小寺・西田の「金曜ランチビュッフェ」より

意外とまだマイナー!?「二段階認証」をおさらいする

※メールマガジン「小寺・西田の金曜ランチビュッフェ」2016年5月6日 Vol.080 <大人の対応号>より



みなさんは「二段階認証」、どのくらい使っているだろうか? よほどITに詳しい人でないとやっていないのではないか、と思う。2014年3月にインターネットコムとNTTリサーチコムが共同で行った調査では、二段階認証の認知度は3割しかなかった。しかも、実施している人は13%強にとどまる。古い調査だが、2年でこの比率が劇的に変わっている様子もない。

だが、二段階認証を使うのと使わないのとでは、利便性も安全性も異なってくる。今回は改めて、「二段階認証」の価値と使い方について語ってみたい。本メルマガの読者の方だと「百も承知」という人もいるだろうが、家族などの他人に教えるための知識として、復習のつもりでお読みいただければ、と思う。

 

スマホを使って「機器やアプリを認証」

そもそも二段階認証とはなんだろう? 今の主流である「IDとパスワード」を一段階目の認証とし、次にもうひとつ付け加えるのが「二段階」、ということだ。二段階目に使うのは、特定のパスワードやパスコードではない。機械的に生成され、その時しか使えない「ワンタイムパスワード」を使う。ワンタイムパスワードは、その人が常に持ち歩いているスマートフォンなどで見るのが基本である。

こうした方法を採る理由は、そもそも一段階目のパスワードが信頼できないからだ。一応「誰にも知られない」ということになっているが、巧みなソーシャルハッキングや辞書攻撃の前には、「絶対安全なパスワード」を維持するのはかなり困難だ。今回のニュースクリップでも話題に上っているが、「定期的にパスワードを変更する」のも意味がない。

自分の持つ機器でだけ見れるワンタイムパスワードを併用することで、仮に一段階目を抜けられたとしても大丈夫だろう……というのが、二段階認証の考え方だ。自分のスマートフォンを盗まれない限り、一段階目と二段階目を突破するのは困難である。

というと、「毎回2回パスワードを入れるのか」と思われるだろうが、そうではない、ほとんどの場合、一度二段階目の認証を行えば、その機器やアプリを「信頼できるもの」とし、パスワードの入力は求めない。そういう意味でも、機器を盗まれたり他人に使われたりすることに対する対策とはならない。だから、機器パスワードや指紋・顔認証などの「機器を他人に使わせない仕組み」とセットで利用するのが基本となる。要は、「知らない人が知らない場所から自分のアカウントを盗んで使う」ことを防止するために、自分の持っている機器を認証するのが二段階認証、と考えてもらえばいい。

欠点は、すでに述べた通り、スマートフォンを盗まれたりなくしたりすると面倒なことになること、そして、機種交換の時には登録情報の変更が必要になることである。スマートフォンの盗難・紛失時の対策のため、別途解除キーが設けられているのが一般的だし、機種交換の手間は軽減する方法もある。どちらにしろ、本文末で紹介する、各社の設定方法ページをご参照いただきたい。

 

トークンアプリを使うと簡単

二段階目のワンタイムパスワード(数字であることが多いのでパスコード、というのが正しいだろう)の取得には、いわゆるSMSやメールを使う場合もあるが、もっとも簡単で確実なのは、「認証アプリ」を使う方法である。このようなワンタイムパスワードのことを「トークン」というが、このトークンの生成方法には、多くの企業が「Time-based One-Time Password (TOTP)」という同じプロトコルを採用している。大手の中でTOTPでないのはアップルくらいのものだろうか。だから、TOTP対応のアプリであれば、ひとつのトークンアプリで複数のサービスに対応できる。

一番有名なのはGoogleが提供している「Google Authenticator」だろうが、筆者はIIJが提供している「IIJ SmartKey」をお勧めする。もちろん、ダウンロードは無料だ。アプリの起動自身をパスコードや指紋認証で守れるようになっているし、機種交換などの際、新しい機種へ認証情報を移行するのも簡単だ。なお、移行すると2台のスマホで認証できることになるため、一時的にセキュリティは落ちる。旧機種からはアプリの削除をお忘れなく。

IIJ SmartKey。iOSとAndroidに対応。

登録方法は、詳しくは文末で紹介する各社の設定ページをご参照いただきたいが、ここで簡単に流れを説明しておこう。

トークン(認証)アプリを使う二段階認証を有効にすると、たいていは次のような表示が現れる。TOTPでは、アプリとサービスに固有のID(表からは見えない)を割り当て、時間をひとつの鍵としてトークンを生成する。このQRコードをアプリで読み込むと、サービス名称とトークン生成用の情報がアプリに読み込まれ、記録される。

