これは90年代に発明され(広くAT&Tの功績とされています)、2000年代半ばになってようやく注目されるようになりました。二要素認証(より一般的には2FAとして知られています)は、驚くほどシンプルで美しい考え方です。つまり、あなたが知っているものと、あなたが持っているものを組み合わせるのです。
問題と解決策
問題点:
私たちのデータと不正アクセスの間にあったのは、ユーザー名とパスワードだけでした。私たちのアカウントは本質的に監視されていない扉のようなもので、24時間365日、知らないうちに破られる準備ができています。しかも、ユーザー名はほとんど常に規則的であり、パスワードも推測されやすいことがあります。なぜなら、私たちは皆、似たような発想に偏りがちだからです。
たとえば、1つの単語は他の人間には推測しにくいかもしれませんが、英語の単語数には限りがあるため、コンピューターにとっては驚くほど簡単です。だからこそ、多くのサイトでは文字や特殊文字を使ってパスワードを強化するよう求められます。しかし、ハッキングソフトウェアがますます高度化し、さらに今ではAIも登場しているため、それでも十分ではありません。覚えておいてください。あなたのアカウントへのその「扉」は、24時間365日、ネット上で見つけ出され得るのです。
解決策:
論理的にあなたが所持しているはずのものを使って、ログインしているのが本当にあなたであることを確認します。これはスマートフォン、メールアカウント、キー、あるいは生体情報である場合もあります。どの方法が使われるにせよ、2FAは不正なログイン試行をブロックできるようにし、さらなる侵害を防ぐための対策を取れるようにします。
確かに、これは大げさに言えば本人確認です。玄関のラッチを外す前にのぞき穴から確認するのと同じようなものです。しかし、よく考えるとその実装はかなり巧妙です。2FAがアカウントにもたらすセキュリティと気付きの量は、その要素の総和を超える価値を与えます。
では、なぜ普及するまでに এত इतना समय लगाのでしょうか。おそらく、長年にわたるサイバー犯罪の増加、二次デバイスを持つ人の増加、そしてサイバー犯罪者が利用できる計算能力の向上が重なり、ようやく脚光を浴びる時が来たのです。また、二次デバイスを紛失することへの懸念もあったのかもしれません。
2FAが長年にわたり優れた効果を発揮してきた分野
銀行や金融系のアプリでは、すでに何年も前からこれが活用されています。しかし、より「日常的な」アカウントにまで広がっていることにまだ気づいていないとしても、おそらくすぐに気づくでしょう。ハッキング技術がより高度になるにつれ、そしてデータを扱う企業が私たちのデータを保護する責任をますます負うようになる中で、その導入は進んでいます。
たとえば、メールアカウントという文脈で2FAを見てみましょう。これまで、メールアカウントに2FAを有効にするのは少し面倒だったり、慎重すぎると感じていたかもしれません。しかし、なぜそれだけの価値があるのかをこれからご説明します。特にビジネスをしているならなおさらです。
メールアカウントを保護するために2FAを追加する理由
まず第一に、パスワードに加えて第2の保護層があることは、決して悪いことではありません。では少し立ち止まって、あなたのメールアカウントにどのような機密データが含まれているか考えてみてください。
銀行情報 — 長年にわたり、他の場所では2FAで保護してきた種類の情報です。
個人的な添付ファイル — 写真、文書、あるいは知的財産として守りたい制作物などです。
購入履歴 — そして広告主にとって価値があるかもしれないその他のデータです。
医療データ — 予約、薬、あるいは病状の記録などです。
不動産データ — 住宅購入やそれに類する重要な手続きは、紙を使わずに行われることがよくあります。
そして、先ほど触れたように、ビジネスをしているなら、このデータにはほぼ確実に顧客のデータも含まれます。GDPRのような規則がある国では、このデータを安全に保つことは法的義務です。つまり、メールの保護が当然のことのように思えてきますが、まだ話は終わりではありません。
メールを安全に保つべき最も重要な理由は、おそらくそれが他の多くのアカウントへの入口になっていることです。長年にわたり、メールはパスワードをリセットする一般的な手段でした。あなたのメールにアクセスできる人は、メッセージを読んでどのサイトにアカウントを持っているかを把握し、それらのサイトで「パスワードを忘れた場合」の手続きを進めるだけでよいのです。
ほとんどすべての小規模サイトでは、登録済みのメールアカウントだけが、誰かがあなたのアカウントにアクセスするのを阻む唯一のものです。つまり、アカウントがハッキングされたことに気づく前に、多くのアカウントが侵害されてしまう可能性があります。
アカウントに2FAを簡単に追加
良い知らせは、ほとんどのメールアカウントで2FAをとても簡単に追加できることです。特にビジネス向けまたはプロフェッショナル向けのメールアカウントでは、この機能が提供されている可能性が高いです。有効化の手順は通常簡単で、特に他のアプリで認証アプリを使っている場合は、すぐに設定できます。
ここでは、数回のクリックで2FAを有効にできる良い例として、SpaceshipのSpacemailを見ていきます。
画面右上の設定の歯車をクリックします。
2つ目のボックスで「Launch security center」をクリックします。
タブでTWO FACTOR AUTHENTICATIONをクリックします。
サポートされている2FAの2種類のうち1つを選択します。
他の侵入口も忘れずに塞ぎましょう
メインのログインに2FAを追加するのは良いことですが、スマートフォン上のアプリ(OutlookやGmailなど)にメールアカウントを接続している場合、別の裏口が存在している可能性が高いです。
この機能を有効にするために使われるプロトコルには、IMAP、SMTP、POP3があります。これらが有効になっていると、設定した2FAを回避して、アプリを使ってアカウントへのアクセスが設定される可能性があります。安全性を確保するため、可能であればこれらのプロトコルを無効にしてください。
