セキュリティを二重に強化

2 段階認証プロセスを活用すれば、ユーザーはオンライン上の自分のデータをより安全に保護することができます。Google アカウントでは複数のオプションが提供されています。

ハッカーにデータ侵害されると、さまざまな被害が考えられます。見ず知らずの攻撃者が被害者のアカウントを使用してそのユーザーの名前でソーシャル メディアを荒らしたり、詐欺メールを送信したりするケースや、オンライン銀行口座から預金が消えたケースもあります。多くの場合人々は、被害が発生するまでアカウントがハッキングされたことに気づきません。

データ盗難が頻繁に起こる理由の一つに、多くのユーザーが、オンラインで自分の情報を保護するのにパスワードに頼りすぎているということが挙げられます。数百万のユーザー名とパスワードの組み合わせを含むオンライン リストの存在は、一般の人々にはあまり知られていません。このリストは、専門家から「パスワード ダンプ」と呼ばれており、多数のデータ盗難により生まれたデータの集合体です。多くのユーザーは、パスワードを複数のサイトで使用しているため、アカウントがハッキングされていなくても、Google アカウントのログインデータがこの「パスワード ダンプ」の中に見つかることもあります。また、フィッシングもよくある脅威です。これは、一見信頼できるメールやウェブサイトを通じてパスワードやその他の情報を入手しようとする詐欺行為です。

そのため、Google などの企業は、2 段階認証プロセスを使用してオンライン アカウントを保護することを推奨しています。これは、ログインするために 2 つの別個の要素(たとえば、パスワードと、テキスト メッセージで送信されるコード)を必要とする仕組みです。この認証方法は、特に銀行とクレジット カード会社でよく利用されるようになっています。

セキュリティの専門家は、セキュリティ要素を 3 つの基本的なタイプに分類しています。第 1 のタイプは、情報(ユーザーが知っている情報)です。たとえば、ユーザーがテキスト メッセージでコードを受け取ってそれを入力する場合や、セキュリティ保護用の質問への回答を求められるようなものが挙げられます。第 2 のタイプは、認証に使用できる物理的なもの(ユーザーが持っているもの)です。たとえば、クレジット カードです。第 3 のタイプは、生体認証データ(ユーザー自身)です。たとえば、スマートフォンのユーザーが画面のロック解除に使用する指紋です。すべての 2 段階認証プロセス戦略では、上記の異なる要素のうち 2 つの組み合わせを採用しています。

Google は、さまざまな種類の 2 段階認証プロセスを提供しています。ユーザーは従来のパスワードに加え、1 回限りのセキュリティ コードを入力します。このコードは、テキスト メッセージまたは音声通話で受け取るか、Android および iOS(Apple のモバイル オペレーティング システム)で動作する Google 認証システムアプリで生成されます。ユーザーは、Google アカウント内で信頼できるデバイスのリストを指定することもできます。そのリストにないデバイスからユーザーがログインしようとすると、Google からセキュリティ警告が届きます。

Google は過去 3 年間にわたって、セキュリティ キーと呼ばれる物理的なセキュリティ トークンを使用する選択肢もユーザーに提供してきました。該当デバイスに接続する USB、NFC、または Bluetooth 端子です。このプロセスは、FIDO コンソーシアムによって開発された Universal 2nd Factor(U2F)と呼ばれるオープン認証標準に基づいています。Google は、Microsoft、Mastercard、PayPal などの企業とともに、このコンソーシアムに参加しています。U2F 標準に基づくセキュリティ トークンは、さまざまなメーカーから安価に入手できます。この方法は非常に効果的であることがわかっています。セキュリティ キーの導入以降、データ盗難のリスクは大幅に減少しました。オンライン アカウントは理論的には世界中のどこからでもハッキングされる可能性がありますが、物理的なセキュリティ トークンは実際に盗難者の手に渡らない限り安全です(それに盗難者がアカウントにアクセスするにはログイン情報も必要になります)。Google 以外にも、複数の企業がすでにこうしたセキュリティ トークンをサポートしています。

もちろん、2 段階認証プロセスにも欠点はあります。テキスト メッセージのコードを使用する場合は、新しいデバイスからログインするときに携帯電話を手元に用意する必要があります。また、USB と Bluetooth 端子は紛失する可能性があります。しかし、こういった問題は解決できるものです。この認証方法でどれほどセキュリティが強化されるかを考えれば、リスクに見合う価値は確実にあります。セキュリティ キーを紛失した場合は、紛失したトークンをアカウントから削除して、新しいトークンを追加できます。また、最初から 2 つ目のセキュリティ キーを登録して安全な場所に保管しておく方法もあります。

詳しくは次のサイトをご覧ください:

g.co/2step

イラスト: Birgit Henne

サイバーセキュリティの発展

Google がいかにして世界中の人々のオンラインでの安全性を守っているかをご紹介します。

詳細