Skip to content

はじめに

本資料について

本資料は YubiKey smart card deployment guide を参考に、株式会社ソフト技研が作成したマニュアルです。参考元から一部省略、または追加の説明を加えている場合があります。

本資料の対象

本資料は YubiKey PIV(スマートカードログオン)環境を Active Directory 環境に展開するシステム管理者を対象としています。本資料の読者は以下の項目についての基本的な知識が必要となります。

Note

  • PC操作及びWindowsオペレーションシステム
  • Active Directoryのユーザー管理・ポリシー管理

また、以下の権限が必要となります

Note

  • Active Directory のドメイン管理権限
  • Active Directory Certificate Service への管理権限

免責

Warning

本マニュアルを利用して生じたトラブル、データの消失・破損など、直接、間接の損害について、弊社はその責を一切負わないものとします。

YubiKey PIV 環境の概要

YubiKey PIV(Smart Card)環境の構築には Windows Active Directory サービス、および、Active Directory 証明書サービスが必要です。 Active Directory Domain Service 環境についてはActive Directory Domain Services 、証明書サーバーについては Active Directory Certificate Services Step-by-Step Guide、 または、YubiKey smart card deployment guide などを参考に構築してください。

一般的な認証シーケンス

YubiKeyの機能

YubiKey は 複数の認証プロトコルに対応した USB セキュリティトークンです。シンプルなタッチ、もしくは PIN の組み合わせでコンピューター、ネットワーク、オンラインサービスへのアクセスを保護します。 YubiKey は YubiKey minidriver によって、スマートカードとして動作します。これにより、Active Directory へのアクセスを強力に保護します。また Windows ネイティブで動作し、スマートカードリーダーも不要であるため、追加のソフトウェア・ハードウェアの導入なしで ドメインの管理ポリシーにより柔軟な管理が可能となります。

本書では YubiKey minidriver の導入・基本的なスマートカードログオンの設定方法について解説します。

SmartCard認証とは

スマート カードは、クライアント認証、ドメインへのログオン、コード署名、電子メールのセキュリティ保護などのタスクのためにセキュリティ ソリューションを提供する、改ざんされにくく、可搬性に優れた方法です。^1

スマートカード認証を導入することによって Active Directory の権限管理の利点を損なわずに「スマートカード」および「PIN」によるよりセキュアな認証に切り替えることができます。

スマートカードによるWindowsログオン

これにより、複雑なパスワードの強制や、パスワードの定期変更ポリシーなどが不要になり、パスワードリセットといった管理者のサポートコストも減少します。

チャレンジ&レスポンス認証

Smart Card 認証は公開鍵暗号を用いたチャレンジ&レスポンス認証をベースとしています。認証に使われるのは「秘密鍵」と「公開鍵」を含む「証明書」です。 チャレンジ&レスポンス認証は、ランダムな Challenge にデバイスの「秘密鍵」で署名をし、「公開鍵」で検証をする認証方式です。

一般的なチャレンジ&レスポンス認証

Note

  1. チャレンジの送信
  2. デバイスの秘密鍵でチャレンジに署名
  3. 署名の送信
  4. 公開鍵による署名の検証

秘密鍵の保護

デバイスに保存された「秘密鍵」は、ハードウェアベースのセキュリティチップに保存され、外部に流出することはないため所持による強固な認証要素になります。秘密鍵を利用する際には PIN による検証が必要になります。PINはデバイスに紐づき、ネットワーク上を流れることがないため、よりセキュアな2段階認証要素になります。

ハードウェアチップとPINによる秘密鍵の保護

ルート証明書によるユーザー証明書の検証

「ユーザー証明書」にはチャレンジ&レスポンス認証に必要な「公開鍵」が含まれています。そのため、各サーバーやローカルキャッシュでユーザー認証が可能です。またユーザー証明書には、CAサーバーによる署名がされているため、認証に使われたキーペアが正しい証明書と秘密鍵のペアであることを検証できます。

ユーザー証明書の検証

Smart Card 認証では、このようなチャレンジ&レスポンス認証によるユーザー認証と、証明書サーバーの公開鍵によるユーザー証明書の検証の2つのステップで、セキュアなログインを実現しています。