二要素認証(2FA)とは
二要素認証(2FA: Two-Factor Authentication)は、パスワードに加えて2つ目の認証要素を使ってアカウントにログインする仕組みです。
なぜ2FAが必要なのか
パスワードだけの認証には以下のリスクがあります。
| リスク | 説明 |
|---|---|
| パスワード漏洩 | データ漏洩事件で流出 |
| フィッシング | 偽サイトでパスワードを入力 |
| パスワードの使い回し | 1つ漏れると他のサービスも危険 |
| 総当たり攻撃 | 弱いパスワードは短時間で解読 |
| キーロガー | マルウェアがキー入力を記録 |
2FAを設定すると、パスワードが漏洩しても不正ログインを防げます。Googleによると、2FAの導入でアカウント乗っ取りの99%を防止できると報告されています。
認証の3要素
| 要素 | 説明 | 例 |
|---|---|---|
| 知識要素(Something you know) | 本人だけが知っている情報 | パスワード、PIN |
| 所持要素(Something you have) | 本人だけが持っているもの | スマホ、セキュリティキー |
| 生体要素(Something you are) | 本人の身体的特徴 | 指紋、顔認証 |
2FAは、これらのうち2つの異なる要素を組み合わせます。パスワード(知識)+ スマホアプリ(所持)が最も一般的です。
2FAの種類と比較
1. TOTP(Time-based One-Time Password)— おすすめ
| 項目 | 内容 |
|---|---|
| 仕組み | 30秒ごとに変わる6桁のコード |
| 必要なもの | 認証アプリ(Google Authenticator等) |
| オフライン | ○(ネット接続不要) |
| セキュリティ | ◎ |
| 使いやすさ | ○ |
2. SMS認証
| 項目 | 内容 |
|---|---|
| 仕組み | SMSで6桁のコードを受信 |
| 必要なもの | 電話番号(SIM) |
| オフライン | ×(携帯電波が必要) |
| セキュリティ | △(SIMスワップ攻撃のリスク) |
| 使いやすさ | ◎ |
3. セキュリティキー(FIDO2/WebAuthn)
| 項目 | 内容 |
|---|---|
| 仕組み | 物理的なUSBキーをタッチ |
| 必要なもの | YubiKey等のハードウェアキー |
| オフライン | ○ |
| セキュリティ | ◎◎(最も安全) |
| 使いやすさ | ○ |
4. パスキー(Passkeys)
| 項目 | 内容 |
|---|---|
| 仕組み | 生体認証(指紋/顔)でログイン |
| 必要なもの | 対応デバイス |
| オフライン | ○ |
| セキュリティ | ◎◎ |
| 使いやすさ | ◎◎(パスワード不要) |
比較表
| 方式 | セキュリティ | 使いやすさ | コスト | フィッシング耐性 |
|---|---|---|---|---|
| SMS | ★★☆ | ★★★ | 無料 | × |
| TOTP | ★★★ | ★★☆ | 無料 | × |
| セキュリティキー | ★★★ | ★★☆ | 有料(3,000〜8,000円) | ◎ |
| パスキー | ★★★ | ★★★ | 無料 | ◎ |
おすすめの認証アプリ
主要な認証アプリの比較
| アプリ | OS | バックアップ | クラウド同期 | 無料 |
|---|---|---|---|---|
| Google Authenticator | iOS/Android | ○ | ○(Google) | ○ |
| Microsoft Authenticator | iOS/Android | ○ | ○(Microsoft) | ○ |
| Authy | iOS/Android/デスクトップ | ○ | ○(独自) | ○ |
| 1Password | 全プラットフォーム | ○ | ○ | 有料 |
| Bitwarden | 全プラットフォーム | ○ | ○ | 無料/有料 |
おすすめの選び方
- 手軽に始めたい → Google Authenticator
- デバイス間で同期したい → Authy or 1Password
- パスワードマネージャーと統合 → 1Password or Bitwarden
主要サービスでの2FA設定手順
Google アカウント
- Googleアカウントのセキュリティ設定にアクセス
- 「2段階認証プロセス」をクリック
