IT管理術

2段階認証アプリ「更新していないアプリは危険!」IT管理プロのおすすめ

2020年12月28日

パスワードだけでなく、複数要素でログインするための認証アプリって、どうやって選べばいいでしょうか?

認証アプリ「選ぶポイント」「おすすめ認証アプリ」の順に、IT管理15年プロの観点で説明しています。

この記事の筆者はこんな人

  • IT管理15年、管理のプロ
  • ITIL、情報セキュリティ資格所持
  • IT活用した課題解決のベテラン

※はじめに「2段階認証」の表記について

当記事は、幅広く使われている用語「2段階認証」の表記で統一しています。

認証要素って何?という方はこちらをCHECK

2段階、2要素、多要素の違いとは?IT管理プロが解説

続きを見る

2段階認証とは?

サービスにログインするとき、IDパスワード入力の後に別の要素で認証を行うことを示します。

2段階認証ログインの流れ

  • IDとパスワードを入力し[ログイン]ボタンを押す
  • 次の画面で「6ケタの数字を入力してください」が表示される
  • スマホの2段階認証アプリを開きコードを控える
  • 上記2の画面に戻り、2段階認証アプリのコードを入力する
  • ログイン完了

サービスを利用するに際し、”パスワードのみの認証は危険”という考えが、ようやく定着してきたように見受けられます。

2段階認証は、第三者の不正ログインから個人情報を守る”最後の砦(とりで)”です。

2段階認証アプリ選び5つのポイント

使い勝手以前、最低限クリアしておくポイントを説明していきます。

1.2段階認証アプリに脆弱性がないか

セキュリティ強化のアプリに脆弱性があっては、元も子もありませんよね。

 筆者は使用するアプリに脆弱性がないか、必ずチェックしています。

JVN iPedia/脆弱性対策情報データベース検索

セキュリティ系アプリを使い始める際は、脆弱性がないか?IPAサイトのセキュリティデータベースで検索し、「安全性」をチェックするようにしましょう。

2.2段階認証アプリの提供元の信頼性

アプリの開発、提供元をチェックします。

避けるべきセキュリティアプリ

  • 個人が開発しているアプリ
  • 社名で検索しても実績がない

上記理由として、ブラウザーアドオンのセキュリティ事案をもとに説明していきます。

ChromeとEdgeのアドオン28種に個人情報漏洩マルウェア、世界300万人が感染との報告

出所:avast社ニュース 2020年12月16日

avast社の見解として、マルウェアが組み込まれた理由を次のように語っています。

  • 開発者により意図的に組み込まれた
  • アドオンの脆弱性をついて組み込まれた
  • 開発者がアドオンを"悪意ある第三者に売った"

スマホのアプリにも同じです。

どこの誰が開発したのかわからないアプリ、何か仕込まれていたとしても気づきませんよね?

2段階認証アプリ以外でも同様です。

使用するアプリの開発者は誰なのか?

必ず確認するようにしましょう。

3.2段階認証アプリ「更新履歴」もチェック

セキュリティ関連アプリは、時局に沿ったアップデートが必要です。

なぜなら、不正を働くハッカーの技術スキルも日進月歩にアップデートされていくからです。

例えば、アプリに脆弱性が発見されハッキングされた場合、「アプリの乗っ取り」だけでは済みません。

2段階認証コードをランダムに発行するアルゴリズムを盗まれ、解析されると、ダークウェブのような闇サイトで売買されるケースもあります。

ダークウェブとは?

「闇サイト」と訳され、個人情報やソフトウエアの脆弱性が取引されるサイトを指す。

参考:Wikipedia

4.2段階認証アプリの評価

アプリのダウンロード画面、使っている人の評価を「最新順」にしてチェックします。

ですが、主観的な評価も散見されるので、信ぴょう性に欠ける面もありますので、鵜吞みにせず「参考程度」に情報収集するようにしましょう。

自身の中で結論づけるため、SNS書き込みの感情分析機能を使い、ネガティブ/ポジティブな意見を客観視して判別するといった方法もありですね。

参考まで、下図は「Yahoo!リアルタイム検索」でGoogle Authenticatorを検索した結果です。

5.2段階認証アプリのバックアップ機能は必須

スマホの「故障、紛失、機種変更」など、2段階認証アプリの利用ができなくなると、

一生ログインできなくなるサービスもあります。

そのため、2段階認証アプリを使う場合、

”バックアップは必須”です。 

無料で使える2段階認証アプリおすすめ

ずらずらと列挙するまでもなく、1択ですね。

■Authy(オーシー)

