二要素認証（2FA）

定義

💡 二要素認証（2FA）：メールにアクセスする前に、本人であることを2回確認させるセキュリティ層です。 たとえば、ユーザー名とパスワード（知っているもの）に加えて、スマホに届くコード（持っているもの）を使うイメージです。 要するに、クラブに入る前に、用心棒がIDと招待状の両方を確認するようなものです。

2FAで何ができるのか？

ここがポイントです。パスワードだけでは、メールを守るにはあまりに頼りありません。 パスワードは推測されたり、情報漏えいで盗まれたり、フィッシング詐欺でだまし取られたりする可能性があります。 そして、いったんパスワードを奪われたら、それだけで侵入されてしまいます。

二要素認証は、2つ目の本人確認を求めることでその問題を解決します。 たとえハッカーにパスワードを盗まれても、その2つ目の要素（通常はスマホに送られるコード、または認証アプリが生成するコード）がなければ、アカウントにはアクセスできません。 Googleの調査によると、2FAを有効にすると、自動化されたボット攻撃を100%、大規模なフィッシング攻撃を96%防げます。 小さな改善どころではありません。

特にメールでは、これはいつも以上に重要です。 受信トレイは、ほかのすべてを開けるマスターキーのようなものです。 パスワードのリセット、金融関連の明細、仕事の書類、個人的な会話。 誰かにメールへ侵入されると、実質的にあなたのデジタル生活全体を乗っ取られかねません。 フィッシングリンク1つで全部台無しになるなら、強力なパスワードに何の意味があるのでしょう？ 2FAは、本当に機能する鍵です。

2FAの種類

その2つ目の要素にはいくつか選択肢がありますが、どれも同じくらい安全というわけではありません：

SMSコードは最も一般的です。 パスワードを入力すると、サービスからスマホに6桁のコードがSMSで送られてきます。 シンプルで、どこでも使えますが、最も安全な選択肢ではありません。 全然そうではありません。 ハッカーは、SIMスワップや通信事業者を狙ったソーシャルエンジニアリング攻撃によって、SMSメッセージを傍受できることがあります。

認証アプリは、30秒ごとに変わる時間ベースのコードを生成します（だからTOTPコードと呼ばれますが、まあそこは置いておいて）。 Google Authenticator、Authy、Microsoft Authenticatorのようなアプリは、これらのコードをオフラインで作成するため、盗まれるのがずっと難しくなります。 これは、ほとんどのセキュリティ専門家がメールアカウントを守る方法として勧めているものです。

ハードウェアキーは、YubiKeyのような物理デバイス（25〜50ドル程度）で、コンピューターに挿したりスマホにタップしたりして使います。 いちばん安全な選択肢が必要ですか？ それがこれです。 ハッカーが傍受できるものが文字どおり何もないので、これが最も安全です。 ただし、持ち歩く必要がありますし、なくすとバックアップ方法を使うまでロックアウトされます。

生体認証は、指紋や顔を使って本人確認を行います。 スマホではかなり便利ですが、厳密には、これは通常ほかの要素と組み合わせて使われ、完全に置き換えるものではありません。

多くの人は、簡単だからまずSMSコードから始めて、SMSがそれほど優秀ではないと気づいた時点で認証アプリに切り替えます。 ハードウェアキーは主に、高いセキュリティが必要な人（ジャーナリスト、活動家、経営幹部）向けです。

2FAを有効にする方法

設定には5分ほどかかり、手順はプロバイダーによって少し異なります。

Gmailの場合：

• myaccount.google.com で Google アカウントの設定を開きます
• 左側のサイドバーでセキュリティをクリックします
• Google へのログイン方法までスクロールし、2段階認証プロセスをクリックします
• 開始するをクリックし、画面の案内に従います
• 2つ目の要素を選択します（SMS用の電話番号、または認証アプリ）
• スマホにアクセスできなくなった場合に備えて、バックアップコードを安全な場所に保存します

Outlookの場合：

• account.microsoft.com にサインインします
• 上部のセキュリティをクリックします
• 高度なセキュリティ オプションを選択します
• 2段階認証の下にある有効にするをクリックします
• セットアップウィザードに従います（通常は電話番号の入力から始まります）
• 代わりにアプリベースのコードを使いたい場合は、Microsoft Authenticator アプリをダウンロードします

Yahoo Mailの場合：

• Yahooアカウントのセキュリティページを開きます
• 2段階認証をクリックします
• オンに切り替えます
• SMSコードを受け取るための電話番号を入力します
• 送られてきたコードを確認します
• スマホが使えなくなった場合に備えて、バックアップ方法を生成します

Proton Mailはセキュリティ重視なので、実際には少し違う手順になります。 TOTP認証アプリとハードウェアキーには対応していますが、SMSは意図的に提供していません（安全性が低いためです）。

ベストプラクティス

SMSではなく認証アプリを使いましょう。 たしかに、SMSのほうが設定は簡単です。 でも、そのぶん乗っ取られやすくもあります。 認証アプリは本当に安全性が高く、いったん動き出せば利便性もほとんど変わりません。

バックアップコードはすぐに保存しましょう。 どのサービスでも、二要素認証を有効にすると、使い切りコード一式が提供されます。 スクリーンショットを撮る、印刷する、パスワードマネージャーに保存する。 やりやすい方法で構いません。 ただ、この手順だけは飛ばさないでください。夜11時にスマホが壊れたとき、本当に必要になります。

再設定用メールアドレスにも2FAを有効にしましょう。 バックアップ用のメールアカウントが保護されていないと、ハッカーはそれを使ってパスワードをリセットし、2FAを完全に回避できてしまいます。 それでは意味がありません。

可能なら複数のデバイスを登録しましょう。 多くのサービスでは、スマホとタブレットの両方で2FAを設定できます。 やっておきましょう。 使えないデバイスが1台あっても、冗長性があれば助かります。

どこでも同じ2つ目の要素を使わないでください。 すべてでSMSを使っていてSIMスワップの被害に遭うと、すべてのアカウントに一度にアクセスされるおそれがあります。 分散させましょう。 重要なアカウントには認証アプリ、重要度の低いものにはSMSを使う、といった使い分けがおすすめです。

信頼済みデバイスは定期的に見直しましょう。 2年前に返却した仕事用ノートPCのこと、覚えていますか？ まだ信頼済みデバイスの一覧に残っているかもしれません。 数か月ごとに整理しましょう。

関連コンテンツ

• Spark Email Privacy: 知っておきたいことをすべて解説
• Spark、チーム向け共有受信トレイを導入

関連用語

• メール認証
• フィッシングメール
• メール証明書
• メールアカウント