ESET/マルウェア情報局
二段階認証のしくみを理解し、使ってみよう
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「どのように設定する?二段階認証の設定の仕方を理解しよう」を再編集したものです。
インターネットにおける「認証」とは
インターネットの世界では、誰でもアクセスできるウェブサイトやサービスがある一方、会員登録したユーザーに限定してサービスを提供するものもある。相手と直接対面できる現実世界では、個人を特定するために顔写真付きのIDカードを提示して識別することもあるだろう。しかし、相手の顔を見ることもできなければ、どこにいるかもわからないインターネットの世界では、物理的なものを直接提示してもらうことはできない。このようなサイバー空間において、個人を識別するための仕組みがインターネットにおける「認証」だ。
従来から広く、普及している認証方法がユーザーIDとパスワードを用いる方法だ。任意の組み合わせによるユーザーIDとパスワードをあらかじめ設定し、システムにログインするときにこのIDとパスワードのセットを正しく入力できたことでユーザーを識別する。ユーザーの頭の中にしかない情報により個人を識別する仕組みのため、正しく運用されれば個人を正確に識別できるうえに、システム構築も複雑にならない。
しかし、以前から指摘されているように、ユーザーIDとパスワードを使った認証方法には問題点も多い。例えば、簡単なパスワードは攻撃者に類推される恐れがあるため、複雑なパスワードを設定しなければならない。そうなると、ユーザーがそのパスワードを頭の中に記憶するのが困難となり、パスワードを記載したメモなどから漏えいする可能性もあり得るのだ。
スマホの普及もあり、SNSやオンラインバンキング、モバイル決済など便利なサービスを気軽に利用できる環境が整備されてきた。そのような背景もあり、認証の重要性はますます高まっている。パスワードが抱える問題を踏まえ、認証レベルを強化し安全性を高めるために導入が進んでいるのが二段階認証だ。
セキュリティ対策のひとつとして進む二段階認証の導入
二段階認証とは一般的なIDとパスワードによる認証を通過した後に、もう一段階の認証を行なうことでセキュリティ強度を高める仕組みのことだ。二段階で認証を行なうことで、その認証を行なったのがユーザー本人であることを立証するという考え方に基づく。
ブルートフォース攻撃(総当たり攻撃)や辞書攻撃などの攻撃レベルがより高度化したこともあり、認証をパスワードのみで済ますようなシステムは、不正ログインのリスクが高いと言わざるを得ない。システムを利用するユーザーは、認証をめぐる状況の変化を理解し、二段階での認証を単に煩わしいものと捉えるべきではないだろう。このようなユーザーの心理を理解してか、認証強化と使いやすさを両立させるような設定も提供されている。ひとたび二段階認証を通過した後は、そのデバイスでは次回からは2回目の認証を要求しないようにすることを可能にしているサービスも存在する。
Googleアカウントで二段階認証を設定する方法
著名なサービスの中でも早くから二段階認証の導入に取り組んできたのがGoogleだ。Googleアカウントに不正ログインされてしまうことで、ユーザーのプライバシーが大きく侵害されてしまうことを危惧し、Googleでは二段階認証を提供し、積極的な利用を呼び掛けている。それでは、Googleが提供する二段階認証を例に、どのような手順で設定するのかをみていこう。
1.Googleアカウントの設定で表示されるメニューの中からセキュリティをクリック。図1のように表示される「Googleへのログイン」の画面の中で、赤枠内の「2段階認証プロセス」をクリックする。
図1:Googleアカウントのセキュリティ設定画面
2.図2のように二段階認証についての説明が表示されるので、「使ってみる」のボタンをクリック。続けて図3の画面が表示されるので、普段利用しているデバイスが正しく表示されているかを確認しておこう。なお、「他のオプションを表示」をクリックすると、「セキュリティ キー」あるいは「テキストメッセージまたは音声通話」を用いたログイン方法の概要が表示される。また、連携するデバイスが対応している場合は「認証システムアプリ」を用いる方法も案内される。
図2:ニ段階認証プロセスの案内画面
図3:認証に利用するデバイスが表示される
3. 図3の画面で「続行」をクリックすると、図4の画面が表示され設定は完了する。今後はログイン時に図3で表示されていたデバイスにワンタイムのコードが送信されるようになる。
図4:2段階認証の設定完了の画面
二段階認証で用いることができる他のオプションは以下のとおり。
・セキュリティキー
Googleが販売する「Titan セキュリティキー」を購入するか、FIDO対応のセキュリティキーを用いて認証を行なう。パソコンの場合はUSB接続、スマホの場合はNFCあるいはBluetoothでデバイスに接続する。
・テキストメッセージまたは音声通話
電話番号を登録し、SMS経由でコードを受け取る。音声通話で受け取ることもできる。
・Google認証システムアプリ
認証用のアプリをダウンロードし、そのアプリ上で一定時間だけ有効なパスコードを生成する。
これらに加え、「高度な保護機能プログラム」を選択することもできる。この場合、認証強度は向上する一方で、ユーザーの負担も増大する。安全性と利便性、可用性のバランスをとることが継続的に利用していくためには重要だ。一般的にセキュリティ強度の向上とユーザーの負担はトレードオフの関係にあるため、守るべき情報資産の価値を考慮に入れながら、適切な方法を選定する必要があるだろう。
この記事ではGoogleを例に挙げて二段階認証の設定方法を紹介した。Google以外では、FacebookやAmazonなどの著名なサービスに限らず、プライバシーを重視する必要があるサービスなどでは二段階認証を設定できるものが増えている。ユーザー側もサービスに登録する際などは、二段階認証の有無も判断材料に加えるのも一考だろう。
もはや一段階のパスワードによる認証は安全ではないという認識を
サイバー空間の認証手段において、パスワードは長きにわたり主役を担ってきた。パスワードを使った認証手段の存在が、インターネット上のさまざまなサービスの登場を影ながら支えてきたというのも一つの側面である。しかし、デジタル技術の進化により、攻撃者の手口が高度化・巧妙化している現状においてパスワードだけの認証手段で運用するのは、限界に近づいている。もはや、パスワードのみの認証だけでは不正ログインされる可能性は限りなく高まっているのだ。
そこで広がってきたのが今回紹介した二段階認証だ。スマホやパソコンに最近搭載されている顔認証や指紋認証を実現する機能が、今後もこうした流れをより加速していくはずだ。認証の世界では、その強度を高めるために、今なおさまざまな改善が進められている。サービスを利用するユーザーとしても、正しく知識を身につけて適切に認証を設定することが求められている。まずは、Googleの二段階認証から対応してみてはいかがだろうか。