株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > CrowdStrike > CrowdStrike Falcon 管理コンソールに「FIDO2 セキュリティキー認証」でログインしてみよう

CrowdStrike Falcon 管理コンソールに「FIDO2 セキュリティキー認証」でログインしてみよう

CrowdStrike Security

はじめに:TOTP だけで本当に十分?

Falcon 管理コンソールにログインできるアカウントは、エンドポイントの隔離や設定変更、検知ルールの調整など、とても強い権限を持っています。ここが一度乗っ取られてしまうと、EDR 自体が“攻撃の踏み台”になってしまうリスクすらあります。

これまでは、Falcon コンソールの多要素認証(MFA)は TOTP(認証アプリが生成する 6 桁コード) を利用していました。

  1. ID・パスワードを入力
  2. スマホの認証アプリでコードを確認
  3. その数字をログイン画面に打ち込む

という、よく見かける 2 段階認証のパターンです。

TOTP 自体は今でも有効な手段ですが、使い続ける中でこんな課題も見えてきます。

  • 毎回スマホを取り出してコードを入力するのが地味に面倒
  • 個人スマホ依存の運用になりやすく、紛失や機種変更のたびに対応が発生する
  • フィッシングサイトに ID・パスワード+コードを入れてしまうリスクは依然として残る

そこで、Falcon には もう一つの MFA オプション として 「WebAuthn with FIDO2 security key」=FIDO2 セキュリティキーによる 2 要素認証 がサポートされるようになりました。

この記事では、この FIDO2 セキュリティキー認証が「どんなものか」を簡単に紹介したうえで、Falcon での設定方法・使い方 を見ていきます。

FIDO2 セキュリティキー認証とはなにか?

Falcon の FIDO2 セキュリティキー認証を一言でまとめると、 「ID・パスワードに加えて、物理キーや端末の生体認証を使う 2 要素認証」 です。実際のログインの流れは、1 ステップ目は TOTP のときと同じです。

  1. Falcon コンソールのログイン画面で
    → いつも通り ユーザー名とパスワード を入力
  2. そのあと、追加の確認として
    → YubiKey などの FIDO2 セキュリティキーをタッチする
    → あるいは PC の指紋認証や顔認証(Windows Hello / Touch ID など)で認証する

この「2 段目」の処理に使われている標準仕様が WebAuthn / FIDO2 です。Falcon の設定画面では、この機能は「WebAuthn with FIDO2 security key」という名称で表示されています。

ここで押さえておきたいポイントは 2 つです。

  • ID・パスワードはそのまま残る(=完全なパスワードレスではなく、2 要素目の強化)
  • そのうえで 「その人が持っているもの(物理キー)」や「その人の身体情報(生体認証)」がないとログインできない

つまり、従来の「ID・パスワード+スマホアプリの数字コード」という形から、
「ID・パスワード+セキュリティキー/生体認証」という形に 2 要素目を置き換えたり、併用したりできるようになる、というイメージです。

それではここから、実際に Falcon で FIDO2 セキュリティキー認証を有効化する手順を見ていきます。

Falcon で FIDO2 セキュリティキー認証を有効化する手順

利用までのステップは2つです。

  1. FIDO2セキュリティキーの登録
  2. 「FIDO2セキュリティキーを使用したWebAuthn」の有効化

 FIDO2セキュリティキーの登録

セキュリティキーの登録は対象ユーザーでFalconコンソールにログイン後に登録設定を実施します。ここではFalconコンソールにログインした状態から登録するまでの方法をガイドします。

また、今回は Windows Hello を利用します。

 

a. Falconコンソールにログインし、右上の人アイコンをクリックし、ユーザー名(メールアドレス)をクリックします。

b. アカウントのセキュリティを開き、セキュリティキーの追加をクリックします。

c. 新しいセキュリティキーの追加 のポップアップが表示されます。設定をクリックします。

d. ChromeにGoogleアカウントでログインしている場合、Google パスワードマネージャーに追加するか確認されます。別の方法で保存をクリックします。

e. Windows Hello または外部セキュリティキーをクリックします。

f. 保存先が確認されます。「Windowsデバイスに保存されます。」となっていることを確認し、続行をクリックします。

g. OKをクリックします。

h. 6桁の確認コードが求められます。ログイン時に多要素認証で入力しているTOTPの数字を入力します。

i. セキュリティキーの名前を指定します。ここでは Windows と指定しました。

j. セキュリティキーに登録したキーがリストされていることを確認します。

「FIDO2セキュリティキーを使用したWebAuthn」の有効化

セキュリティキーの登録が完了したら、ログイン時にFIDO2セキュリティキーによる多要素認証を利用できるように設定します。

※Falcon Admin 権限で作業をしてください。

a. Falconコンソールの[サポートとリソース] > [全般設定] を開きます。 [セキュリティ] > [Multi-factor authentication]をクリックします。

b. FIDO2セキュリティキーを使用したWebAuthnオンに変更します。ポップアップで確認が表示されますのでオンにするをクリックします。

c. 6桁の確認コードが求められます。ログイン時に多要素認証で入力しているTOTPの数字を入力します。

d. 設定が有効になります。

 

動作確認

実際にログインがどのように変わるか動作確認してみます。

FalconコンソールのURLにアクセスし、ユーザー名とパスワードを入力するところまでは同じです。

これまでと異なる Verify your identity の画面が表示されます。 Use security key をクリックします。

Windows Helloのセキュリティキーの選択画面が表示されますので OK をクリックします。

ログインが完了します。

その他、注意点

RTRアクションでの2要素認証のサポート

現時点で、RTRアクションではFIDO認証はサポートされていません。RTRアクションに2要素認証を使用する場合は、FIDOに加えてTOTPを引き続き使用する必要があります。

TOTPとの同時利用

Falconコンソールの[サポートとリソース] > [全般設定]にある [セキュリティ] > [Multi-factor authentication]から TOTP Authenticatorアプリオフにしない限りどちらも利用することが可能です。

Windows Hello 以外のデバイスを利用したセキュリティキーの登録

iPhoneでの登録も試行し、正常に登録できることを確認しました。パスキーをどこに保存するか確認された際に 変更ボタンをクリックし、iPhone、iPad、またはAndroidデバイスを選択後手順に従って設定します。

まとめ

Falcon 管理コンソールの多要素認証として、これまで利用してきた TOTP に加えて、FIDO2 セキュリティキー認証を有効化できるようになりました。

  • ログイン時の流れ自体は大きく変えずに
    → 「数字コードの入力」から「セキュリティキーや Windows Hello での認証」に置き換えられる
  • 重要な管理アカウントだけ、ひとつ上のレベルの認証を要求できる
  • TOTP はそのまま残せるので、まずは「併用」から無理なく始められる

というのが、今回のポイントです。また、Falcon 側の設定だけでなく、ユーザー自身によるセキュリティキー登録だけで利用を開始できるため、

  • まずは一部の管理者や運用担当だけで試す
  • 問題なければ、順次対象ユーザーを広げていく

といった形で、段階的な導入もしやすくなっています。

「毎回スマホでコードを打つのが面倒」「管理者アカウントだけでももう少し強く守りたい」と感じている場合は、今回の手順を参考に、まずはテスト用ユーザーから FIDO2 セキュリティキー認証を試してみていただければと思います。

ご不明点、デモのご依頼等のお問い合わせは下記よりお願いいたします。

www.networld.co.jp