クラウドのデータを守る2段階認証と「Microsoft Authenticator」

　Microsoft 365 Personalを利用する際に必須となるMicrosoftアカウントには、2段階認証などによってセキュリティを高める仕組みが用意されている。その仕組みを解説していきたい。

クラウドへの不正アクセスを防ぐ2段階認証

Android/iOS向けの「OneDrive」アプリには、モバイルデバイスで撮影した写真や動画をOneDriveへアップロードする機能もある。これを利用していてパスワードが漏えいすると、個人的な写真や動画まで第三者に見られてしまうことになる

　Microsoft 365 Personalを利用する際、注意したいことの1つがMicrosoftアカウントのパスワードが漏えいしてしまうことだ。もし、第三者にパスワードが知られれば、Outlookで送受信したメールが盗み見られたり、勝手に自分の名前を騙ってメールが送られる可能性があることに加え、OneDriveへ保存したファイルが見られてしまうリスクもある。

　特に気を付けたいのはOneDriveだ。Microsoft 365 Personalを契約すれば1TBもの容量を利用可能になるため、仕事で使うファイルを全てOneDriveに保存するというユーザーも多いだろう。パスワードを第三者に知られてしまうと、そうしてOneDriveへと保存したファイルが全て漏えいする事態になりかねない。

　もちろん、名前と誕生日の組み合わせなどの安易な文字列を使わず、数字や記号を混在させた複雑な文字列を設定し、さらにほかのサービスと同じものを使い回さない、他人の目に触れるところに書き留めないなど、基本的なルールを守っていれば、パスワードが漏えいするリスクは抑えられる。

　ただ、どれだけ注意しても、リスクを完全にゼロにするのは不可能だ。そのため、特にOneDriveへ重要なファイルを置いていて、パスワードが漏えいした場合のダメージが大きいのであれば、何らかの対策を講じるべきだろう。

　その対策としてMicrosoftで提供しているのが、2段階認証である。これは、信頼されていないデバイスからサインインしたときに、パスワードの入力に加え、事前に登録したメールアドレスや電話番号宛に送信されたセキュリティコードを要求するものだ。パスワードだけでなく、このセキュリティコードまで正しく入力できれば、本人として認証される仕組みだ。

Microsoftアカウントのウェブページへアクセスし、画面上部の「セキュリティ」をクリックすると表示される画面。メールアドレスや電話番号を用いて2段階認証をするなら、まず「セキュリティの連絡先情報」で登録を行う

「2段階認証」の欄にある「有効にする」をクリックすると、「追加のセキュリティオプション」のページが表示される。ここで2段階認証を有効にするには、「2段階認証のセットアップ」をクリックする

2段階認証のセットアップ中に表示される画面。ややこしいのだが、メールアドレスや電話番号を使って2段階認証を行う場合は、ここで「キャンセル」をクリックする

　ポイントとなるのは、事前に登録したメールアドレスや電話番号だ。これらに宛てて送られたセキュリティコードは本人しか見ることができないという前提に立てば、送信したセキュリティコードを正しく入力できれば本人であると判断できる。このように、パスワードとセキュリティコードという2つの方法で本人確認を行うことで、ユーザー認証をより確実なものとしているわけだ。

メールアドレスや電話番号による2段階認証を有効にしてMicrosoftアカウントでサインインしようとすると、パスワードの入力後に、この画面が表示される。電話番号かメールアドレスのいずれかを選択し、電話番号の下4けた、あるいはメールアドレスを正しく入力すれば、セキュリティコードが送信される

iPhoneに送られてきたセキュリティコード。この番号をサインイン画面に入力すればいい

　2段階認証が有効になっていれば、パスワードを何らかの方法で入手した第三者でも、メールアドレスや電話番号を使って送信したセキュリティコードまでは知らないはずなので、正当なユーザーとして認証される危険性かなり低くなる。これにより、不正アクセスを防げる仕組みとなっているわけだ。

