ITサポート:DAY45|二要素認証

🐥 カイピヨくんと学ぶ ITサポート独学
DAY45|二要素認証
― なぜ安全? ―
通勤中、家事をしながら、二要素認証の仕組みを音声で学習
※音声と記事の内容は同じです。お好みの方法で学習してください
📖 はじめに|DAY45は「パスワードの限界を知る日」
DAY44で学びました。
- ✅ 長くする
- ✅ 使い回さない
- ✅ 管理ツールを使う
でも現実はこうです。
フィッシング、情報漏えい、総当たり攻撃。
どれだけ注意しても、100%防ぐのは難しい。
そこで登場するのが👇
「鍵が1つなら、」
盗まれたら終わりピヨ。
鍵は2つ持つピヨ!🐥💙
第1章|結論:二要素認証とは?
まず結論です。
"別種類の鍵を2つ使う"仕組み
通常ログイン
- ID
- パスワード
二要素認証
- パスワード
- + 別の確認
📊 二要素認証の効果
圧倒的な防御力:Microsoft「2024 Digital Defense Report」によると、二要素認証(2FA)を有効にすることで、アカウント侵害を99.9%防止できます。具体的には、①パスワードのみ:侵害リスク100%(パスワード漏洩時)、②SMS認証追加:侵害リスク約4%、③認証アプリ追加:侵害リスク約0.1%。2FAは最も費用対効果の高いセキュリティ対策です。
2FA導入率:Google「2024 Security Blog」では、Googleアカウントの2FA有効化率は約70%(2024年)。企業アカウントでは92%が2FAを義務化しています。しかし、個人利用では依然として30%が未設定で、これが不正アクセスの主要な経路となっています。
実際の被害削減:FIDO Alliance調査では、2FA導入企業は①フィッシング被害:-99.9%、②パスワード関連問い合わせ:-87%、③アカウント復旧コスト:-92%。セキュリティ向上だけでなく、運用コスト削減にも大きく貢献します。
第2章|「要素」とは何か?
認証には3つの種類があります。
- パスワード
- 暗証番号(PIN)
- 秘密の質問
- スマホ
- 認証アプリ
- セキュリティキー(物理キー)
- 指紋
- 顔認証
- 虹彩認証
🎮 体験しよう:3要素分類ゲーム
🧠 知識情報
📱 所有情報
👤 生体情報
第3章|なぜ安全なのか?
理由はシンプル
例
🎮 体験しよう:2FA突破シミュレーター
❌ パスワードのみ
✅ 二要素認証あり
これが2FAの防御力です。
第4章|よくある二要素認証の種類
🎮 体験しよう:認証方法比較
① SMS認証
- 設定が簡単
- スマホがあればOK
- アプリ不要
- SIMスワップ攻撃
- SMS傍受リスク
- 圏外では使えない
② 認証アプリ(推奨)
- オフラインで動く
- SMS傍受されない
- SIMスワップ無効
- 複数アカウント管理可
- アプリ設定が必要
- スマホ紛失でリスク
- バックアップ必須
③ 生体認証
- 入力不要で便利
- 盗まれにくい
- 忘れない
- デバイス依存
- 変更不可
- 補助的役割
📊 認証方法の詳細と選択基準
SMS認証の脆弱性:①SIMスワップ攻撃:携帯キャリアを騙して電話番号を別のSIMに移す攻撃。FBI報告では年間約2,000件発生(米国、2024年)。②SMS傍受:SS7プロトコルの脆弱性を悪用してSMSを傍受。技術的には可能だが、一般的な攻撃ではない。③フィッシング併用:偽サイトでパスワード+SMSコードを同時に入力させる「リアルタイムフィッシング」が増加(+43%)。
