清水理史の「イニシャルB」

入手をきっかけに2段階認証有効化大会を開催 YubicoのUSBセキュリティキー「YubiKey 4」

 Facebookがセキュリティキーを利用した2段階認証をサポートしたのをきっかけに、USBセキュリティキーの「YubiKey」を購入。ついでに、主なサービスのアカウントの2段階認証有効化大会も開催した。

面倒だがやってしまえば面倒ではない

 昨年末、個人的にSkypeのアカウントが不正利用されたこともあり、「放置してあるほかのアカウントもなるべく早く見直さなければなぁ……」と思っていたのだが、ついにそれを実行した。

 きっかけは、2017年1月末から、Facebookが2段階認証でUSB接続のセキュリティキーデバイスをサポート(くわしくはこちらを参照http://internet.watch.impress.co.jp/docs/news/1041228.html)したこと。

 2段階認証を有効化するだけだと、「作業感」が強すぎて、重い腰がなかなか上がらなかったのだが、新しいデバイスを手に入れると「使ってみたい感」がフツフツと沸き上がってくるから不思議なものだ。

 というわけで、まずはamazon.co.jpで「YubiKey 4」を入手(2016年2月2日時点で4970円)。

YubicoのUSB接続セキュリティキー「YubiKey 4」

 YubiKeyは、複数の認証方式(U2FやOTP)に対応した小型の認証デバイス。Webサービスへのサインイン時に、ユーザー名とパスワードに加えて2段階目の認証が要求されたときに、USBポートに接続して本体のロゴ部分にタッチすることで、認証が完了する製品となっている。

 利用するには以下の2つの条件が必要だが、2段階目の認証を手軽に実行できるのが特徴だ。

・サービスが対応していること(Google/Facebook/Dropbox)
・対応ブラウザーを利用すること(Chrome/Opera)

 ユーザー情報の漏えい事件がひとごとではなくなりつつある現状を考えると、2段階認証を使って、第三者が自分のアカウントを不正利用することを防ぐことは非常に重要だ。すでにスマートフォンの認証アプリを使った2段階認証を使っている人も多いうえ、サービス提供事業者側も、重要なアカウント変更などの際は、SMSやメールによる認証を強要する場合が多い。

 対応の多さを考えれば、スマートフォン向けの認証アプリを利用するのがもっとも確実な方法と言えるが、PCで認証が発生する度にスマートフォンの画面を確認するのは面倒なので、セキュリティキーでの認証を付け加えたことになる。

 もちろん、多くのサービスが複数の方法での認証に対応しているので、認証アプリとセキュリティキーでの認証の両方を登録しておき、機器や場所によって使い分けることも可能だ。

 まだ、2段階認証に必須のデバイス、とまでは言えないが、今後対応が増えてくると考えられるうえ、筆者のように思い腰を上げるきっかけになるので、試してみる価値はあると言えるだろう。

手軽に使えるYubiKey 4

 実際の製品だが、USBメモリを薄くしたようなデザインで、本体中央に「y」をデザインしたタッチボタン兼LEDが配置されている。

 実は、どちらにしようか迷って、NFCに対応したYubiKey NEO(2017年2月2日時点で5980円)も購入したのだが、NFCは利用シーンが限られており、NFC対応スマートフォンが必要になるうえ、同社製の認証アプリ(2段階認証用のコードを生成)やLastPassなどの一部のアプリでしか利用できない。

 利用方法も、現状は、2段階認証のアプリを起動後、NFCでキーをかざすとコードが見えるというように、3段階目の認証といった感じになるので、より高い安全性を求める場合には適しているが、さほどメリットがあるは言えない印象だ。

NFC対応のYubiKey NEO(左)とYubiKey 4(右)
Surface 3に装着したところ

 肝心の使い方だが、特に設定は必要ない。同社のサイトからダウンロード可能な「YubiKey Personalization Tool」を利用することで、各認証方式について詳細な設定も可能だが、通常は標準設定のままで利用できる。

 PCにもキーボードデバイスとして認識されるため特にドライバーのインストールなども必要ない。試しに、メモ帳などを起動した状態で、PCに接続したYubiKeyの中央のボタンに触れると、自動的に生成されたワンタイムパスワードが表示される。

専用のツールで詳細な設定が可能だが、特に設定は不要
キーボードデバイスとして認識され、ボタンに触れると生成された文字列が表示される

サイト側を設定

 YubiKeyを使う準備ができたら、サイト側の設定に移るが、実際に調べてみると、YubiKeyを使えるサイトはまだ少ない。筆者が日常的に利用しているサービスだと、結局のところGoogleとFacebookだけだった。