Spacemailの場合、現在アプリを開発中で、今年後半のリリースが予定されています。これにより、セキュリティを損なうことなく、スマートフォンのようなデバイスでメールに簡単にアクセスできるようになります。
2FAの種類
「2FAの種類」といえば、それが何であり、Spacemailの文脈でどのように機能するのかをもう少し詳しく見てみましょう。大きく分けると、2FAには3つの種類があります。いずれも認証に使う要素が異なります。
「知っているもの」
これには、追加のPIN番号や秘密の質問のようなものが含まれます。これらは本来あなただけが知っているべき情報ですが、多くの点でパスワードとそれほど変わりません。より古い形式の2FAであり、以下の方法が好まれるようになったため、徐々に使われなくなっています。
数年前、「母親の旧姓」や「最初のペット」の質問には、他人に推測されたり調べられたりしないように、偽の答えを選ぶべきだという助言を耳にしたことがあるかもしれません。
相対的に安全性が低いため、この方法はSpacemailではサポートされていません。
「あなた自身であること」
これについてはすでに少し触れました。このタイプの2FAは、指紋認証、顔認証、音声認証などの生体情報に依存します。これは、たとえば多くの場合、私たちが使っているスマートフォンがそれ自体二次デバイスであるため、別のデバイスが最適な選択肢ではない場面で役立ちます。
生体認証では、自分自身を使った二次的な検証が可能になります。ただし、これには通常、比較的新しく高機能なデバイスにしか搭載されていない追加のセンサーが必要です。
「持っているもの」
ほとんどの2FAはこのカテゴリに入りますが、Spacemailで利用できる両方のオプションもこれに当てはまります。これらは、特定のデバイスやアイテムを所持していることを必要とします。この方法を実装する方法はいくつかあります。
TOTP(時間ベースのワンタイムパスワード)
認証アプリによって生成されるコードが、安全なログインを提供します。認証アプリを使うことも、SMS/メールでワンタイムコードを送ることもできます。Spaceshipの場合、TOTPは認証アプリによる方法のみが許可されています。こちらのほうがはるかに安全だからです。
U2F(Universal 2nd Factor)
U2Fは公開鍵暗号方式を使用するため、より安全でフィッシング耐性があります。コードを手動で入力する必要はありません。ハードウェアキー(YubiKeyのようなもの)をデバイスに挿すだけです。さらに、誰かがあなたのスマートフォンを盗んだ場合でも、2FAで保護されたアカウントにアクセスするには追加のデバイス(キー)が必要になるという利点もあります。
どの方法を選ぶべきか
U2Fは一般的に、デバイスが改ざん耐性を備えており、暗号化プロセスが特定のWebサイトやアプリに結び付けられているため、より安全だと考えられています。これにより、たとえユーザーが偽サイトに誘導されたとしても、その偽サイトは必要な安全な接続を再現できないため、認証は失敗します。
もちろん、U2Fキーの購入には費用がかかりますが、セキュリティを考えればその価値はあるかもしれません。
バランスの取れたセキュリティ習慣の一部としての2FA…
人は2FAだけでは生きていけません。これは、全体的に優れたセキュリティ対策の代わりにはなりません。私たちのメールアカウントは、特にフィッシングやマルウェア攻撃を受けやすいものです。皮肉なことに、この種の脅威では、誰かがあなたのアカウントに侵入する必要すらありません。単にメールを送るだけでよいのです。
だからこそ、メールの脅威に対する他の保護機能、特に迷惑メールフィルターを提供するアカウントも、賢明な投資です。ソーシャルエンジニアリングによる罠やマルウェアを含むメールを、あなたが目にする前に止めることで、安全に対する最大のリスクをそもそも目にしなくて済みます。今日、あなたのアカウントで2FAを有効にしましょう。もしその機能がないなら、あるものに切り替えることを検討してください。
よくあるご質問
2FAはTwo-factor authenticationの略です。最も一般的な2FAの方法では、知っているもの(ユーザー名とパスワード)と、所持しているもの(最も一般的にはスマートフォンやキー)を組み合わせることで、ログインに追加のセキュリティ層を加えます。これにより、不正なログインが要求された場合に通知を受け取れます。
2FAは、アカウントにアクセスする際に本人確認を行います。それにより、他の誰かが侵入しようとしている場合にも通知されます。メールアカウントは、機密データを多く含んでおり、さらに登録済みメールアドレスに大きく依存する標準的な「パスワードを忘れた場合」の手続きを通じて他のアカウントへの入口にもなり得るため、サイバー犯罪者にとって特に格好の標的です。
多くのアカウント、特にビジネスユーザー向けに設計されたものでは、これが標準機能として含まれています。通常はセキュリティ設定に入ることで比較的簡単に設定できます。すでに使用している認証アプリやキーがあれば、通常はより素早く設定できます。
はい、2FAにはいくつかの種類があります。最も一般的なのは、スマートフォンやU2Fキー(別個のデバイス)などのデバイスを利用するものです。生体認証も認証の第2要素に含まれます。また、より古いセキュリティ質問(「母親の旧姓」など)も技術的には該当しますが、推測されやすいため、最近ではほとんど使われていません。
アカウントにログインします。画面右上の設定の歯車アイコンをクリックします。2番目のボックスにある「Launch security center」をクリックします。タブ内のTWO FACTOR AUTHENTICATIONをクリックします。サポートされている2FAの2種類のうち1つを選択します。
おすすめの記事
あなたの考えを共有してください