPCのみ)。しかし、Google Chromeブラウザでしか動作しません。新しいデバイスでGoogleメール、ドキュメント、スプレッドシートにログインしようとしたとき、あるいはブラウザの履歴を消去した後でさえ、パスワードの入力を求められました。その後、2つ目の防御壁に直面しました。
この次の壁を突破する唯一の方法は、USBキーをコンピューターのUSBポートに挿入し、小さな金色の円に指で触れることです。誰も私の秘密の作業内容(当時はこの記事の草稿も含め)にアクセスすることはできません。誰かが私の手からそれをこじ開けない限りは。たとえパスワードを推測できたとしても、ブロックされるのは確実です。
USBキーは指紋リーダーではないため、キーにアクセスできる人なら誰でも押して、セキュリティの強化を突破できます。そのため、USBキーは誰にも見つからない安全な場所に保管することが非常に重要です。自宅でのみ作業する場合を除き、使用後は必ずコンピューターから取り外し、安全な場所に保管する必要があります。しかし、これはセキュリティを大幅に強化するための小さな要件です。
Google Titanとソーシャルメディア
Titan Key は Google 領域外の多くのアプリと互換性がありますが、専門家でなくてもソーシャル メディアを頻繁に利用しており、私も Twitter と Facebook をよく使用しているため、ソーシャル メディアで試してみることにしました。
おそらく誰も予想していなかったでしょうが、Facebookは依然として最も脆弱なままでした。キーを使い始めた初日にセキュリティキーを追加しましたが、ブラウザの履歴を消去したり、普段使わないPCでログインしたりしても、キーの導入を求められることはありませんでした。そこで、プライバシー設定を再度確認してみましたが、キーを登録する方法が見つかりませんでした。
Twitterは少しだけましでした。2FAとTitan Keyを使って(簡単に)アカウントを登録した後、ブラウザの履歴を消去してログインを試みました。パスワードを入力すると、確かにキーをタッチして続行するように求めるプロンプトが表示されました。これで、私のアカウントから不正なツイートが送信されることはないと安心しました。
モバイルブラウザを使うとなると話は別です。携帯電話のSafariブラウザでTwitterにログインしようとしたところ、「このブラウザはセキュリティキーをサポートしていません」というメッセージが表示されました。仕方なくGoogle Chromeをダウンロードしてみましたが(Safariはモバイルブラウザとしてこれまで問題なく動作していました)、同じエラーメッセージが表示されました。そのため、Twitterアプリを使わなければ、携帯電話でTwitterアカウントにログインできなくなりました。
Google: セキュリティ キーの顧客が販売者に
2009年、GoogleはYubicoのYubiKeyと提携し、公開鍵暗号方式向けのYubiKeyを開発しました。Yubicoによると、両社は「フィッシング不可能な単一の鍵ですべてのサービスを保護するというコンセプトに基づく強力な認証プロトコル」の開発に協力し、後にFIDOアライアンスによってFIDO Universal 2nd Factor(U2F)規格として採用されました。2012年までに、GoogleはYubicoとNXP Semiconductorsの両社と共同で鍵の開発と展開を行っていました。
2016年、Googleはワンタイムパスワード(OTPS)やTLS証明書などの他のセキュリティ対策を2年間分析した後、「すべてのスタッフと請負業者の安全なコンピュータとサーバーログインのためにYubiKeyを採用し、現在までに7万人以上の従業員に到達」し、次のような結果が得られました。
2017年10月、Googleは高リスクユーザーを対象とした「高度な保護プログラム」を開始しました。このプログラムでは、GoogleアカウントへのログインにハードウェアベースのFIDO U2Fセキュリティキーの使用が必須となっています。
Googleは今、自社開発のファームウェアを搭載したハードウェアチップを内蔵したFIDOセキュリティキー「Titan Security Key」で、かつてのベンダーに挑む準備を整えている。Google CloudプロダクトマネージャーのChristiaan Brand氏は本日のブログ投稿でその理由をさらに説明し、FIDOベースのセキュリティキーを「現在市場で最も強力で、フィッシング耐性に優れた2要素認証」と称賛した。ブログではまた、Verizonによる2018年のセキュリティレポートを引用し、調査対象となった12ヶ月間の侵害の41.6%が、パスワードの盗難、フィッシング、プリテキスティングによるものだと指摘している。
Google Titan Key が必要ですか?
Titan Keyを取得する最大の理由の一つは、職業です。Googleのブランド氏に、このキーの対象ユーザーについて尋ねたところ、彼はこう答えました。「地位や所属関係などから、特にリスクを感じているユーザー、特にデリケートなニュースを扱う記者、あるいは反体制派、あるいは権力のある幹部など、この高度なネットワーク保護が必要だと感じている人なら誰でも対象になります。」
Titan Keyは、IT管理者、ビジネスリーダー、ジャーナリスト、政治家といった専門家に最も適しています。しかし、データを保護したい方なら誰でもメリットがあり、購入を検討する価値があります。
しかし、どのアプリを使うかによっても異なります。Salesforce、Dropbox、Twitter、そして特にGoogleの生産性向上アプリなど、人気の対応アプリを(それほど秘密ではない活動であっても)活用しているなら、50ドルの一度限りのコストで永久に使えるセキュリティ強化層が得られるのは安心です。
ただし、サポートされているアプリをまったく使用しない場合は、より多くのサービスにセキュリティ キーが含まれるようになるまで、時間をかける価値がない可能性があります。
しかし、50 ドルあれば、キーは軽量で気楽なので、アカウントへのアクセスを狙うハッカーやその他の詮索好きな人以外には負担になりません。
仕事で機密情報を扱う場合、この使いやすいキーを使えば機密性を保ち、恥ずかしい漏洩を防ぐことができます。ソーシャルメディアのアカウントやメールを覗き見されないようにしたいだけなら、Titan Keyは役立ちます。ただし、Facebookには使えません(そもそもFacebookのセキュリティをどこまで保証できるというのでしょうか?)。
Google Titan セキュリティ キー バンドルには 1 年間の限定保証が付いており、Google ストアでご購入いただけます。使い方の詳細については、Google の製品ページをご覧ください。
2019 年 7 月 31 日更新:本日、Google はこの Titan セキュリティ キー バンドルを英国 (50 ポンド)、カナダ (65 ドル)、フランス (55 ユーロ)、日本 (6,000 円) で販売開始しました。
シャロン・ハーディングは、ゲーム周辺機器(特にモニター)、ノートパソコン、バーチャルリアリティなど、テクノロジー関連の報道で10年以上の経験があります。以前は、Channelnomicsでハードウェア、ソフトウェア、サイバーセキュリティ、クラウド、その他のIT関連の出来事を含むビジネステクノロジーを取材し、CRN UKにも寄稿していました。
