Google authenticator セットアップキーとは

好きな所から読む

• 1 Google Authenticatorとは？
  • 1.1 2段階認証の必要性を「7Pay」から学ぶ
  • 1.2 2段階認証を設けているサイトはどこ？
• 2 Google Authenticatorの設定・使用方法について
  • 2.1 設定方法について
  • 2.2 使用方法について
• 3 Google Authenticatorのメリット、デメリットを確認
  • 3.1 Google Authenticatorのメリットとは？
  • 3.2 Google Authenticatorのデメリットとは？
  • 3.3 Google Authenticatorの応用操作について
• 4 終わりに

かのGoogle社の名前の由来は「膨大な情報の中から必要なものを見つけ出す」という想いが込められているそうです。1998年創業より始まり、今では私たちの生活に無くてはならないサービスの一つとなっています。

たとえばGmail、GoogleMapの名前を知らない人はいないのではないでしょうか。また最近ですと照明やカメラ、スピーカーなどの操作が出来るIoT関連のGoogleHomeと、時代のニーズに応えようという力強さを感じますね。今回はGoogle社が提供しているセキュリティ対策「Google Authenticator」についてご紹介をしていきたいと思います。

Google Authenticator（Googleオーセンティケーター）とは、WEBサイトなどへログインした際に追加で認証作業を求めるアプリケーションのことです。なお、追加認証の事を2段階認証と呼びます。

2段階認証はセキュリティ強化の施策のひとつです。IDとパスワードに加え、本人確認のための認証要素を追加入力します。なお、認証要素とは、「所有しているデバイスからワンタイムパスワードなどの情報を入力する所有要素」や、「指紋や顔など人体の情報を利用した生体要素」の2つがあります。

Google Authenticatorの場合は、発行されるワンタイムの6桁のセキュリティコードを追加入植しますので、認証要素でいうところの所有要素になります。定期的に変更されるワンタイムパスワードを入力することで、なりすましを防ぐ役割を果たしています。

お使いになる利用者にとって少し手間のかかるログインではありますが、IDやパスワードがなんらかの理由により漏洩した場合の防護策となります。パスワードは使いまわしたり同じ数字の羅列、なんて人も多いですしね。

とはいえ面倒だ、とお考えの人もいるかと思います。そんな方に2段階認証の重要性をご理解いただける好例をご用意いたしました。「7Pay」です。

2段階認証の必要性を「7Pay」から学ぶ

2段階認証が未対応だったことで多額の損失が発生した教訓として株式会社セブン・ペイの「7Pay」をご紹介したいと思います。

2019年7月1日に鳴り物入りでリリースされたバーコード決済「7Pay」は、サービス開始の翌日には不正ログインが発覚し、7月4日には新規登録の停止。そしてわずか2ヶ月後の9月30日に全サービスを廃止する事態にまで発展しました。

被害額は2ヶ月間で約4000万にものぼり、約1600人のかたが被害に遭われました。

不正ログインの方法は「パスワードリスト型攻撃」「パスワードリセットの不備」「ID連携の不備」などが取り正されていましたが、いずれも2段階認証の対応がなされていれば防ぐことが出来ていたでしょう。

なおリリースから１ヶ月後の8月1日の会見で株式会社セブン・ペイの奥田取締役営業部長の回答も興味深いため引用します。

「開発段階では2段階認証を想定していたが、使用感を考慮して入り口を低くした」「決済が利用されるのはセブン-イレブンの店舗のみであり、不正が起きてもモニタリングによって事後的に対処できると考えていた」

ユーザーの利便性（正確には企業側の機会損失の回避）のため、セキュリティ対策が蔑ろにされてしまった好例といえるでしょう。

2段階認証を設けているサイトはどこ？

「7Pay」の不正ログイン問題もあり、セキュリティ対策に力を入れる企業はずいぶんと増えた印象を持っています。以下、対応しているWEBサイトの一例をまとめました。

上記のように、なんらかの費用が発生する可能性のあるサイトや個人情報を扱うサイトに多く2段階認証が用意されております。

Google Authenticatorの設定・使用方法について

では次にGoogle Authenticatorの設定方法、使用方法について解説をいたします。設定や使用方法はAndroid・iPhoneともに同様の流れとなります。

設定方法について

1. 対応OSのストアより「Google Authenticator」で検索し、アプリに端末をダウンロードします。
2. アプリを起動します。アプリ内に「2段階認証プロセスを使用してすべてのアカウントの認証コードを入手できます」とメッセージが表示されます。
3. 対象WEBサイトとの連携方法として「QRコードをスキャン」か「セットアップキーを入力」の2通りの方法を選択することができます。
   1. QRコードをスキャン：2段階認証を行うWEBサイトで「QRコード」を表示させ、アプリから読み取りを行います。完了すると6桁の認証コードを表示します。
   2. セットアップキーを入力：2段階認証を行うWEBサイトで「セットアップキー」を表示させ、アプリから入力を行います。完了すると6桁の認証コードを表示します。

対象WEBサイトとの連携方法について

Amazonを例として設定手順を説明します。

1. Amazon公式ページである高度なセキュリティ設定にアクセスします。
2. Amazonのログイン画面が表示されます。パスワードの入力を行い「ログイン」ボタンをクリックします。
3. 「セキュリティのため、次の宛先に送信された通知を承認してください。」となり、登録している端末やメールアドレス宛に通知が届きます。
4. 届いたURLにアクセスすると「誰かがあなたのアカウントデータにアクセスしようとしています。」と表示されますので「承認」ボタンをクリックしてください。「ありがとうございます。アカウントデータアクセスの試行が承認されました。」となり、高度なセキュリティ設定画面が切り替わります。
5. 2段階認証（2SV）の設定画面の「開始する」ボタンをクリックします。
6. 2段階認証の方法として、「電話番号」か「認証アプリ」を選ぶことが出来ます。Google Authenticatorを使用するので「認証アプリ」を選択します。
7. 生成されたQRコードをGoogle Authenticatorで読み取ります。6桁のワンタイムパスワードが表示されますので、WEBサイトの入力項目に打ち込みます。

