Yahoo!ニュース

IDでもっと便利に新規取得

ログイン

第9回:クラウドのデータを守る2段階認証と「Microsoft Authenticator」

配信

Impress Watch

 Microsoft 365 Personalを利用する際に必須となるMicrosoftアカウントには、2段階認証などによってセキュリティを高める仕組みが用意されている。その仕組みを解説していきたい。 【この記事に関する別の画像を見る】 ■クラウドへの不正アクセスを防ぐ2段階認証  Microsoft 365 Personalを利用する際、注意したいことの1つがMicrosoftアカウントのパスワードが漏えいしてしまうことだ。もし、第三者にパスワードが知られれば、Outlookで送受信したメールが盗み見られたり、勝手に自分の名前を騙ってメールが送られる可能性があることに加え、OneDriveへ保存したファイルが見られてしまうリスクもある。  特に気を付けたいのはOneDriveだ。Microsoft 365 Personalを契約すれば1TBもの容量を利用可能になるため、仕事で使うファイルを全てOneDriveに保存するというユーザーも多いだろう。パスワードを第三者に知られてしまうと、そうしてOneDriveへと保存したファイルが全て漏えいする事態になりかねない。  もちろん、名前と誕生日の組み合わせなどの安易な文字列を使わず、数字や記号を混在させた複雑な文字列を設定し、さらにほかのサービスと同じものを使い回さない、他人の目に触れるところに書き留めないなど、基本的なルールを守っていれば、パスワードが漏えいするリスクは抑えられる。  ただ、どれだけ注意しても、リスクを完全にゼロにするのは不可能だ。そのため、特にOneDriveへ重要なファイルを置いていて、パスワードが漏えいした場合のダメージが大きいのであれば、何らかの対策を講じるべきだろう。  その対策としてMicrosoftで提供しているのが、2段階認証である。これは、信頼されていないデバイスからサインインしたときに、パスワードの入力に加え、事前に登録したメールアドレスや電話番号宛に送信されたセキュリティコードを要求するものだ。パスワードだけでなく、このセキュリティコードまで正しく入力できれば、本人として認証される仕組みだ。  ポイントとなるのは、事前に登録したメールアドレスや電話番号だ。これらに宛てて送られたセキュリティコードは本人しか見ることができないという前提に立てば、送信したセキュリティコードを正しく入力できれば本人であると判断できる。このように、パスワードとセキュリティコードという2つの方法で本人確認を行うことで、ユーザー認証をより確実なものとしているわけだ。  2段階認証が有効になっていれば、パスワードを何らかの方法で入手した第三者でも、メールアドレスや電話番号を使って送信したセキュリティコードまでは知らないはずなので、正当なユーザーとして認証される危険性かなり低くなる。これにより、不正アクセスを防げる仕組みとなっているわけだ。  さらに言えば、セキュリティコードは短時間で切り替わるようになっている。仮に第三者に知られたとしても、不正にログインしようとしたときには別のセキュリティコードに替わっている場合がほとんどなので、ほぼ問題にはならないだろう。  気を付けなければならないのは、Microsoft Office 2010以前のOutlookやXbox 360など、2段階認証をサポートしていないアプリやデバイスで2段階認証を設定すると、そのままではサインインすることができない点だ。  そこで用意されている仕組みが、「アプリパスワード」だ。これは、ランダムに生成されるパスワードで、2段階認証をサポートしないアプリやサービスでパスワードの代わりに入力すると、正しいユーザーとして認証されるというものだ。  アプリパスワードはパスワードと組み合わせて使うのが前提なのだが、長い文字列がランダムに設定されるため、毎回入力する必要があると、かなり面倒だ。このため、アプリやサービスの側にパスワードを保存するように設定しておくことが前提となっている。 ■パスワードの入力が不要になる「Microsoft Authenticator」  さらにMicrosoftでは、ユーザー認証の安全性を高めるアプリとして「Microsoft Authenticator」を提供している。こちらも2段階認証を実現するものだが、その実現方法は大きく異なっている。  2段階認証を有効にした状態でMicrosoft Authenticatorアプリをモバイルデバイスでセットアップすると、1度サインインしたことがある環境であれば、メールアドレスを入力した後にサインイン要求を電話に送る旨のメッセージが表示される。  ここで「通知の送信」をクリックすると、モバイルデバイスのMicrosoft Authenticatorアプリに「サインインを承認しますか?」というメッセージが表示される。  そこで「承認」をタップし、さらにAndroidまたはiOSの顔認証や指紋認証、あるいはPINによる認証に成功すれば、サインインできる仕組みだ。  サインインしたことがあるデバイスは「信頼済みデバイス」として登録されるので、上記のようにモバイルデバイスで承認すればいいのだが、その時点では信頼済みではないPCなどのデバイスなどでサインインしようとすると、2けたの数字が画面に表示される。  さらに、スマートフォンのMicrosoft Authenticatorアプリにも2けたの数字が複数表示されるので、先のPCの画面に表示されたものと同じ2けたの数字を選んでタップする。その上で、Android/iOSでの認証に成功すると、サインインができるようになる。  いずれにしても、Microsoft Authenticatorを使うとパスワードの入力が不要になり、複雑なパスワードを設定していても、それを毎回入力する手間がなくなる。これは、Microsoft Authenticatorを使うことの大きなメリットだろう。  パスワードの入力が不要になるというと、不安を覚えるかもしれない。ただ、そのスマートフォンを使えるのが本人だけであれば、第三者がMicrosoft Authenticatorを使って不正アクセスをすることはできない。  また、紛失や盗難によってスマートフォンが第三者の手に渡っても、AndroidやiOSの顔や指紋、PINによる認証が成功しなければ、Microsoftアカウントへ不正にサインインすることは不可能だ。このように、パスワードを使わなくても十分な安全性が確保されている。  Microsoft 365 Personalは便利なサービスだが、多くの情報がクラウド上に蓄積される可能性があることを考えると、それを守るのがパスワードだけという状況は心許ない。ぜひ2段階認証やMicrosoft Authenticatorを活用し、セキュリティを高めてほしい。

INTERNET Watch,川添 貴生

【関連記事】