最近、Twitterは内部の従業員アカウントを従来の2要素認証(2FA)から物理的なセキュリティキーに移行した。フィッシング攻撃の防止を目的としたセキュリティキーは、FIDOおよびWebAuthnセキュリティ標準を活用して悪意のあるサイトを識別できる。
TwitterのシニアセキュリティエンジニアのNupur Gholap氏とシニアITプロダクトマネージャーのNick Fohs氏が、3か月間で完了させたセキュリティキーの施行の概要を説明した。セキュリティキーは、ユーザのTwitterアカウントへのアクセスのロックを解除するために使用される。これには、さまざまなデバイス間でのセキュリティキーの互換性が必要となる。 Twitterは、ラップトップ向けにUSB、そして、AndroidやiOSモバイルデバイス向けにNFCをサポートするYubiKey 5 NFCと5C NFCキーを選択した。
上記のセキュリティキーモデルを決定した後、セキュリティキーを購入し、世界中の5,500人のTwitter従業員に届けた。Twitterは、YubicoのEnterprise Subscription and Deliveryサービスを選択した。このサービスは、米国、カナダ、ヨーロッパのほとんどの地域への直接配送を提供していた。他の国の従業員に対しては、Twitterは既存の地域の配送パートナーにキーを一括で出荷した。
COVID-19の状況によって、貨物の信頼性を保証するための課題が加わった。出荷が紛失あるいは遅延した場合、従業員は地域のベンダーからセキュリティキーを「自身で調達」するように求められた。それに伴い、Yubicoのオンライン検証ツールによって、キーの正当性が検証された。従業員は、Apple FaceID/TouchID、Windows Hello、Androidの組み込みセキュリティキーなどのプラットフォームオーセンティケーターを利用して、セキュリティキーを登録できる。
Twitterの内部システムは、シングルサインオン(SSO)プロバイダーをベースとしてる。WebAuthnによるSSOプロバイダーサポートにより、従業員はセキュリティキーとプラットフォームオーセンティケーターの両方を使用できるようになった。これにより、システムへのアクセスがカットオーバー日の前に確実に行われた。
セキュリティキーが配達された後、WebAuthnはセキュリティキーの自己登録を円滑に進めた。TwitterのITチームは、セキュリティチームが提供する登録ガイダンスの他にも、サポートを提供した。内部ダッシュボードでは、セキュリティキーの登録が可視化されていた。管理者と従業員は、このダッシュボードを使って、登録のステータスを確認できた。強力な追跡および通知メカニズムにより、セキュリティチームは、移行期限までに登録を保留している従業員に連絡することができた。
「カットオーバー日」は、事前に組織全体で共有されていた。その日までに約90%のセキュリティキーの登録が行われ、内部システムにアクセスするための従来の2FA方式が無効になった。セキュリティチームは、従業員が組織を離れた後でもキーを有効のままにした。
Twitterセキュリティチームは、WebAuthnの幅広いサポートなど、今後の作業を明確化している。セキュリティキーのローテーション/交換は未解決の課題である。現在、すべての従業員に2つのキーが提供されている。1つはプライマリ、もう1つはバックアップだ。
Twitterアカウントを安全に保つために、セキュリティキーの実装は、2020年7月の電話スピアフィッシング攻撃などのインシデントを防ぐことを目的としている。Twitterのセキュリティチームは、セキュリティキーが業界全体で採用されることを期待している。
余談だが、Jack DorseyがTwitterのCEOを辞任したため、Twitterも2021年の終わりに向けてニュースになった。TwitterのCTOであるParag Agarwal氏が後任となる。