2022年3月初旬、セキュリティ専門家は、最も脆弱なリンクの1つであるパスワードをセキュリティキーに置き換えることで、ウクライナのサイバーセキュリティ防御を強化する方法を発見しました。
HideezのCEO、オレグ・ナウメンコ氏は、紛争の早い段階から、政府機関や重要インフラ組織のためのより優れた認証システムの必要性を感じていました。彼は、ウクライナ政府へのセキュリティキーの導入にあたり、Yubicoに協力を依頼しました。
「配備するには大量の鍵が必要でしたが、倉庫にそれだけの鍵がありませんでした」と彼は言います。「助けを求めると、Stinaからその日のうちに返信がありました。」
Yubico は現在 10,000 個のキーを配布しており、さらに 10,000 個を寄付する予定です。
ユビコのCEO兼創設者であるスティナ・エーレンスヴァルド氏は、Hideezおよびウクライナ政府との協力により、スマートカード技術とFIDOセキュリティキーを組み合わせ、すべてのサービスに対する単一のアクセスポイントを構築したと語った。
「スマートカードではPCにログオンできますが、G SuiteやTwitter、クラウドサービスにはログインできません。そこで、両方の機能を同じキーに追加しました」と彼女は語った。
Hideez認証サーバーは、スマートカード、FIDO認証、YubiKeyをサポートするようになりました。これらのキーは、以下を含む多くの組織で使用されています。
- SSSCIP、ウクライナ国家特別通信情報保護局
- デジタル変革省は、IT近代化と次世代の政府電子サービスを主導しています。
- 政府所有のエネルギー会社と発電所
- ウクライナの.UAドメイン管理組織Hostmaster.UA
ウクライナのエネルギープラントのサイバーセキュリティ担当幹部は、ユビコ社のサイトに関するブログ記事で、高度なフィッシングや中間者攻撃、そしてサイバー攻撃の総量の増加により、プラント運営者は従来の認証やモバイルベースの認証に頼ることはできないと述べた。
「YubiKeyの重要な点は、多目的かつマルチプロトコルのデバイスとして構築されていることです。これにより、PCログイン、VPNアクセス、クラウドベースの生産性向上、電子メールシステム、ERPシステム、モバイルアプリケーションに同じ認証システムを使用することができます」と幹部は述べた。
工場の労働者は、追加のセキュリティ対策として、また戦地での作業によるストレスのために、毎日パスワードを変更していた。
「YubiKeyはセキュリティを大幅に強化し、多くのITシステムへのアクセスを迅速かつ容易にしました。これは従業員にとって大きな安心感となっています」と幹部は述べた。「地上戦の最前線で戦う兵士やその他の人々を守る防弾チョッキと同様に、YubiKeyはサイバー防衛において非常に重要だと考えています。」
参照:破壊的なマルウェア「HermeticWiper」がウクライナを襲う
エーレンズヴァルド氏は、テキストメッセージや認証アプリによる2FAは、現在のレベルのサイバー攻撃に耐えられるほど強力ではないと述べた。
「私たちは10年前にこの研究を始めましたが、これは私たちが機能し、拡張可能で、変化をもたらすものを開発したという証拠です」と彼女は語った。
盗まれた認証情報はインターネットセキュリティにおける最大の問題であり、戦争でも同じことが当てはまるとエーレンズヴァルド氏は語った。
「戦争の半分は現実世界で、半分はサイバー世界で起きている。暖房システムや通信システムが停止すれば、国家は機能しなくなる」と彼女は語った。
戦場におけるセキュリティキーの配備
Hideezは、認証とID管理を専門とするサイバーセキュリティ企業です。Hideez Keyは、ワイヤレス認証、パスワード管理、RFIDロックに対応したオールインワンのデジタルキーです。ナウメンコ氏は、自身の銀行口座情報と貯金が盗まれたことをきっかけに、この会社を設立しました。Hideezはバージニア州にオフィスを、キエフに開発オフィスを構えています。
ハイズ社の戦争対策担当副社長、ユーリー・アッカーマン氏は、ユビコ社のエンジニアらが同社およびウクライナ当局と緊密に協力していると語った。
「私たちは非常にストレスの多い人々を相手にしており、ユビコキーはこうした状況に完璧に適合します」と彼は述べ、特に政府機関が使用している従来の技術を考慮するとそう言えるだろう。
Hideez は、ウクライナの国家特別通信・情報保護局と協力し、政府機関での使用に向けて YubiKey 5 シリーズを認定しました。
SSSCIPの副長官オレクサンドル・ポティイ氏は、Yubicoのウェブサイトに掲載されたブログ記事で、SSSCIPは通常6ヶ月以上かかる認証プロセスを迅速化し、ウクライナ政府および軍の全機関とその職員がYubiKey 5シリーズを使用できるよう認証を取得したと述べた。また、SSSCIPは職員が電子文書管理システムで使用できるよう、3,000台のYubiKeyを導入している。
SIPCC は、政府省庁および政府機関向けに、鍵の導入をガイドするセキュリティ ポリシー フレームワークを整備していました。
アッカーマン氏によると、キーの導入には、特にパスワードの使用に慣れているユーザーに対して、ある程度のユーザートレーニングが必要だという。HideezとYubicoのエンジニアは、導入を容易にするために登録プロセスを合理化した。
「このキーはデバイス上のPINコードを使用するので、ユーザーはPINを覚えておけばよいので、これは大きな利点です」と彼は語った。
アッカーマン氏は、従来のサイバーセキュリティ対策は非常に高価になる可能性があるが、ユビコのキーはそうではないと述べた。
「現実には、認証の防御の方がはるかに重要であり、それほど大きな費用はかかりません」と彼は述べた。「この研究は、優れた防御策をどのように開発するかを示す素晴らしい例となるでしょう。」
アッカーマン氏は、世界中でサイバーセキュリティ戦争が絶え間なく続いている現状では、パスワードよりも優れた解決策が必要であることに人々が気づき始めていると述べた。
「将来のセキュリティポリシーを評価する際、パスワードはセキュリティ全般に悪影響を与えるだけでなく、従業員がプレッシャーにさらされてさらに苦労するため、実際にはさらに多くの問題を引き起こすことになるだろう」と彼は述べた。
参照: Python プログラミング言語: このトレーニングでコーディング キャリアをスタートしましょう (TechRepublic Academy)
アッカーマン氏は、ウクライナ戦争により、サイバーセキュリティの仕事が全く異なる状況に置かれ、この専門知識は国家の安全保障を守るために不可欠であると述べた。
オレグさんは、2022年2月24日、大きな爆発音で目が覚めてから、ウクライナの生活は一変したと語った。戦争で家や仕事、そして家族さえも失ったにもかかわらず、ウクライナ国民は国を守り、再建する決意を固めていると彼は語った。
「ウクライナに新たな生活と新たな国を築くという大きな目標があります」と彼は語った。「多くの企業が、新たな国をどう築くかを考え始め、ビジネスモデルを変えています。」
