検索

プロのように2要素認証を行う方法 プロのように2要素認証を行う方法
By 記事
2026-01-04

プロのように2要素認証を行う方法

プロのように2要素認証を行う方法
ノートパソコンのUSBセキュリティキー
「メールアカウントのスペアキーをどこに置いたっけ?」なんて、実際に言えるフレーズです。Brina Blum via Unsplash

オンラインセキュリティとプライバシーに対する不安が健全なレベルであれば、おそらく既にメインアカウントに2要素認証(2FA)を設定しているでしょう。もし設定していない場合は、フィッシング、ハッキング、そしてデータを盗もうとするあらゆる者から身を守るために、2FAの有効化を真剣に検討すべきです。

何を言っているのか分からないですか?基本をお教えします。2FAはオンラインアカウントのセキュリティをさらに強化するものです。2FAを有効にすると、新しいデバイスからログインするたびに、ユーザー名とパスワード以外の入力を求められます。入力する内容は、コード、キー、あるいはスマートフォンに表示されるプロンプトへの同意などです。こうすることで、たとえ誰かがあなたのパスワードを入手したとしても、2FAによってアカウントへの不正アクセスを阻止できます。

「二要素認証がないよりは間違いなくずっと良いです。攻撃者に、やるべきことをさらに多く与えてしまうことになります」と、Shape Securityの最高技術責任者、シュマン・ゴセマジュンダー氏は語る。

しかし、2FAを有効にするかどうかの判断は、ランニングを始めるかどうかの判断に似ています。少しジョギングするのか、5キロのトレーニングをするのか、それともフルマラソン完走に向けて体調を整えるのか?アプリやセキュリティキーなど、セキュリティとプライバシーに関するあらゆるニーズに合わせて、様々なレベルの保護を提供するオプションが数多くあります。自分に最適な方法を1つだけ使うことも、プラットフォームに応じて1つのアカウントに複数の方法を組み合わせることもできます。選択はあなた次第です。

レベル1: SMS

GoogleからのセキュリティSMSテキスト
興奮しすぎないでください。週末に登場したあのかわいい人じゃないんです。ただのGoogleです。サンドラ・グティエレス G.

多くの人が、非常に実用的であるため、テキストメッセージ(具体的にはショートメッセージサービス、SMS)による2FAを採用しています。手順は簡単です。ユーザー名とパスワードでアカウントにログインし、コードが記載されたテキストメッセージを受信し、そのコードをログイン画面に入力してアカウントにアクセスします。

テキストメッセージの問題は、電話回線を介して送信されるデータであるため、データが盗聴され、6桁のコードが傍受される可能性があることです。携帯電話会社を変更しても電話番号をそのまま使える方法をご存知ですか?これはSIMスワップと呼ばれ、電話番号と社会保障番号の下4桁を入力するだけで申請できます。しかし、大規模なハッキングの影響もあり、現在インターネット上には社会保障番号のデータベースが巧妙に構築されており、アカウント窃盗犯があなたの携帯電話番号を盗み、認証メッセージを別のデバイスにリダイレクトすることが非常に容易になっています。

2018年にまさにそれが起こりました。ハッカーがテキストメッセージベースの2FAを介してReddit従業員のアカウントにアクセスし、プラットフォームの何千人ものユーザーのデータを侵害したのです。

あなたのデータを盗むために、これほどの苦労をする人はいないと思うなら、もう一度考え直してください。

「確かにそういうことは起きますが、それよりももっと簡単なのは、その電話番号を使ってフィッシングメッセージを送信することです」とゴセマジュムダー氏は言う。

これは「スミッシング」(「SMS」と「フィッシング」を組み合わせた造語)と呼ばれ、銀行から送信されたと偽り、リンクをクリックするように促す怪しい電子メールのテキスト メッセージ バージョンです。

それでも、テキストメッセージベースの2FAは実用的であり、脆弱性はあるものの、何もしないよりはましです。ただし、アカウントに機密データを保存している場合や、テキストメッセージの使用をためらっている場合は、より安全な他の方法を試すことができます。

レベル 2: アプリとプロンプトとコード、おやまあ!

Authyのスクリーンショット
誰かがあなたのSnapchatから、ごく基本的なフィルターを使って写真を撮っているところを想像できますか?そんなアカウントはしっかり保護しましょう。Google Playストア

Googleユーザーは、新しいデバイスからアカウントにログインする際に確認メッセージを受け取るよう設定できます。ユーザー名とパスワードでログインすると、スマートフォンにポップアップウィンドウが表示され、ログインしようとしたのが本当にあなたなのか、そして承認するかどうかを尋ねられます。これらの確認メッセージは暗号化され、Googleのネットワークを経由して送信されるため、テキストメッセージよりも盗聴される可能性が低く、より安全です。

しかし、すべてのプラットフォームがプロンプトを提供しているわけではありません。そのため、2FAのもう一つの人気の戦略は、コード生成アプリを使うことです。その名の通り、アプリはアカウントにログインするための6桁のコードを生成します。これらのコードは、時間ベースのワンタイムパスワード(TOTP)プロトコルを使用してランダムに生成されます。つまり、一度しか使用できず、限られた時間(通常は30秒)で自動的に別のコードに置き換えられます。コード生成アプリは、好きなだけアカウントをリンクできる一方で、すべてのコードを1か所で管理できるため、実用的です。

最もシンプルなコード生成アプリの一つは、Google Authenticator(AndroidとiOSで利用可能)です。Googleアカウントだけでなく、コード生成ベースの2FAをサポートする他のプラットフォームでも動作します。

