組織のオンライン セキュリティに関して、注意しすぎるということはありません。サイバー セキュリティの脅威は急速に増加しており、手口も巧妙化しています。米国企業の 4 社に 3 社が重大なサイバー攻撃のリスク(企業の財務状況に重大な影響を及ぼすインシデント)にさらされています。そのため、多くの企業は現状の情報セキュリティ対策に批判的な目を向けています。
何と言っても、企業のオンライン アカウントには、かなりの量の個人情報や財務情報、機密情報が保管されているので、データ漏洩が収益の損失につながることがよくあります。ほとんどの組織には、従業員が習慣づけることでサイバー セキュリティを全社的に向上できる簡単な手順が 1 つあります。それが 2 要素認証(2FA)です。

2 ファクタ認証の詳細
認証とは、コンピュータ システムやオンライン アカウントへのアクセスを確立するために、ユーザーの身元を確認するプロセスです。認証には、主に次の 3 つの要素が使われます。
- 知識要素(パスワードや暗証番号など、本人しか知らないもの)
- 所持要素(モバイル デバイスや ID カードなど、本人が持っているもの)
- 生体要素(指紋や声紋など、本人から切り離せないもの)
他にも「位置要素」や「時間要素」などがありますが、これらはあまり一般的ではありません。2 要素認証(2FA)とは、セキュリティ システムでこれらのうち 2 つの要素を使用することです。
つまり 2 要素認証とは、パスワードや暗証番号の上に重ねられた第 2 のセキュリティ層であると言えます。もし、パスワードを使ってログインした後に、モバイル デバイスに送られてくる数値コードを入力して身元を証明するように求められたことがあれば、あなたはすでに 2 要素認証に馴染みがあります。
もちろん、メールでコードを受け取るだけが 2 要素認証の方法ではなく、認証アプリ、プッシュ通知、ソフトウェア トークン、音声認証など、幅広い選択肢があります。しかし、ほとんどの場合、セキュリティ強化のために追加されるのは SMS メッセージでのコード送信のようです。
認証アプリとは
テキスト メッセージ、音声メッセージ、プッシュ通知など、ほとんどのタイプの 2 要素認証はよく知られているようですが、認証アプリについては少し馴染みが薄いかもしれません。実は、認証に使われるのは比較的シンプルなアプリです。
では、認証アプリとはどのようなものなのでしょうか。ひと言で言うと、ウェブサイトやアプリにログインする際に身元を確認するためのデジタル認証コードを生成するスマートフォンのアプリです。Google Authenticator、Duo Mobile など、さまざまな認証アプリがありますが、どれもほぼ同じ手順で利用できます。
一般に認証アプリは、SMS のテキスト メッセージでパスコードを受信するよりもやや安全な 2 段階認証の方法であると考えられています。それは、厳密に言えば、SMS メッセージはユーザーが所持するものではなく、送られてくるものだからです。
そのため、ハッカーが携帯通信事業者を騙してスマートフォンの電話番号を別のデバイスに移植できる可能性はわずかにあります(「SIM スワップ」と呼ばれる詐欺の一種)。仮にパスワードをあらかじめ入手していれば、これで攻撃者はユーザーのアカウントにアクセスできるようになります。これに対して、認証アプリの認証コードはとても早く期限切れとなり(通常は 20 秒から 30 秒後)、コードがアプリの外に漏れることはありません。
2 要素認証の仕組み
システム上で 2 要素認証を設定すれば、認証アプリ、プッシュ通知、SMS メッセージのどれを使用する場合でも、使用方法は比較的簡単です。ここでは、2 要素認証のプロセス自体を順に説明します。
- ユーザーがウェブサイトやアプリからログインを求められます。
- ユーザーはユーザー名とパスワードを入力し、最初のセキュリティ要素を満たします。
- サイトがユーザーを認識した後、ユーザーはログイン プロセスの 2 番目の手順を開始するように求められます。この段階で、ユーザーは ID カードやスマートフォンなどを持っていることを証明し、第 2 のセキュリティ要素である「所持」の要素を満たす必要があります。ほとんどの場合、ユーザーには、本人確認に 1 回だけ使用できるセキュリティ パスコードが送られてきます。
- 最後に、ユーザーはセキュリティ キーを入力し、サイトがキーを認証すればアクセスが許可されます。
2 ファクタ認証を使用する理由
ビジネスのファイルやコンテンツの保護は、いくら重要視しても、し過ぎることはありません。世界のサイバー犯罪の被害は、2029 年までに年間 15 兆 6300 億ドル前後に達すると推定されています。サイバー犯罪は、データの破壊や悪用、金銭の盗難、攻撃を受けた後の混乱、知的財産の盗難、生産性の損失などという犠牲を伴います。
さらに、ハッキングされたデータの復旧、フォレンジック調査、風評被害などに関連した費用が発生する可能性も考えておく必要があります。
脅威がますます巧妙になり、全世界で 2 要素認証が標準として実装されるようになると、2 要素認証を実装しない企業は、ハイエナのようなハッカーに対して弱みを見せたままにする危険を冒すことになります。車にはエアバッグが付いているからシート ベルトはしない、というようなものです。理屈の上では保護されていますが、可能な限りの保護が施されているとは到底言えません。
「強力な」パスワードに頼るべきではない理由
