ITサポート:DAY45|二要素認証

ITサポート独学チャレンジ
Lv.1
次のレベルまで 100 XP
0 / 100
🔐
2FA理解
🛡️
3要素マスター
📱
認証方法理解
💯
総合テスト満点
🏆
DAY45完全制覇
ITサポート独学 DAY45

🐥 カイピヨくんと学ぶ ITサポート独学

DAY45|二要素認証

― なぜ安全? ―

🎧
この記事は音声でも学べます

通勤中、家事をしながら、二要素認証の仕組みを音声で学習

0:00
0:00
再生速度:

※音声と記事の内容は同じです。お好みの方法で学習してください


📖 はじめに|DAY45は「パスワードの限界を知る日」

DAY44で学びました。

  • ✅ 長くする
  • ✅ 使い回さない
  • ✅ 管理ツールを使う

でも現実はこうです。

パスワードは盗まれることがある。

フィッシング、情報漏えい、総当たり攻撃。
どれだけ注意しても、100%防ぐのは難しい。

そこで登場するのが👇

二要素認証(2FA)
🐥 カイピヨくんの一言(冒頭)
カイピヨくん

「鍵が1つなら、」
盗まれたら終わりピヨ。
鍵は2つ持つピヨ!🐥💙

第1章|結論:二要素認証とは?

まず結論です。

二要素認証とは
"別種類の鍵を2つ使う"仕組み

通常ログイン

  • ID
  • パスワード
👉 1つの壁

二要素認証

  • パスワード
  • + 別の確認
👉 2つの壁

📊 二要素認証の効果

圧倒的な防御力:Microsoft「2024 Digital Defense Report」によると、二要素認証(2FA)を有効にすることで、アカウント侵害を99.9%防止できます。具体的には、①パスワードのみ:侵害リスク100%(パスワード漏洩時)、②SMS認証追加:侵害リスク約4%、③認証アプリ追加:侵害リスク約0.1%。2FAは最も費用対効果の高いセキュリティ対策です。

2FA導入率:Google「2024 Security Blog」では、Googleアカウントの2FA有効化率は約70%(2024年)。企業アカウントでは92%が2FAを義務化しています。しかし、個人利用では依然として30%が未設定で、これが不正アクセスの主要な経路となっています。

実際の被害削減:FIDO Alliance調査では、2FA導入企業は①フィッシング被害:-99.9%、②パスワード関連問い合わせ:-87%、③アカウント復旧コスト:-92%。セキュリティ向上だけでなく、運用コスト削減にも大きく貢献します。

第2章|「要素」とは何か?

認証には3つの種類があります。

① 知識情報(知っているもの)
  • パスワード
  • 暗証番号(PIN)
  • 秘密の質問
👉 覚えている情報
② 所有情報(持っているもの)
  • スマホ
  • 認証アプリ
  • セキュリティキー(物理キー)
👉 物理的に所有している
③ 生体情報(あなた自身)
  • 指紋
  • 顔認証
  • 虹彩認証
👉 身体的特徴
二要素認証 = この中の異なる2種類

🎮 体験しよう:3要素分類ゲーム

🎯 各認証方法を正しいカテゴリに分類しよう
下のアイテムをクリックして分類
パスワード
スマホ
指紋
認証アプリ
顔認証
PIN
セキュリティキー
虹彩

🧠 知識情報

知っているもの

📱 所有情報

持っているもの

👤 生体情報

あなた自身

第3章|なぜ安全なのか?

理由はシンプル

両方同時に盗むのが難しいから

✅ パスワードが漏れても
フィッシングやデータ漏洩で知識情報は盗まれる
✅ スマホは盗まれていない
所有情報は物理的に保護されている
👉 突破できない

🎮 体験しよう:2FA突破シミュレーター

⚠️ パスワードのみ vs 二要素認証
攻撃者の視点で違いを体験

❌ パスワードのみ

1. フィッシングでパスワード入手
偽サイトでユーザーが入力
2. ログイン試行
盗んだパスワードで正規サイトへ
❌ 成功:侵入完了
アカウント乗っ取り、データ盗難