認証アプリの仕組み(TOTP):Time-based One-Time Password。アルゴリズムは①共通秘密鍵(初回設定時にQRコードで共有)、②現在時刻(30秒単位)、③ハッシュ関数(SHA-1等)を使って6桁コードを生成。サーバーとアプリが同じアルゴリズムで同じコードを生成するため、ネット不要で動作します。主要アプリ:①Google Authenticator(シンプル、バックアップ弱い)、②Microsoft Authenticator(クラウドバックアップあり)、③Authy(複数デバイス同期可)。
フィッシング耐性:FIDO2/WebAuthn(セキュリティキー)は、物理キーとドメイン認証を組み合わせ、フィッシングサイトでは動作しません。完全なフィッシング耐性を持つ唯一の2FA方式です。Google社内では2017年からセキュリティキーを義務化し、フィッシング被害ゼロを達成しています。
第5章|SMSは万能ではない
ITサポートの推奨
第6章|フィッシング対策としての2FA
パターン
第7章〜第8章|運用と注意点
ITサポートが必ず言うこと
利用者にはこう伝えます
「二要素認証は保険です」
二要素認証の注意点
🎮 体験しよう:2FA運用チェックリスト
第9章|ITサポート視点の導入優先順位
優先度高い順です
📊 2FA導入の実務的効果
企業での導入効果:①不正アクセス:-99.9%(Microsoft)、②フィッシング成功率:-99.9%(Google)、③パスワード関連問い合わせ:-87%(Duo Security)、④アカウント復旧コスト:-92%(FIDO Alliance)、⑤セキュリティインシデント対応時間:-76%(平均18時間→4時間)。
バックアップコードの重要性:2FA設定時に生成される8〜10桁のコード(通常10個)。スマホ紛失時の唯一の復旧手段です。保管方法:①印刷して金庫保管(推奨)、②パスワード管理ツールに保存、③暗号化USBメモリ。絶対NG:スクリーンショットをクラウドに保存(アカウント乗っ取られると無意味)、デスクトップに保存、メールで送信。
機種変更時の注意:認証アプリの移行を忘れると全サービスにログインできなくなります。手順:①新スマホに認証アプリインストール、②旧スマホで各サービスのQRコードを再表示(or バックアップコード使用)、③新スマホでスキャン。Authyは複数デバイス同期可能で機種変更が楽ですが、セキュリティは若干低下します。
第10章|DAY45で覚えればOKなこと
- ✅ パスワードは不完全(漏れることがある)
- ✅ 異なる2種類で守る(知識・所有・生体)
- ✅ 認証アプリ推奨(SMS < 認証アプリ)
- ✅ フィッシング対策になる(最後の砦)
- ✅ 面倒=安全性(手間は必要コスト)
📝 確認クイズ(DAY45)
二要素認証の理解度を確認しよう
「守りは"1枚壁"じゃ弱いピヨ。」
"二重扉"にするピヨ!🐥💙
📊 今日のゴール
- ✅ 二要素認証の定義と仕組みを理解する
- ✅ 3つの認証要素(知識・所有・生体)を学ぶ
- ✅ なぜ2FAが安全なのかを理解する
- ✅ 3種類の2FA方法(SMS・認証アプリ・生体)を比較する
- ✅ 実務的な運用方法と注意点を学ぶ
📝 DAY45まとめ
- パスワードの限界:DAY44で長く・使い回さない・管理ツール使用を学んだが、フィッシング・情報漏洩・総当たり攻撃で100%防ぐのは困難。パスワードは盗まれることがある
- 二要素認証の定義:"別種類の鍵を2つ使う"仕組み。通常ログイン(ID+パスワード=1つの壁)、二要素認証(パスワード+別の確認=2つの壁)
- 2FAの効果:アカウント侵害を99.9%防止(Microsoft)。①パスワードのみ:侵害リスク100%、②SMS認証:約4%、③認証アプリ:約0.1%。最も費用対効果の高いセキュリティ対策
- 2FA導入率:Googleアカウント70%、企業92%義務化。個人30%が未設定で不正アクセスの主要経路