オンライン セキュリティに関して言えば、最も一般的な認証要素はユーザー名とパスワードの組み合わせです。つまり、ほとんどのシステムでは 1 要素認証しか利用していないということです。私たちは何十年もの間、情報セキュリティの標準としてパスワードに頼ってきましたが、ついにパスワードを完全に超える時がやって来ました。これにはいくつかの理由があります。
1. 人間は忘れてしまうもの
残念ながら、これは避けられない事実です。また、多くの場合私たちは、「password」、「12345」、「qwerty」など、滑稽なほど簡単に推測できるパスワードを選んでしまいます。
2. パスワードが最初に導入された頃よりも多くのオンライン アカウントを持つようになった
つまり、単にパスワードが多すぎて覚えられない場合が多くあります。それで「パスワードの使い回し」が起こる可能性があり、複数のアカウントで同じパスワードが使われているために、ハッカーがアクセスしやすくなります。
3. 一部のウェブサイトではセキュリティの質問が使用されている
「母親の旧姓は?」などの質問を 2 番目の要素として使っているウェブサイトもあります。しかし、オンライン上には個人情報があふれているため、ハッカーはこのような比較的基本的な質問に対する答えを推測できることがよくあります。
セキュリティの質問は 2 つ目の知識要素に過ぎないので、この方法が「真の」2 要素認証ではないと認識しておくことが重要です。要は、パスワードをもう一つのパスワードで補強しているだけです。そういう意味では、複数の要素を要求するのではなく、複数の段階を踏むだけの 2 段階認証(2SV)と呼ぶべきでしょう。
結論として言えるのは、パスワードがセキュリティの最も低い方法であるため、2 要素認証が企業の基本的なセキュリティ標準になりつつあるということです。
2 ファクタ認証のその先へ
2 要素認証には大きなメリットがあります。ただし、2 要素認証は情報セキュリティの終着点ではありません。むしろ、これだけでは不十分です。
2 要素認証は結局、絶対確実なものではありません。攻撃者が企業のコンピュータ システムにアクセスしようとして、社内を物理的に検索すると、従業員 ID や、パスワードが残っている廃棄されたストレージ デバイスが見つかるかもしれません。
さらに、ハッカーはフィッシング メールを介してテキスト メッセージを傍受し、2 番目の認証要素を突破できる可能性もあります。結局のところ、2 段階認証はセキュリティ プロセスの中で最も弱い要素と同じくらいの強さしかありません。
2 要素認証に代わるもの
では、他にどのような方法があるのでしょうか。2 要素認証とは、もっと大きな概念である多要素認証(MFA)の中の 1 つに過ぎません。
理論的には、3 要素認証、4 要素認証、5 要素認証など、無限の可能性があります。一般のユーザーが 2 要素認証以上のものを使うことはなさそうですが、セキュリティの厳しい環境で働く人は、一般的に指紋や虹彩スキャンなどの生体要素の使用を伴う 3 要素認証(3FA)のような方法を使用する必要があるかもしれません。
Dropbox で 2 ファクタ認証を利用するには
2 要素認証を有効にすることで、ビジネスに大きなメリットがあることは明らかです。会社全体で 2 要素認証を展開するのはちょっと大変かもしれませんが、ありがたいことに、それほど難しいことではありません。
Dropbox は 2 要素認証を提供しています。Dropbox で 2 要素認証を有効にすると、アカウントへのログイン時や、新しいタブレット、パソコン、スマートフォンなどをリンクした時に、自分自身やチーム メンバーに対して、2 つ目の認証フォーム(6 桁のパスコードやセキュリティ キーなど)の入力が常に求められます。
また、Dropbox には、企業の機密情報を安全に管理できるパスワード保護機能がいくつも用意されており、共有リンクへの有効期限の設定や、PDF とフォルダのパスワード保護も可能です。
Dropbox で実装してファイルのセキュリティをより効果的に確保できるサイバー セキュリティ対策は他にもあります。クラウド データの保護は Dropbox の最優先事項ですが、Dropbox のクラウド セキュリティは、2 要素認証を補うのに最適です。分散型のクラウド インフラストラクチャに複数の保護レイヤーを設けることで、すべてのオンライン ファイルに同レベルの保護を施すことができます。さらに、Dropbox のエンタープライズレベルの暗号化クラウド ストレージは、ほとんどのグローバルな規制基準に準拠して使用できます。
Dropbox でデータを安全に保ち、2 段階認証のメリットを活かす
ファイルやデータを保護する手段を単一のパスワードだけに頼っていると、防げるはずの脅威に対して脆弱になります。2 段階認証を使用すると、コンテンツへの不正なアクセスは格段に難しくなります。
すでに Dropbox をご利用でさらなる安心を求めている方にも、複数の保護機能を備えたクラウド ストレージ ソリューションを必要としている方にも、ご満足いただける機能が Dropbox にはあります。
今すぐアカウントに登録して、2 要素認証のメリットを活用しましょう。
![Dropbox 管理コンソールの[セキュリティ]セクションのスクリーンショット。このユーザーは強力なパスワードを設定していますが、2 段階認証は未設定です。](https://fjord.dropboxstatic.com/warp/conversion/dropbox/warp/en-us/resources/articles/cloud-storage-vs-hard-drive/admin-console-security-ui-2048x1280-ja.png?id=77255340-9d95-4969-b683-8ae1208563a3)