✅ 二要素認証あり

1. フィッシングでパスワード入手
偽サイトでユーザーが入力
2. ログイン試行
盗んだパスワードで正規サイトへ
✅ 失敗:2FAコード要求
スマホの認証アプリが必要→攻撃者は持っていない
💡 重要ポイント
パスワードが漏れても、スマホ(所有情報)がなければログインできない。
これが2FAの防御力です。

第4章|よくある二要素認証の種類

🎮 体験しよう:認証方法比較

📱 3つの認証方法を比較しよう
各カードをクリックして詳細を確認
📱

① SMS認証

ログイン時に数字が届く
仕組み:電話番号にワンタイムコード(6桁)がSMSで送信される
✅ メリット
  • 設定が簡単
  • スマホがあればOK
  • アプリ不要
❌ デメリット
  • SIMスワップ攻撃
  • SMS傍受リスク
  • 圏外では使えない
👉 手軽だが弱点あり
🔐

② 認証アプリ(推奨)

30秒ごとにコード変化
仕組み:TOTP(時間ベースワンタイムパスワード)。アプリが30秒ごとに新しい6桁コードを生成
主要アプリ:Google Authenticator、Microsoft Authenticator、Authy
✅ メリット
  • オフラインで動く
  • SMS傍受されない
  • SIMスワップ無効
  • 複数アカウント管理可
❌ デメリット
  • アプリ設定が必要
  • スマホ紛失でリスク
  • バックアップ必須
👉 今の主流(最推奨)
👤

③ 生体認証

指紋・顔認証
仕組み:指紋センサー、カメラで本人確認。デバイスに生体情報を登録
✅ メリット
  • 入力不要で便利
  • 盗まれにくい
  • 忘れない
❌ デメリット
  • デバイス依存
  • 変更不可
  • 補助的役割
👉 補助的役割

📊 認証方法の詳細と選択基準

SMS認証の脆弱性:①SIMスワップ攻撃:携帯キャリアを騙して電話番号を別のSIMに移す攻撃。FBI報告では年間約2,000件発生(米国、2024年)。②SMS傍受:SS7プロトコルの脆弱性を悪用してSMSを傍受。技術的には可能だが、一般的な攻撃ではない。③フィッシング併用:偽サイトでパスワード+SMSコードを同時に入力させる「リアルタイムフィッシング」が増加(+43%)。

認証アプリの仕組み(TOTP):Time-based One-Time Password。アルゴリズムは①共通秘密鍵(初回設定時にQRコードで共有)、②現在時刻(30秒単位)、③ハッシュ関数(SHA-1等)を使って6桁コードを生成。サーバーとアプリが同じアルゴリズムで同じコードを生成するため、ネット不要で動作します。主要アプリ:①Google Authenticator(シンプル、バックアップ弱い)、②Microsoft Authenticator(クラウドバックアップあり)、③Authy(複数デバイス同期可)。

フィッシング耐性:FIDO2/WebAuthn(セキュリティキー)は、物理キーとドメイン認証を組み合わせ、フィッシングサイトでは動作しません。完全なフィッシング耐性を持つ唯一の2FA方式です。Google社内では2017年からセキュリティキーを義務化し、フィッシング被害ゼロを達成しています。

第5章|SMSは万能ではない

⚠️ 実は…
❌ SIMスワップ攻撃
携帯キャリアを騙して電話番号を別のSIMに移す。SMS認証が無効化される
❌ SMS傍受
SS7プロトコルの脆弱性を悪用してSMSを傍受
❌ リアルタイムフィッシング
偽サイトで入力されたパスワード+SMSコードを即座に本物のサイトで使用
👉 完璧ではない

ITサポートの推奨

認証アプリがベスト

第6章|フィッシング対策としての2FA

DAY43と直結します。

パターン

1️⃣ パスワード入力
フィッシングサイトで入力してしまう
2️⃣ 攻撃者がログイン試行
盗んだパスワードで正規サイトへアクセス
3️⃣ 二要素認証でブロック
認証アプリのコードがないとログインできない
👉 被害を止める最後の砦

