※メールマガジン「小寺・西田の金曜ランチビュッフェ」2016年5月6日 Vol.080 <大人の対応号>より
みなさんは「二段階認証」、どのくらい使っているだろうか? よほどITに詳しい人でないとやっていないのではないか、と思う。2014年3月にインターネットコムとNTTリサーチコムが共同で行った調査では、二段階認証の認知度は3割しかなかった。しかも、実施している人は13%強にとどまる。古い調査だが、2年でこの比率が劇的に変わっている様子もない。
だが、二段階認証を使うのと使わないのとでは、利便性も安全性も異なってくる。今回は改めて、「二段階認証」の価値と使い方について語ってみたい。本メルマガの読者の方だと「百も承知」という人もいるだろうが、家族などの他人に教えるための知識として、復習のつもりでお読みいただければ、と思う。
スマホを使って「機器やアプリを認証」
そもそも二段階認証とはなんだろう? 今の主流である「IDとパスワード」を一段階目の認証とし、次にもうひとつ付け加えるのが「二段階」、ということだ。二段階目に使うのは、特定のパスワードやパスコードではない。機械的に生成され、その時しか使えない「ワンタイムパスワード」を使う。ワンタイムパスワードは、その人が常に持ち歩いているスマートフォンなどで見るのが基本である。
こうした方法を採る理由は、そもそも一段階目のパスワードが信頼できないからだ。一応「誰にも知られない」ということになっているが、巧みなソーシャルハッキングや辞書攻撃の前には、「絶対安全なパスワード」を維持するのはかなり困難だ。今回のニュースクリップでも話題に上っているが、「定期的にパスワードを変更する」のも意味がない。
自分の持つ機器でだけ見れるワンタイムパスワードを併用することで、仮に一段階目を抜けられたとしても大丈夫だろう……というのが、二段階認証の考え方だ。自分のスマートフォンを盗まれない限り、一段階目と二段階目を突破するのは困難である。
というと、「毎回2回パスワードを入れるのか」と思われるだろうが、そうではない、ほとんどの場合、一度二段階目の認証を行えば、その機器やアプリを「信頼できるもの」とし、パスワードの入力は求めない。そういう意味でも、機器を盗まれたり他人に使われたりすることに対する対策とはならない。だから、機器パスワードや指紋・顔認証などの「機器を他人に使わせない仕組み」とセットで利用するのが基本となる。要は、「知らない人が知らない場所から自分のアカウントを盗んで使う」ことを防止するために、自分の持っている機器を認証するのが二段階認証、と考えてもらえばいい。
欠点は、すでに述べた通り、スマートフォンを盗まれたりなくしたりすると面倒なことになること、そして、機種交換の時には登録情報の変更が必要になることである。スマートフォンの盗難・紛失時の対策のため、別途解除キーが設けられているのが一般的だし、機種交換の手間は軽減する方法もある。どちらにしろ、本文末で紹介する、各社の設定方法ページをご参照いただきたい。
トークンアプリを使うと簡単
二段階目のワンタイムパスワード(数字であることが多いのでパスコード、というのが正しいだろう)の取得には、いわゆるSMSやメールを使う場合もあるが、もっとも簡単で確実なのは、「認証アプリ」を使う方法である。このようなワンタイムパスワードのことを「トークン」というが、このトークンの生成方法には、多くの企業が「Time-based One-Time Password (TOTP)」という同じプロトコルを採用している。大手の中でTOTPでないのはアップルくらいのものだろうか。だから、TOTP対応のアプリであれば、ひとつのトークンアプリで複数のサービスに対応できる。
一番有名なのはGoogleが提供している「Google Authenticator」だろうが、筆者はIIJが提供している「IIJ SmartKey」をお勧めする。もちろん、ダウンロードは無料だ。アプリの起動自身をパスコードや指紋認証で守れるようになっているし、機種交換などの際、新しい機種へ認証情報を移行するのも簡単だ。なお、移行すると2台のスマホで認証できることになるため、一時的にセキュリティは落ちる。旧機種からはアプリの削除をお忘れなく。
登録方法は、詳しくは文末で紹介する各社の設定ページをご参照いただきたいが、ここで簡単に流れを説明しておこう。