Twilio Authy

Twilio Authy

Authy Inc.無料posted withアプリーチ

特徴・メリット

  • 複数スマホで共有できる
  • バックアップ機能あり
  • デバイスごとに使用を制限する機能あり

2段階認証をバックアップも併用し、家族で共有して使う

このような用途であれば、Authy一択でしょう。

共有なんてしても平気なの?

このような不安がある方、大丈夫です。

「利用デバイス」を制限する設定があります。

悪意ある第三者が使おうとしたところで、登録していないデバイスなのでAuthy使用できません。

表示が英語なので使いはじめに苦労するかもしれませんが、設定事例はネット上に多くあり、迷うことはないでしょう。

2段階認証&パスワードまとめて管理できるアプリ【有料】

有料ですが、2段階認証とパスワードをセットで管理できるアプリです。

生産性は格段にアップしますよ。

1.1Password

世界で40,000社以上の導入実績、1500万人以上のユーザーが使用しているパスワード管理アプリです。

1Passwordに関しては、別記事で紹介しています。

2.Bitwarden ※有料機能

パスワード管理サービスとしては後発型、いいトコどりなパスワード管理アプリです。

無料パスワード管理アプリ「Bitwarden」の使い方|IT管理プロが徹底解説

続きを見る

なお、パスワード管理アプリとしては無料で使えますが、2段階認証は有料機能です。

【参考価格】年間10ドル、2021年5月現在の日本円で「約1,090円」

2段階認証&パスワード管理アプリ|無料は「Microsoft Authenticator」

Microsoft Authenticator

Microsoft Authenticator

Microsoft Corporation無料posted withアプリーチ

  • Microsoftアカウントだとアプリ通知でサインインできる
  • バックアップ機能あり
  • パスワードも管理できる

言わずと知れた天下のMicrosoftの認証アプリです。なんと、パスワード管理機能もあります。

  使い勝手が悪い、デメリットとしては次の3点ですね。

  • アプリ内検索できない
  • 並び替えできない
  • 視認性が悪い
    →登録したサービスのアイコンで判断できないものがある

こんな方におすすめ

  • Microsoft 365アプリ全般をメインで使う方
  • 無料でパスワード&2段階認証の管理をはじめてみたい方
  • Microsoft Edgeブラウザーをメインで使っている方

Microsoftのクラウドサービスをメインで使っている方、Microsoft Authenticatorアプリをチラ見してみては如何でしょう。

Microsoft Authenticatorパスワード管理機能はコチラをCHECK!

Microsoft Authenticator(MS Auth)パスワード管理の使い方をIT管理プロが解説

続きを見る

2要素認証アプリ&パスワードを一緒に管理して

「2段階とパスワード一緒に管理するのって、どうなの?」

そう思われる方もいらっしゃるのではないでしょうか。

パスワード管理アプリのみにリスクを局所化、集中し管理することができます。

つまりは、アプリごとに脆弱性を気にする必要がなくなります。

そのため、IT管理プロ筆者の見解から

セキュリティ対策としてあり、おすすめできる方法だと思っています。

2段階認証アプリまとめ

2段階認証アプリと選び方の紹介でした。

どの認証アプリを使うか?お悩みの場合、

  • 複数デバイス、家族で共有して使う

 ➡「Authy」がおすすめ

  • Microsoftアカウントがメイン
  • パスワード管理もしたい

 ➡「Microsoft Authenticator」がおすすめ

因みに「Google Authenticator」ですが、2021年5月現在、次の理由で対象外としています。

  • バックアップ機能がない(移行機能で代替)
  • アプリ更新が停滞していること
  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-IT管理術