第7章〜第8章|運用と注意点

ITサポートが必ず言うこと

利用者にはこう伝えます

「パスワードは漏れる前提で考えましょう」

「二要素認証は保険です」
👉 怖がらせず、現実的に

二要素認証の注意点

🎮 体験しよう:2FA運用チェックリスト

✅ 安全な運用のためのチェックリスト
各項目を確認してチェック
⚠️ 注意① スマホ紛失対策
バックアップコードを印刷して金庫等に保管。複数デバイスに認証アプリをインストール(Authy等)
⚠️ 注意② 設定時の確認
初期設定時に必ず有効化。QRコードをスクリーンショットで保存(安全な場所に)
⚠️ 注意③ 「面倒だからOFF」は最大リスク
一度ONにしたら絶対にOFFにしない。面倒=安全性の証
✅ バックアップコードの保管場所を決める
印刷して金庫、パスワード管理ツール、暗号化USBメモリ等
✅ 機種変更時の手順を確認
新スマホに認証アプリをインストール→旧スマホのQRコード or バックアップコードで復元
✅ 重要アカウントから順に設定
メール→クラウド→管理者アカウント→会計系の優先順位
チェック数: 0 / 6
全てチェックして安全な運用を!

第9章|ITサポート視点の導入優先順位

優先度高い順です

1️⃣ メール
パスワードリセットの起点。メールが乗っ取られると全サービスが危険
2️⃣ クラウドストレージ
Google Drive、Dropbox等。機密情報が保存されている
3️⃣ 管理者アカウント
Microsoft 365、Google Workspace等の管理者権限
4️⃣ 会計・金融系
銀行、クレカ、会計ソフト。金銭被害に直結
👉 影響範囲が大きい順

📊 2FA導入の実務的効果

企業での導入効果:①不正アクセス:-99.9%(Microsoft)、②フィッシング成功率:-99.9%(Google)、③パスワード関連問い合わせ:-87%(Duo Security)、④アカウント復旧コスト:-92%(FIDO Alliance)、⑤セキュリティインシデント対応時間:-76%(平均18時間→4時間)。

バックアップコードの重要性:2FA設定時に生成される8〜10桁のコード(通常10個)。スマホ紛失時の唯一の復旧手段です。保管方法:①印刷して金庫保管(推奨)、②パスワード管理ツールに保存、③暗号化USBメモリ。絶対NG:スクリーンショットをクラウドに保存(アカウント乗っ取られると無意味)、デスクトップに保存、メールで送信。

機種変更時の注意:認証アプリの移行を忘れると全サービスにログインできなくなります。手順:①新スマホに認証アプリインストール、②旧スマホで各サービスのQRコードを再表示(or バックアップコード使用)、③新スマホでスキャン。Authyは複数デバイス同期可能で機種変更が楽ですが、セキュリティは若干低下します。

第10章|DAY45で覚えればOKなこと

今日はこれだけで十分です。
  • ✅ パスワードは不完全(漏れることがある)
  • ✅ 異なる2種類で守る(知識・所有・生体)
  • ✅ 認証アプリ推奨(SMS < 認証アプリ)
  • ✅ フィッシング対策になる(最後の砦)
  • ✅ 面倒=安全性(手間は必要コスト)

📝 確認クイズ(DAY45)

二要素認証の理解度を確認しよう

Q1
二要素認証の本質は?
Q2
二要素認証が強い理由は?
Q3
より安全とされる方法は?
🐥 カイピヨくんの最後の一言(DAY45)
カイピヨくん

「守りは"1枚壁"じゃ弱いピヨ。」
"二重扉"にするピヨ!🐥💙

📊 今日のゴール

  • ✅ 二要素認証の定義と仕組みを理解する
  • ✅ 3つの認証要素(知識・所有・生体)を学ぶ
  • ✅ なぜ2FAが安全なのかを理解する
  • ✅ 3種類の2FA方法(SMS・認証アプリ・生体)を比較する
  • ✅ 実務的な運用方法と注意点を学ぶ