 とはいえ、せっかく思い腰を上げたので、YubiKeyが使えるところは有効にし、非対応のサービスはスマートフォンの認証アプリを使った2段階認証を有効にしておくことにした。主なサイトの設定ページのURLと設定画面にアクセスするまでの操作、利用可能な認証方式をまとめておいたので、参考になれば幸いだ。

 注意点は、できればパスワードを変更しておくこと、認証アプリやセキュリティキーが使えなくなった場合に、アカウントを回復するためのバックアップキーが提供されている場合(ない場合もある)は、必ずメモしておくことだろうか。

 また、楽天もリストに加えたが、本サービスは2段階認証をサポートしておらず、アカウントのサインイン情報をメールで通知することにしか対応してない。早急な対応を望みたいところだが、万が一、不正利用があっても検知できるので、せめて通知だけでも設定しておいた方がいいだろう。

 なお、以下のサービスについて、認証アプリを使う場合、筆者はマイクロソフト製の認証アプリ(Microsoft Authenticator)を利用した。Yahooのみバーコードでの登録ができずに手動で登録したが、基本的にどのサービスでも利用できた。Googleのアプリを使うのが一般的だが、Microsoft製でも特に問題ないだろう。

Microsoft

URL:https://account.microsoft.com/
操作:[セキュリティ]-[その他のセキュリティオプション]-[2段階認証]
メモ:もともと連絡先の登録でメールやSMS、電話での認証はサポート
方法:
・認証アプリ
回復:回復用コード

Google

URL:https://myaccount.google.com/
操作:[ログインとセキュリティ]-[2段階認証プロセス]
方法:
・セキュリティキー
・認証システムアプリ
・音声またはテキストメッセージ
・Googleからのメッセージ(セキュリティキーと排他)
回復:
・バックアップコード

Amazon

URL:https://www.amazon.co.jp
操作:[アカウントサービス]-[アカウント設定を変更]-[高度なセキュリティ設定]
方法:
・認証アプリ
・テキストメッセージ
回復:なし

Facebook

URL:https://www.facebook.com/settings
操作:[設定]-[セキュリティ]-[ログイン承認]
方法:
・SMS携帯電話
・セキュリティキー
・コードジェネレーター
回復:リカバリーコード

Twitter

URL:https://twitter.com/settings/security
操作:[設定]-[セキュリティとプライバシー]-[ログイン認証]
方法:
・SMS
・認証アプリ
回復:バックアップコード

Dropbox

URL:https://www.dropbox.com/account/#security
操作:[設定]-[セキュリティ]-[2段階認証]
方法:
・認証アプリ
・SMS
・セキュリティキー
回復:復元コード

Evernote

URL:https://www.evernote.com/secure/SecuritySettings.action
操作:[設定]-[セキュリティ概要]-[2段階認証が有効です]-[設定を管理]
メモ:テキストメッセージでの認証は無料プランでは不可。アップグレードが必要
方法:
・認証アプリ
・テキストメッセージ
回復:バックアップコード

Yahoo!

URL:https://accounts.yahoo.co.jp/profile
操作:[登録情報]-[セキュリティ]-[ワンタイムパスワード]
方法:
・認証アプリ
・メール
回復:なし

Apple

URL:iOSデバイスから設定
操作:[設定]-[iCloud]-[アカウント名]-[パスワードとセキュリティ]-[2ファクタ認証を有効にする]
メモ1:Webからのサインインにはもともとセキュリティ質問への回答が必要
メモ2:非対応デバイスはhttps://appleid.apple.com/account/manageから2ステップ認証を設定可能
方法:
・セキュリティ質問
・メッセージ
回復:なし

楽天

URL:https://member.id.rakuten.co.jp/rms/nid/menufwd
操作:[会員情報の確認]-[会員情報管理]-[登録内容の確認・変更]-[ログインアラート設定の確認]-[登録・変更する]
メモ:ログインしたことをメールで知らせるサービスのみ
方法:2段階認証なし
回復:なし

Windowsのロック解除にYubiKeyを利用

 最後に、YubiKeyの発展的な使い方を紹介しておこう。Windows 10のWindows Hello「的」な使い方だ。

 Windows 10のストアアプリを利用して「YubiKey for Windows」をダウンロードし、画面の指示に従ってYubiKeyを認証デバイスとして設定すると、Windowsのロック解除やスリープからの復帰時に、パスワードを入力する代わりに、YubiKeyを装着してボタンに触れる操作を利用できるようになる。

 残念ながら最初のサインインには利用できないので、Windows Hello「的」な機能という印象なのだが、朝一にサインインし、後はロックとスリープという使い方をするなら、悪くない使い方と言える。

YubiKey for Windowsでセットアップするとロック解除やスリープ復帰に利用可能

 Webサービスの認証だけだと、使えるサービスも少ないので割高感が否めないが、こういった付加的な使い方もできるので、購入を検討する価値はあると言えそうだ。

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。