FIPS 140-3 – 連邦機関が Hirsch uTrust FIDO2 セキュリティキーを採用すべき理由
【元記事:https://www.hirschsecure.com/resources/blog/fips-140-3-why-agencies-need-hirsch-utrust-fido2-security-keys】本記事は、2025年8月29日に公開された技術ブログの日本語翻訳版です。翻訳の正確性に努めておりますが、万一、原文と訳文に相違がある場合は、原文の内容が適用されます。
FIPS 140-3: なぜ政府機関はHirschのuTrust FIDO2セキュリティキーとカードを必要とするのか
2025年8月29日
Louis Modell、Hirsch 米州担当VP アイデンティティ部門より:フィッシング耐性のあるセキュリティについて
Hirschのアイデンティティ部門VPとして、私は連邦政府機関がAIを活用したフィッシング攻撃の増加と、FIPS 140-3準拠という2025年のより厳格な義務の両方に直面しているのを目の当たりにしてきました。2026年初頭にFIPS 140-2が廃止されるのに伴い、各機関は機密データを保護するためにTLS 1.3のような堅牢な暗号化ソリューションを採用しなければなりません。一方、AIによる脅威—非常に巧妙なフィッシングメール、声のクローン詐欺、MFAを迂回するキット—は、組織の96%に影響を与えており、2022年以降4,151%もの急増を見せています。
FIPS 140-3およびNIST SP800-63B AAL3の検証を受けたHirschのuTrust FIDO2 GOVセキュリティキーおよびFIDO2カードは、連邦政府のシステムに「見事にシンプル」な、フィッシング耐性のある防御を提供します。これらが今、必須である理由を説明します。
uTrust FIDO2: 連邦政府職員と請負業者のための要塞
私は、AIが作成したフィッシングメールがフィルターをすり抜け、職員が悪意のあるリンクをクリックしてしまった後、寝不足に陥ったと語る政府機関のCISO(最高情報セキュリティ責任者)たちと会ってきました。フィッシングは侵害の80〜95%を引き起こしており、2025年にはさらに悪化すると予想されます。ディープフェイクを使ったボイスフィッシング(vishing)や、連邦政府の認証情報を狙ったQRコード攻撃などです。私が協力したある機関は、ハッカーが幹部の声を模倣し、間一髪でセキュアネットワークへの侵入を免れたという危機に直面しました。
uTrust FIDO2キーとカードは、公開鍵暗号方式によってこれらの脅威を完全に阻止し、パスワードの盗難、リプレイ攻撃、あるいはMFA疲労のリスクを排除します。WormGPTのようなAIツールが悪用するSMSコードとは異なり、当社のキーは連邦政府職員と請負業者のための要塞となります。
uTrust FIDO2を際立たせているのは何でしょうか?それは、ワンタップでの明快さと制御です。FIDO2、FIDO U2F、PIV、およびOTPプロトコルをサポートするこれらのキーは、USB-A、USB-C、またはNFCを介して機能し、差し込むか、かざすだけで認証を簡単にします。最近の国防総省での説明会で、ITチームが複雑なトレーニングなしに職員がアクセスを確保できると知って目を輝かせたのを目にしました。これは、当社の「見事にシンプル」という理念、つまりセキュリティがパズルのように感じられてはいけないという考えと一致しています。CISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)が2024年にFIDOベースの認証を推進したことは、レガシーな認証方法がAIフィッシングに対して脆弱であることを指摘しており、この動きを裏付けています。
鍵となるのはFIPS 140-3で検証された暗号化
脅威の状況は絶え間なく変化しています。AIツールは完璧なフィッシングメールを大量生産し、Adversary-in-the-Middle(中間者)キットはセッショントークンを盗み出します。2025年には、攻撃者が盗まれたデータを活用して、最近の調達に関する言及など、超標的型のおとりを作り出すことが予想されます。昨年、ある連邦政府の請負業者がディープフェイク詐欺で数百万ドルを失ったことを思い出します。
uTrust FIDO2 GOVキーとFIDO2カードは、FIPS 140-3で検証された暗号化でこれに対抗し、認証情報が露出することがないようにします。当社が支援したある機関では、これらのキーを導入した後、フィッシングインシデントが60%削減され、単に準拠しているだけでなく、効果的であることを証明しました。
スケーラビリティは、ワシントンD.C.の本部から遠隔の現場事務所まで、連邦政府のネットワークにとって重要です。当社のキーとカードは、アクセス制御、ビデオ、および侵入検知のためのHirschの統合ハブであるVelocity Centralと統合されます。この「意図を持ってスケーリングする」アプローチにより、各機関はNIST準拠を維持しつつ、問題なく全拠点に展開できます。私が訪問した国防総省のサイトでは、uTrust FIDO2とVelocityを使用することで、1,000ユーザーのオンボーディングが合理化され、管理時間が25%削減されました。このキーのオープンアーキテクチャはサードパーティシステムをサポートしており、広範囲にわたるインフラストラクチャでのアップグレードをシームレスにします。
デザインによる洗練と、見事にシンプルであること
洗練は、複雑さを意味する必要はありません。当社のキーは、直感的に感じられるように設計されています—差し込み、タップ、完了です。連邦政府の職員は、技術的な専門知識を必要とせず、数秒で認証を完了できます。Identiverse 2025で、私がこれらのキーをセキュリティリーダーたちにデモしたとき、彼らの反応は一致していました。シンプルさが導入を促進するのです。当社の「デザインによる洗練」の原則は、ITチームに負担をかけることなくFIPS 140-3への準拠を保証し、各機関がログイン画面ではなく、ミッションに集中できるようにします。
FIPS 140-2の失効に伴い、2025年は転換点となります。AIフィッシングは進化しています—政府機関のトップを装う声のクローンや、マルウェアを隠すQRコードを考えてみてください。HirschのuTrust FIDO2は、当社の連邦政府グレードのレガシーに基づいて構築されたあなたの防御策です。これらは単に基準を満たすだけでなく、政府機関が自信を持って脅威の一歩先を行くことを可能にします。
認証を見事にシンプルで破壊不可能なほど安全にしましょう。
詳細について
uTrust FIDO2 セキュリティキーの詳細、および対応アプリケーションについては、こちらをご覧ください。