・マイクロソフトの二段階認証設定での画面。画面内のQRコードを、トークンアプリで読み込んで設定する。(セキュリティのため、QRコードの中身はモザイク処理しています)

設定が終わったら、各種アプリやWebサイトでログインする際、IDとパスワードを入力後、画像のように6桁の数字(トークン)の入力が求められる。ここで、アプリが生成したトークンを入力すればいいのだ。トークンの寿命は60秒で、アプリ内に残り寿命が表示されているので、その範囲内で入力・認証を行なう。

・Dropboxアプリでの二段階認証例。ここでトークンを入力する

なお、TOTP対応サービスは、ひとつのTOTP対応アプリに複数登録できる。これがアプリの利用を進める理由でもある。

・IIJ SmartKeyでのトークン表示例。画面下にあるよう、複数のサービスを同時に登録し、切り替えながら使える。

以下に、メジャーなサービスの二段階認証設定方法を記したサイトのURLを提示しておく。少なくとも、自分のスマートフォンやデータを預かる重要なサービスについては、二段階認証の設定をしておくことをお勧めする。

ここで紹介するサービスは、アップル・Twitter・FacebookをのぞきTOTPに対応している。TOTPに対応していない3社については、登録済みの端末へコードを送ったり、SMSを併用したりする形になっている。これに限らず、SMSを認証に利用する例が多い点には注意が必要だ。SMSの使える端末が手元にない時に設定するのは要注意である。

ちょっと面倒だが、一度やってしまえば特に難しいものではない。セキュリティが劇的に向上するので、ぜひみなさんも活用していただきたい。

Google 二段階認証設定方法

アップル 2ステップ確認(二段階認証)設定方法

マイクロソフト 二段階認証設定方法

Facebook ログイン認証設定方法

Twitter ログイン認証設定方法

Dropbox 二段階認証設定方法

Evernote 二段階認証設定方法

 

小寺・西田の「金曜ランチビュッフェ

2016年5月6日 Vol.080 <大人の対応号> 目次

01 論壇【小寺】
 災害非難の「リアル」
02 余談【西田】
 意外とまだマイナー!?「二段階認証」をおさらいする
03 対談【西田】
 石野純也さんに聞く「変わり続ける日本のモバイルとMVNO」(4)
04 過去記事【小寺】
 ビジネスモデルとタブレットの関係
05 ニュースクリップ
06 今週のおたより
07 今週のおしごと

 
12コラムニスト小寺信良と、ジャーナリスト西田宗千佳がお送りする、業界俯瞰型メールマガジン。 家電、ガジェット、通信、放送、映像、オーディオ、IT教育など、2人が興味関心のおもむくまま縦横無尽に駆け巡り、「普通そんなこと知らないよね」という情報をお届けします。毎週金曜日12時丁度にお届け。1週ごとにメインパーソナリティを交代。
ご購読・詳細はこちらから!

 
筆者:西田宗千佳
フリージャーナリスト。1971年福井県出身。得意ジャンルは、パソコン・デジタルAV・家電、そしてネットワーク関連など「電気かデータが流れるもの全般」。取材・解説記事を中心に、主要新聞・ウェブ媒体などに寄稿する他、年数冊のペースで書籍も執筆。テレビ番組の監修なども手がける。

その他の記事

寂しい気持ちとの付き合い方(家入一真)
岐路に立つデジカメ、勝ち組キヤノンの戦略(小寺信良)
格安スマホは叩かれるべきか? サービス内容と適正価格を巡る攻防(やまもといちろう)
被差別属性としての「キモくて金のないおっさん」とは何か(やまもといちろう)
週刊金融日記 第271号 <美術館での素敵な出会い 傾向と対策 他>(藤沢数希)
『我が逃走』は日本版ハードシングス?(家入一真)
ようやく到着 ポータブル原稿書きマシン「Gemini」(小寺信良)
なぜ人を殺してはいけないのか(夜間飛行編集部)
「お前の履歴は誰のものか」問題と越境データ(やまもといちろう)
努力することの本当の意味(岩崎夏海)
廃墟を活かしたベツレヘムが教えてくれる地方創生のセンス(高城剛)
フリーランスで働くということ(本田雅一)
チェルノブイリからフクシマへ――東浩紀が語る「福島第一原発観光地化計画」の意義(津田大介)
街にも国家にも栄枯盛衰があると実感する季節(高城剛)
在韓米軍撤退の見込みで揺れまくる東アジア安全保障と米韓同盟の漂流(やまもといちろう)

ページのトップへ