FIDO2対応セキュリティキーを用いたさくらのクラウドへの強固なログイン認証
はじめに
このたび「さくらのクラウド」では、アカウントの安全性をさらに高めるために、2要素認証の新しい認証方式として「セキュリティキー(FIDO2)」を追加しました(ニュースリリース)。本記事ではFIDO2対応のセキュリティキーを用いたさくらのクラウドへのログイン認証方法をご紹介します。
さくらのクラウドのログイン認証
従来、さくらのクラウドでは、ログインの際にパスワード認証に加えてTOTP型ワンタイムパスワード認証に対応していました。
例えばGoogle Authenticator, Microsoft Authenticatorなどのソフトウェアトークンや、TOTP対応型ハードウェアトークンなどによる認証が可能で、これらはトークンと総称されます。
TOTP型ワンタイムパスワード
使い捨ての一度限りのパスワードが生成されるワンタイムパスワードはいくつかの方式があります。一番広く利用されているものはOATH(Initiative for Open Authentication)という業界団体が定義している方式です。これにはいくつかの方式が存在しています。一般的に利用されているのは以下のどちらかが多いようです。
- TOTP型 - サーバとトークンが同じ時刻を基準にパスワードを生成します。このため一度生成されたパスワードには有効期限が存在します。
- HOTP型 - ログイン試行回数などのカウンタ値を用いて生成される使い捨てパスワード方式です。このため一度生成されたパスワードに有効期限はありませんが、ログイン処理が行われるたびにカウンタ値が繰り上がるため、ユーザーによるサービスログイン回数に応じて、どこかの時点で利用できなくなります。
この他にOCRA型やRSA型などが存在しています。
これらの方式は、一度生成されたパスワードがどこかの時点で不要になるという点において通常のパスワードより高いセキュリティを提供する代わりに、攻撃者が不正に入手したパスワードをすぐログインに使えばログインできてしまう可能性があります。例えばフィッシングサイトにワンタイムパスワードを入力してしまうと即座に悪用される可能性があります。
これに対して、FIDO2という規格に対応したセキュリティキーを用いることで、ワンタイムパスワードが不正に入手され利用されてしまう攻撃の可能性を軽減することができます。
2025年8月28日に、さくらのクラウドへのログインに利用できる2要素認証方式が、従来のワンタイムパスワードに加えて、FIDO2対応セキュリティキーでのログインに対応しました。
FIDO2対応セキュリティキー
シンプルな仕組みとしては、特定のハードウェアを認証に用いることによって、攻撃者は物理的にハードウェアへのアクセスが出来なければ認証を行うことができなくなります。
FIDO2はFIDO AllianceとW3Cが策定した次世代認証規格で、公開鍵暗号方式を用いたパスワードレス認証を実現します。秘密鍵はユーザ端末やセキュリティキー内に安全に保管されるため、従来のワンタイムパスワードと異なり物理的なアクセスが必須という防御が提供されます。ワンタイムパスワードに対するその他の攻撃手法を軽減する仕組みも導入されています。詳しい仕組みはこちらのサイトをご覧ください。
またセキュリティの強化に加えて、ハードウェアさえあればパスワードやワンタイムパスワードの入力が不要でログインできるという運用上のメリットもあるため、その利便性からFIDOの導入が進んでいます。FIDO2はFIDOの後継の規格という位置づけです。
FIDO2対応セキュリティキーにはいろいろな種類があります。利用するセキュリティキーを選ぶときの大きな指標として、FIPS対応、生体認証(指紋など)対応は事前に考慮すべき重要な選択肢です。FIPS対応キーの場合、キーが盗難されても中のデータを吸い出すことはできず、したがって認証識別子は漏洩しません。生体認証対応は、あらかじめ特定されている人間しか認証行為が行えません。生体認証非対応キーの場合、セキュリティキーを入手できればだれでもログイン試行ができるため、取り扱いには注意が必要です。
このため、FIDO2対応セキュリティーをログインに使用する場合でも、追加の認証として従来通りのパスワードと組み合わせることもあります。またFIDO2キーそのものが利用時にPIN(Personal Identification Number、本人確認のために使用される暗証番号)を求めるケースもあります。
さっそくやってみる
ユーザーの設定
2要素認証はユーザごとに設定を行います。この手順ではまずテスト用ユーザを作成します。
(会員IDを用いたさくらのクラウドへのログインはより広い範囲の権限を保有しているため、別の仕組みとして 2段階認証 機能が提供されています。こちらを参考にしてください。2要素認証は異なる種類の認証要素を組み合わせる仕組みです。これに対して2段階認証は同じ要素を段階的に入力する場合も含む一般用語という違いがあります。例えばメールで確認コードが送付されてきてそれを入力する、などです)
さくらのクラウドのホーム画面における左ペインから ユーザ を選択し、画面右上の ユーザの作成 をクリックします。必要な情報を入力して 作成 をクリックします。メールアドレスは任意です。
ユーザを作成した直後は2要素認証は無効となっています。
作成したユーザでログイン
さくらのクラウドへのログイン方法は2種類あります。
左側が会員IDを用いたログインで、これはさくらインターネットの他サービスなどより広い権限を保有するため、前述の通り2要素認証ではなく、2段階認証という専用の機能でログインを保護しています。
先ほど作成したユーザは右側からログインを行います。
セキュリティキーの登録と2要素認証の有効化
ログインが成功すると左ペインに 2要素認証 が新たに表示されますのでクリックします。
2要素認証の方法としてセキュリティキーとワンタイムパスワードの2種類が設定可能となっています。両方を有効化した場合はセキュリティキーが優先されます。ここではセキュリティキーの 有効化 をクリックします。
キーを登録する画面が出てきます。FIDO2対応セキュリティキーをUSBポートに差し込み、登録開始 をクリックします。利用しているOSやブラウザによって若干異なるダイアログが出てきますが、Chromeの場合は以下のダイアログが表示されますので、セキュリティキーを選択します。
作業を進めるとFIDO2セキュリティキーによってはPINの入力が求められますので、初期設定を行います。
無事登録された後、さくらのクラウド側でこのキーの識別名の入力が求められますので入力します。
ステータスが 有効 となっていれば登録完了です。
再ログイン
では一度ログアウトして再度ログインを行います。通常通りパスワード入力を行った後、Windowsであれば以下のダイアログが表示されますので、セキュリティキーを選択します。
PINが求められるタイプのセキュリティキーの場合はPINを入力します。
指示が出たらキーを触ります。FIDO2の規格上、このキーを触るという行為は必須です。ユーザがその場に存在して操作したことを確認しているためです。前述の通り、非生体認証対応トークンの場合は誰でも触ればログインできますので注意してください。
まとめ
さくらのクラウドが新しくサポートしたFIDO2対応セキュリティキーの設定手順をまとめました。ぜひ安全なクラウドライフをお過ごしください。