使用方法について

1. 設定を行ったWEBサイトにログインを行うと、2段階認証を求める追加項目が表示されます。
2. Google Authenticatorより認証コードの確認をおこないます。
3. Google Authenticatorを起動し、対象WEBサイトの認証コード6桁を確認します。なお認証コードは30秒ごとに更新されますのでご注意ください。数字の右側に丸マークが表示され、更新時間が近づくにつれ欠けていきます。更新されてしまうと認証エラーとなりますので、間に合わないと判断した場合は次の更新を待ちましょう。
4. 認証コードの入力を行います。WEBサイトが表示されます。

以上となります。いかがでしょうか。一手順増えるとはいえ、操作も簡略化されていますので慣れれば手間に感じることはないでしょう。

Google Authenticatorのメリット、デメリットを確認

2段階認証を提供している企業はいくつかあります。なじみのある企業を挙げますとMicrosoftや携帯キャリアのdocomoも提供していますね。

複数の選択肢があるなかでGoogle Authenticatorを選択するメリット、デメリットを確認していきましょう。

Google Authenticatorのメリットとは？

他の2段階認証と比べ、Google Authenticatorが優れている点はどういった所でしょうか。確認していきましょう。

Google社という信頼性

いわゆるブランド力です。裏付けるように、名の知れたWEBサイトならGoogle Authenticatorに対応している所が数多くあります。Amazon、Twitter、Facebook、Instagramなどなど。

Google社製ではありますがandroidとiPhoneの両方に対応していることも嬉しいですね。

オフラインでも利用可能

端末がオフライン状態のため2段階認証が出来ないなんて事態になると、WEBサイトにアクセスできずに困ってしまいますよね。Google Authenticatorはオフライン環境にも対応していますので、スタンドアロン状態にした専用デバイスとして使うことができます。

Google Authenticatorのデメリットとは？

次にデメリットを確認していきます。どのような点があるのでしょうか。

機種変更時は注意が必要

新端末へのアプリ移行を忘れたまま、旧端末を初期化や廃棄してしまいますと面倒なことになってしまいます。Google Authenticatorのアプリ移行手順は以下の通りとなります。

1. 旧端末でGoogle Authenticatorにログインし、アカウント情報をエクスポートします。
2. 新端末で出力情報をインポートします。

手順としては分かりやすいものの、裏を返しますと旧端末が手元から無くなっていますと移行ができません。セキュリティ確保による制限ですので、移行前に旧端末を処分しないようお気をつけください。

Google Authenticatorの応用操作について

先ほどの項目ではGoogle Authenticatorの設定方法、利用方法について解説しました。ここでは+α知っていただくと便利な応用操作についてまとめさせていただきます。どれも知っていて損は無いですよ。

複数の端末でGoogle Authenticatorを利用する方法

Google Authenticatorのデメリットの1つとして「機種変更時はデータ移行が必須」である旨を説明いたしました。にも関わらず複数端末で利用できるとはどういう事でしょうか。

以下、設定手順となります。

1. 複数端末に「Google Authenticator」をインストールします。
2. WEBサイトの登録設定時に表示される同じ「QRコード」か「アドレスキー」を、それぞれの端末で設定する。

上記設定を行うことで、端末に表示されるワンタイムパスワードがそれぞれ同一のものとなります。メイン機を紛失した際も安心ですね。

バックアップ機能の無いGoogle Authenticatorだからこそ事前準備が必要

Google Authenticatorにはワンタイム情報のバックアップ機能がありません。そのため使用端末を紛失してしまった場合、さきほどの項目に上げました複数端末の設定をしていないと、サイトごとに一からの再登録が必要となります。

それを回避する方法として、WEBサイトの登録設定時に使用した「QRコード」か「アドレスキー」をスクリーンショットなどで保存をしておきましょう。そうしておけば、端末紛失など万が一があった場合も、スクリーンショットの情報を読み取ることで簡単に登録しなおす事が出来るので安心ですよ。

Googleアカウントの2段階認証はバックアップコード生成が可能

Googleアカウントへの2段階認証については、事前にバックアップコードの生成が可能ですので取得しておくことをオススメします。また計10回までの救済コードではありますが、全て使い切ってしまったとしても再取得が可能です。

手順は以下の通りとなります。

1. Googleアカウントに接続し、セキュリティ項目を選択します。
2. 「2段階認証プロセス」が有効になっていることを確認し、当項目を選択します。
3. ログインをしているGoogleアカウントのパスワード入力を求められます。入力し「次へ」を選択します。
4. 「バックアップコード」項目までスクロールし、「コードを作成」を選択します。バックアップコードが作成されます。
5. 8桁の救済コードが10個表示されます。「コードを印刷」または「コードをダウンロード」ボタンがありますので、データを出力し保存をします。

終わりに

いかがでしたでしょうか。

今回は2段階認証アプリであるGoogle Authenticatorをご紹介いたしました。

セキュリティ対策として、2段階認証は今後ますます取り入れられる事となります。みなさまも自身の情報や資産を守るために、ぜひ取り入れて下さればと思います。