　さらに言えば、セキュリティコードは短時間で切り替わるようになっている。仮に第三者に知られたとしても、不正にログインしようとしたときには別のセキュリティコードに替わっている場合がほとんどなので、ほぼ問題にはならないだろう。

　気を付けなければならないのは、Microsoft Office 2010以前のOutlookやXbox 360など、2段階認証をサポートしていないアプリやデバイスで2段階認証を設定すると、そのままではサインインすることができない点だ。

　そこで用意されている仕組みが、「アプリパスワード」だ。これは、ランダムに生成されるパスワードで、2段階認証をサポートしないアプリやサービスでパスワードの代わりに入力すると、正しいユーザーとして認証されるというものだ。

　アプリパスワードはパスワードと組み合わせて使うのが前提なのだが、長い文字列がランダムに設定されるため、毎回入力する必要があると、かなり面倒だ。このため、アプリやサービスの側にパスワードを保存するように設定しておくことが前提となっている。

アプリパスワードは「追加のセキュリティオプション」のページにある「新しいアプリパスワードの作成」で確認することができる

パスワードの入力が不要になる「Microsoft Authenticator」

iOS版の「Microsoft Authenticator」アプリ。2段階認証に使えるほか、パスワードの変更、Microsoftアカウントに紐付けるメールアドレスや電話番号の登録、アクティビティの確認なども行える

　さらにMicrosoftでは、ユーザー認証の安全性を高めるアプリとして「Microsoft Authenticator」を提供している。こちらも2段階認証を実現するものだが、その実現方法は大きく異なっている。

　2段階認証を有効にした状態でMicrosoft Authenticatorアプリをモバイルデバイスでセットアップすると、1度サインインしたことがある環境であれば、メールアドレスを入力した後にサインイン要求を電話に送る旨のメッセージが表示される。

　ここで「通知の送信」をクリックすると、モバイルデバイスのMicrosoft Authenticatorアプリに「サインインを承認しますか？」というメッセージが表示される。

Microsoft Authenticatorアプリで、サインインを承認するように求められる

こちらはMicrosoft Authenticatorのサインインの承認を求めるメッセージ

　そこで「承認」をタップし、さらにAndroidまたはiOSの顔認証や指紋認証、あるいはPINによる認証に成功すれば、サインインできる仕組みだ。

　サインインしたことがあるデバイスは「信頼済みデバイス」として登録されるので、上記のようにモバイルデバイスで承認すればいいのだが、その時点では信頼済みではないPCなどのデバイスなどでサインインしようとすると、2けたの数字が画面に表示される。

　さらに、スマートフォンのMicrosoft Authenticatorアプリにも2けたの数字が複数表示されるので、先のPCの画面に表示されたものと同じ2けたの数字を選んでタップする。その上で、Android/iOSでの認証に成功すると、サインインができるようになる。

信頼済みデバイスでない場合などには、このようにサインイン時に2けたの数字が表示される

Microsoft Authenticatorアプリでは、2けたの数字が複数表示されるので、正しい数字を選択する

　いずれにしても、Microsoft Authenticatorを使うとパスワードの入力が不要になり、複雑なパスワードを設定していても、それを毎回入力する手間がなくなる。これは、Microsoft Authenticatorを使うことの大きなメリットだろう。

　パスワードの入力が不要になるというと、不安を覚えるかもしれない。ただ、そのスマートフォンを使えるのが本人だけであれば、第三者がMicrosoft Authenticatorを使って不正アクセスをすることはできない。

　また、紛失や盗難によってスマートフォンが第三者の手に渡っても、AndroidやiOSの顔や指紋、PINによる認証が成功しなければ、Microsoftアカウントへ不正にサインインすることは不可能だ。このように、パスワードを使わなくても十分な安全性が確保されている。

　Microsoft 365 Personalは便利なサービスだが、多くの情報がクラウド上に蓄積される可能性があることを考えると、それを守るのがパスワードだけという状況は心許ない。ぜひ2段階認証やMicrosoft Authenticatorを活用し、セキュリティを高めてほしい。