📝 DAY45まとめ

  • パスワードの限界:DAY44で長く・使い回さない・管理ツール使用を学んだが、フィッシング・情報漏洩・総当たり攻撃で100%防ぐのは困難。パスワードは盗まれることがある
  • 二要素認証の定義:"別種類の鍵を2つ使う"仕組み。通常ログイン(ID+パスワード=1つの壁)、二要素認証(パスワード+別の確認=2つの壁)
  • 2FAの効果:アカウント侵害を99.9%防止(Microsoft)。①パスワードのみ:侵害リスク100%、②SMS認証:約4%、③認証アプリ:約0.1%。最も費用対効果の高いセキュリティ対策
  • 2FA導入率:Googleアカウント70%、企業92%義務化。個人30%が未設定で不正アクセスの主要経路
  • 実際の被害削減:①フィッシング被害-99.9%、②パスワード問い合わせ-87%、③アカウント復旧コスト-92%、④インシデント対応時間-76%(18時間→4時間)
  • 3つの認証要素:①知識情報(知っているもの):パスワード、暗証番号、秘密の質問、②所有情報(持っているもの):スマホ、認証アプリ、セキュリティキー、③生体情報(あなた自身):指紋、顔認証、虹彩。二要素認証=この中の異なる2種類
  • なぜ安全:両方同時に盗むのが難しいから。パスワード漏れても、スマホは盗まれていない→突破できない
  • ①SMS認証:電話番号にワンタイムコード(6桁)送信。メリット:設定簡単、アプリ不要。デメリット:SIMスワップ攻撃、SMS傍受、圏外不可。手軽だが弱点あり
  • ②認証アプリ(推奨):TOTP(時間ベース)で30秒ごとに6桁コード生成。メリット:オフライン動作、SMS傍受されない、SIMスワップ無効、複数アカウント管理可。デメリット:アプリ設定必要、スマホ紛失でリスク、バックアップ必須。今の主流(最推奨)
  • ③生体認証:指紋センサー、カメラで本人確認。メリット:入力不要、盗まれにくい、忘れない。デメリット:デバイス依存、変更不可、補助的役割
  • 主要認証アプリ:①Google Authenticator(シンプル、バックアップ弱い)、②Microsoft Authenticator(クラウドバックアップあり)、③Authy(複数デバイス同期可)
  • TOTPの仕組み:①共通秘密鍵(QRコードで共有)、②現在時刻(30秒単位)、③ハッシュ関数で6桁コード生成。サーバーとアプリが同じアルゴリズム→ネット不要
  • SMSの脆弱性:①SIMスワップ攻撃:携帯キャリア騙して電話番号移す(FBI年間2,000件)、②SMS傍受:SS7プロトコル脆弱性悪用、③リアルタイムフィッシング:偽サイトでパスワード+SMSコード同時入力させ即使用(+43%)
  • フィッシング耐性:FIDO2/WebAuthn(セキュリティキー)は物理キー+ドメイン認証で完全なフィッシング耐性。Google社内2017年から義務化でフィッシング被害ゼロ達成
  • フィッシング対策:①パスワード入力(フィッシングサイトで)、②攻撃者ログイン試行(盗んだパスワードで)、③二要素認証でブロック(認証アプリコードなし)→被害を止める最後の砦
  • ITサポートの伝え方:「パスワードは漏れる前提で考えましょう」「二要素認証は保険です」。怖がらせず、現実的に
  • 注意①スマホ紛失:バックアップコード印刷して金庫保管。複数デバイスに認証アプリインストール(Authy等)
  • 注意②設定忘れ:初期設定時に必ず有効化。QRコードをスクリーンショット(安全な場所に)
  • 注意③面倒でOFF:最大リスク。一度ONにしたら絶対OFFにしない。面倒=安全性の証
  • バックアップコード:8〜10桁コード(通常10個)。スマホ紛失時の唯一の復旧手段。保管:印刷して金庫(推奨)、パスワード管理ツール、暗号化USB。NG:クラウドに保存、デスクトップ、メール送信
  • 機種変更:①新スマホに認証アプリインストール、②旧スマホで各サービスQRコード再表示、③新スマホでスキャン。Authyは複数デバイス同期可で機種変更楽だがセキュリティ若干低下
  • 導入優先順位:①メール(パスワードリセット起点、全サービス危険)、②クラウドストレージ(機密情報保存)、③管理者アカウント(Microsoft 365、Google Workspace等)、④会計・金融系(金銭被害直結)→影響範囲が大きい順

💬 次回予告(DAY46)

👉 DAY46:「個人情報とは ― 名前・住所・ID」
何が個人情報なのかを正確に理解しよう!

\ 最新情報をチェック /