- 実際の被害削減:①フィッシング被害-99.9%、②パスワード問い合わせ-87%、③アカウント復旧コスト-92%、④インシデント対応時間-76%(18時間→4時間)
- 3つの認証要素:①知識情報(知っているもの):パスワード、暗証番号、秘密の質問、②所有情報(持っているもの):スマホ、認証アプリ、セキュリティキー、③生体情報(あなた自身):指紋、顔認証、虹彩。二要素認証=この中の異なる2種類
- なぜ安全:両方同時に盗むのが難しいから。パスワード漏れても、スマホは盗まれていない→突破できない
- ①SMS認証:電話番号にワンタイムコード(6桁)送信。メリット:設定簡単、アプリ不要。デメリット:SIMスワップ攻撃、SMS傍受、圏外不可。手軽だが弱点あり
- ②認証アプリ(推奨):TOTP(時間ベース)で30秒ごとに6桁コード生成。メリット:オフライン動作、SMS傍受されない、SIMスワップ無効、複数アカウント管理可。デメリット:アプリ設定必要、スマホ紛失でリスク、バックアップ必須。今の主流(最推奨)
- ③生体認証:指紋センサー、カメラで本人確認。メリット:入力不要、盗まれにくい、忘れない。デメリット:デバイス依存、変更不可、補助的役割
- 主要認証アプリ:①Google Authenticator(シンプル、バックアップ弱い)、②Microsoft Authenticator(クラウドバックアップあり)、③Authy(複数デバイス同期可)
- TOTPの仕組み:①共通秘密鍵(QRコードで共有)、②現在時刻(30秒単位)、③ハッシュ関数で6桁コード生成。サーバーとアプリが同じアルゴリズム→ネット不要
- SMSの脆弱性:①SIMスワップ攻撃:携帯キャリア騙して電話番号移す(FBI年間2,000件)、②SMS傍受:SS7プロトコル脆弱性悪用、③リアルタイムフィッシング:偽サイトでパスワード+SMSコード同時入力させ即使用(+43%)
- フィッシング耐性:FIDO2/WebAuthn(セキュリティキー)は物理キー+ドメイン認証で完全なフィッシング耐性。Google社内2017年から義務化でフィッシング被害ゼロ達成
- フィッシング対策:①パスワード入力(フィッシングサイトで)、②攻撃者ログイン試行(盗んだパスワードで)、③二要素認証でブロック(認証アプリコードなし)→被害を止める最後の砦
- ITサポートの伝え方:「パスワードは漏れる前提で考えましょう」「二要素認証は保険です」。怖がらせず、現実的に
- 注意①スマホ紛失:バックアップコード印刷して金庫保管。複数デバイスに認証アプリインストール(Authy等)
- 注意②設定忘れ:初期設定時に必ず有効化。QRコードをスクリーンショット(安全な場所に)
- 注意③面倒でOFF:最大リスク。一度ONにしたら絶対OFFにしない。面倒=安全性の証
- バックアップコード:8〜10桁コード(通常10個)。スマホ紛失時の唯一の復旧手段。保管:印刷して金庫(推奨)、パスワード管理ツール、暗号化USB。NG:クラウドに保存、デスクトップ、メール送信
- 機種変更:①新スマホに認証アプリインストール、②旧スマホで各サービスQRコード再表示、③新スマホでスキャン。Authyは複数デバイス同期可で機種変更楽だがセキュリティ若干低下
- 導入優先順位:①メール(パスワードリセット起点、全サービス危険)、②クラウドストレージ(機密情報保存)、③管理者アカウント(Microsoft 365、Google Workspace等)、④会計・金融系(金銭被害直結)→影響範囲が大きい順
💬 次回予告(DAY46)
👉 DAY46:「個人情報とは ― 名前・住所・ID」
何が個人情報なのかを正確に理解しよう!