よりカスタマイズ可能なエクスペリエンスをお求めの場合は、AndOTP(Android のみ)や Authy(iOS でも利用可能)などのアプリをご利用いただけます。これらのアプリでは、複数のプラットフォームのロゴが入ったラベルやアイコンを追加できるため、一目でコードを識別できます。

さらなる安全性を確保するために、これらのアプリをPIN番号、またはAuthyの場合は指紋で保護することができます。そのため、たとえ誰かがあなたのスマートフォンを盗んでアクセスしたとしても、コード生成アプリを使用することはできません。AndOTPとAuthyの両方に共通するもう一つの便利な機能は「タップして表示」です。この機能を使うと、すべてのコードを非表示にし、必要なコードをタップすると一度に1つだけ表示されます。これは、誰かにスマートフォンを見られてしまうような公共の場所でアカウントにアクセスする場合に役立ちます。

例えば、Facebookでコード生成アプリを使用するには、 「設定」 > 「セキュリティとログイン」 > 「2段階認証を使用する」 > 「認証アプリ」に進みます。Facebookアカウントを追加すると、コード生成アプリを介してスマートフォンのカメラでスキャンするQRコードが表示されます。最後に、アプリから提供されたコードを入力します。これにより、アプリがFacebookと同期されます。

レベル3: デジタルが信用できないならアナログにしよう

USB Cセキュリティキー
充電するか、セキュリティキーを使うか?ああ、そこが問題だ。Yubico

スマートフォンに保存するものが安全だとは到底思えない時代だからこそ、基本に立ち返ってみるのも良いかもしれません。セキュリティへの不安がここまで強いなら、2FAと併用できる、よりアナログな方法がいくつかあります。そうすれば、安心して眠れるでしょう。

最も簡単な方法は、セキュリティキーを入手することです。これは、アパートの鍵と同じように使用する小さなUSBデバイスです。新しいデバイスでユーザー名とパスワードを入力すると、2FAプロトコルによって、セキュリティキーをデバイスのUSBポートに挿入し、一度タップするだけでログインが完了します。この小さなガジェットは非常に便利で、持ち運びも非常に簡単です。キーホルダーに取り付けるだけで、いつでも持ち歩くことができます。

市場で最も従来型のセキュリティキーはUSB-Aポート、あるいはご存知の通り、普通のアヒル口のようなUSBポートに対応しています。そのため、スマートフォンやタブレットなどのモバイルデバイス、そしてMacBook AirのようなUSB-Aポートを持たない小型ノートパソコンは対象外となります。USB-C対応のセキュリティキーも市場に出回っており、ほとんどの新しいモバイルデバイスに対応していますが、Amazonでは40ドルから60ドルとやや高価です。

ゴスマジュンダー氏によると、1つのアカウントに複数のセキュリティキーを登録するのはよくあることだ。そうすれば、普段使っているキーを紛失した場合に備えて、予備のキーを安全な場所に保管できる。

セキュリティキーを紛失しがちな方や、セキュリティキーを購入するのが面倒な方は、AndroidスマートフォンをGoogleアカウントのセキュリティキーとして利用できます。Googleは4月にこの新機能を発表しており、スマートフォンを使ってBluetooth経由でログイン認証できるようになります。この機能を使うと、スマートフォンとログイン先のデバイスが接続され、安全なウェブサイトにアクセスしていることを確認できます。

それでもアナログな方法に物足りないという場合は、バックアップコードまたはリカバリコードを使うこともできます。Google、Apple、Facebook、Instagram、Twitterなど、主要プラットフォームでサポートされているこの方法では、1つ以上のコードが必要になります。これらのコードは、ドキュメントに保存するか、紙にコピーして持ち歩くことができます。例えばGoogleアカウントの場合、 「アカウント」 > 「セキュリティ」 > 「2段階認証」 > 「バックアップコード」で確認できます。一般的に、ほとんどのアカウントの2FA設定のリカバリコードまたはバックアップコードのセクションにリストされています。

ポストイットと2本のシャーピーを持つ手
紙とペンほどアナログなものはありません。バックアップコードをどこかの洞窟に刻んでおくこともできます。それでうまくいくでしょう。Kelly Sikkema via Unsplash

これらはそれぞれ1回しか使用できません。使い切った場合は、再度ログインして再度取得する必要があります。バックアップコードは、プロンプトやセキュリティキーの代わりに使用することを目的として設計されているわけではありませんが、旅行中にスマートフォンやセキュリティキーを携帯していない場合など、極端な状況では非常に便利です。

ご覧のとおり、2FAには様々な方法があり、自分に最適な方法を選ぶことができます。プラットフォームによって対応している方法が異なるため、2要素認証のページをご覧になり、ご自身のアカウントで利用可能な方法をご確認ください。

2FAは複数有効にできる(そして有効にすべき)ことを覚えておいてください。携帯電話やセキュリティキーを紛失した場合、あるいは接続に問題が発生した場合に備えて、バックアップを用意しておくことをお勧めします。ただし、セキュリティ戦略は、選択した2FAの中で最も安全性の低い方法と同じくらい脆弱になることを忘れないでください。慎重に選択してください。

By 記事
Updated

次の記事

ワイコン(Waicong)は、海外ニュース、テクノロジー動向、インターネットトレンドを中心に、信頼性の高い最新情報を日本語で分かりやすく発信する情報メディアです。
©️ 2026 — ワイコン. All Rights Reserved.