トークン(認証)アプリを使う二段階認証を有効にすると、たいていは次のような表示が現れる。TOTPでは、アプリとサービスに固有のID(表からは見えない)を割り当て、時間をひとつの鍵としてトークンを生成する。このQRコードをアプリで読み込むと、サービス名称とトークン生成用の情報がアプリに読み込まれ、記録される。
・マイクロソフトの二段階認証設定での画面。画面内のQRコードを、トークンアプリで読み込んで設定する。(セキュリティのため、QRコードの中身はモザイク処理しています)
設定が終わったら、各種アプリやWebサイトでログインする際、IDとパスワードを入力後、画像のように6桁の数字(トークン)の入力が求められる。ここで、アプリが生成したトークンを入力すればいいのだ。トークンの寿命は60秒で、アプリ内に残り寿命が表示されているので、その範囲内で入力・認証を行なう。
・Dropboxアプリでの二段階認証例。ここでトークンを入力する
なお、TOTP対応サービスは、ひとつのTOTP対応アプリに複数登録できる。これがアプリの利用を進める理由でもある。
・IIJ SmartKeyでのトークン表示例。画面下にあるよう、複数のサービスを同時に登録し、切り替えながら使える。
以下に、メジャーなサービスの二段階認証設定方法を記したサイトのURLを提示しておく。少なくとも、自分のスマートフォンやデータを預かる重要なサービスについては、二段階認証の設定をしておくことをお勧めする。
ここで紹介するサービスは、アップル・Twitter・FacebookをのぞきTOTPに対応している。TOTPに対応していない3社については、登録済みの端末へコードを送ったり、SMSを併用したりする形になっている。これに限らず、SMSを認証に利用する例が多い点には注意が必要だ。SMSの使える端末が手元にない時に設定するのは要注意である。
ちょっと面倒だが、一度やってしまえば特に難しいものではない。セキュリティが劇的に向上するので、ぜひみなさんも活用していただきたい。
小寺・西田の「金曜ランチビュッフェ」
2016年5月6日 Vol.080 <大人の対応号> 目次
01 論壇【小寺】
災害非難の「リアル」
02 余談【西田】
意外とまだマイナー!?「二段階認証」をおさらいする
03 対談【西田】
石野純也さんに聞く「変わり続ける日本のモバイルとMVNO」(4)
04 過去記事【小寺】
ビジネスモデルとタブレットの関係
05 ニュースクリップ
06 今週のおたより
07 今週のおしごと
コラムニスト小寺信良と、ジャーナリスト西田宗千佳がお送りする、業界俯瞰型メールマガジン。 家電、ガジェット、通信、放送、映像、オーディオ、IT教育など、2人が興味関心のおもむくまま縦横無尽に駆け巡り、「普通そんなこと知らないよね」という情報をお届けします。毎週金曜日12時丁度にお届け。1週ごとにメインパーソナリティを交代。
ご購読・詳細はこちらから!
筆者:西田宗千佳
フリージャーナリスト。1971年福井県出身。得意ジャンルは、パソコン・デジタルAV・家電、そしてネットワーク関連など「電気かデータが流れるもの全般」。取材・解説記事を中心に、主要新聞・ウェブ媒体などに寄稿する他、年数冊のペースで書籍も執筆。テレビ番組の監修なども手がける。
その他の記事
|
古い日本を感じる夏のホーリーウィークを満喫する(高城剛) |
|
コデラ的出国前の儀式(小寺信良) |
|
|
台湾から感じるグローバルな時代の小国の力(高城剛) |
|
|
バルセロナが目指す市民中心のスマートシティ(高城剛) |
|
なぜいま、世界史なのか? なぜ『最後の作品』が世界史なのか?(長沼敬憲) |
|
仮想通貨(暗号資産)相場は何度でもバブり、何度でも弾ける(やまもといちろう) |
|
|
ブラック企業に欠けているのは「倫理」ではなく「合理性」!? ーーホットヨガスタジオ「LAVA」急成長を支えた人材育成戦略(鷲見貴彦) |
|
|
アジアではじまっているメガハブ空港の王座争い(高城剛) |
|
個人情報保護法と越境データ問題 ―鈴木正朝先生に聞く(津田大介) |
|
|
日本でも「ダウンロード越え」が見えたストリーミング・ミュージックだが……?(西田宗千佳) |
|
|
公共放送ワーキンググループがNHKの在り方を巡りしょうもない議論をしている件(やまもといちろう) |
|
|
21世紀に繁栄するのは「空港運営」が上手な国(高城剛) |
|
時の流れを泳ぐために、私たちは意識を手に入れた(名越康文) |
|
貧富の差がなくなっても人は幸せにはなれない(家入一真) |
|
|
長寿県から転落した沖縄の光と影(高城剛) |