- 「使ってみる」をクリック
- 電話番号を入力(SMS認証の設定)
- 認証アプリの設定: 「認証システムアプリ」→「設定」
- QRコードを認証アプリでスキャン
- 表示された6桁のコードを入力して完了
GitHub
- Settings → Password and authentication
- 「Enable two-factor authentication」をクリック
- 認証アプリでQRコードをスキャン
- 6桁のコードを入力
- リカバリーコードを必ず保存
Amazon
- アカウント&リスト → ログインとセキュリティ
- 「2段階認証の設定」→「開始する」
- 認証アプリまたはSMSを選択
- QRコードをスキャンまたは電話番号を入力
- コードを入力して完了
X(Twitter)
- 設定 → セキュリティとアカウントアクセス → セキュリティ
- 「2要素認証」をタップ
- 「認証アプリ」を選択
- QRコードをスキャン
- コードを入力して完了
バックアップとリカバリー
リカバリーコードを保存する
ほとんどのサービスは、2FA設定時にリカバリーコードを発行します。これはスマホを紛失した場合の緊急アクセス手段です。
保存場所の推奨
| 保存方法 | セキュリティ | 利便性 |
|---|---|---|
| パスワードマネージャー | ◎ | ◎ |
| 印刷して金庫に保管 | ◎ | △ |
| 暗号化USBメモリ | ○ | △ |
| メモ帳にそのまま保存 | × | ◎ |
リカバリーコードは必ず安全な場所に保存してください。 スマホを紛失し、リカバリーコードもない場合、アカウントへのアクセスが非常に困難になります。
認証アプリのバックアップ
Google Authenticator
- Googleアカウントへの同期機能あり(設定から有効化)
- 「アカウントのエクスポート」でQRコードとして移行可能
Authy
- クラウドバックアップが標準搭載
- 複数デバイスで同期可能
- マスターパスワードで暗号化
スマホ機種変更時の手順
- 新しいスマホに認証アプリをインストール
- クラウド同期で自動移行(対応アプリの場合)
- またはエクスポート/インポートで手動移行
- 各サービスで2FAを再設定(最も確実)
- 古いスマホの認証アプリを削除
よくある質問
Q: SMSの2FAは危険?
SMSのみの2FAにはSIMスワップ攻撃のリスクがありますが、2FAなしよりは圧倒的に安全です。可能であればTOTPやセキュリティキーに移行しましょう。
Q: 2FAを設定するとログインが面倒?
初回やデバイス変更時のみ2FA認証が求められます。多くのサービスでは「このデバイスを信頼する」をチェックすれば、同じデバイスからは一定期間2FAをスキップできます。
Q: パスキーがあれば2FAは不要?
パスキーは所持要素(デバイス)と生体要素(指紋/顔)を組み合わせた認証方式のため、それ自体が多要素認証です。パスキーに対応したサービスでは、従来の2FAは不要になります。
Q: 認証アプリを2つのスマホに入れてもいい?
QRコードスキャン時に2台のスマホで同時にスキャンすれば、両方で同じコードが生成されます。バックアップとして有効ですが、セキュリティリスクも増えるため管理には注意しましょう。
2FA導入の優先順位
すべてのサービスに一度に設定するのは大変です。以下の優先順位で設定しましょう。
| 優先度 | サービス | 理由 |
|---|---|---|
| 最優先 | メール(Gmail等) | 他のサービスのパスワードリセットに使われる |
| 最優先 | パスワードマネージャー | すべてのパスワードを管理 |
| 高 | 銀行・金融サービス | 直接的な金銭被害 |
| 高 | SNS(Twitter, Instagram等) | なりすまし被害 |
| 中 | ECサイト(Amazon等) | クレジットカード情報 |
| 中 | クラウドストレージ | 個人データの保護 |
まとめ
- 2FAは必ず設定する — パスワードだけの認証は危険
- TOTP認証アプリがおすすめ — SMS より安全、手軽に使える
- リカバリーコードを必ず保存 — スマホ紛失時の命綱
- パスキーが使えるなら最優先 — 最も安全で使いやすい
- メールとパスワードマネージャーから始める — 最も重要なアカウントを先に保護
強力なパスワードの生成には Assistyのパスワード生成ツール をご活用ください。2FAと組み合わせることで、アカウントのセキュリティが大幅に向上します。