Surface 2とiPhoneはMicrosoftアカウントの二段階認証でどう変わるか
二段階認証の設定画面
Surfaceの急所・Microsoftアカウントのセキュリティを高める
最近、オンラインサービスのアカウントが不正ログインされる事例が相次いでいます。昨年はGREEやAmebaなどで大規模被害があり、最近ではソニーやソフトバンクなど、大手サービスも例外ではありません。
ソニー会員サイト「My Sony Club」で不正ログイン - 75万円相当の被害 | マイナビニュース
MySoftbankに不正アクセス最大724件 意図しないコンテンツ購入のおそれ - ITmedia ニュース
数あるオンラインアカウントの中でも、電子メール・カレンダー、個人文書、写真、メモなどが含まれるメインアカウントを守ることは特に重要です。
これらの中には金融機関やショッピングの登録情報などの重要な個人情報が含まれていることが多いためです。
Surface 2の場合は、各種サービスに加えてOSへのログインにもMicrosoftアカウントを使用するので、これを守るのが最優先の対策になります。
今回、対策として特に有効と思われる「二段階認証」を導入して、実際どの程度の手間がかかるのか試してみたところ、案外簡単にできることがわかったので結果をまとめておきます。
基礎知識:そもそも二段階認証とは?
二段階認証については、日本のセキュリティーチームの村木ゆりか氏による解説がわかりやすいです。通常のパスワードに加え、違う種類のカギを追加する方法です。
2段階認証とは、その名の通り、2つの方法を利用して行う認証方式です。通常は、IDとパスワードが合っていれば本人であると確認できますが、そこに、もうひとつ違う種類の方法を使って本人であることの確認を行います。
これは、例えば、玄関の鍵に、これまで使っていた鍵穴に鍵を差し込む鍵に加え、カードキーで開く鍵を追加で取り付けるようなものです。単に、2個の同じ種類の鍵を使うのではなく、違う種類のものを使っているのがポイントです。異なる種類の鍵を利用すると、鍵を破る方法や道具が異なり時間がかかるため、より鍵が破られる可能性(セキュリティ リスク)を低くすることができます。
乗っ取りから身を守る!ログインの “2段階認証”とは - 1 - 今日から実践!「情報セキュリティ講座」 - MSNマイクロソフト情報
Surface 2での二段階認証の設定方法
二段階認証の設定方法については、以下のお二方のブログに詳しく解説されています。今回はこれを参考にして導入しました。
Microsoft アカウントで2段階認証開始: 世の中は不思議なことだらけ
[セキュリティ] Microsoftアカウントで二要素認証(2段階認証)を利用する|Windows Azureとクラウディア窓辺と。
事前準備
1.Surface 2に加えスマホ(今回はiPhone)を用意
2.二段階認証用のワンタイムパスワードを発行する「Google Authenticator」アプリをApp StoreからダウンロードしてiPhoneにインストール
二段階認証の有効化
1.アカウント管理ページの呼び出し
IE11を使いアカウント管理ページにアクセス。(またはOutlook.comやOneDriveのWebサイト右上のアカウントアイコンから「アカウント設定」を呼び出す)
2.二段階認証を有効化
「セキュリティとパスワード」→「2段階認証のセットアップ」を選択
セットアップ手順が表示されるので、「次へ」を選択
「デバイスの種類」で「iPhone、iPad、またはiPod touch」を選択すると、画面にQRコードが表示
3.iPhoneアプリの設定と認証コードの取得
iPhoneで「Google Authenticator」を立ち上げ、「設定を開始」→「バーコードをスキャン」でIEの画面に表示されているQRコードを撮影すると、アプリ設定が完了
表示される6ケタの数字コード(ワンタイムパスワード)をIE11の画面にすばやく入力
4.回復用コードの保存
二段階認証が有効になり、IE11に「回復用コード」(英数字25ケタ)が表示されるので、印刷するかメモする。
パスワードを忘れたときにこれがないと詰んでしまい、流出より被害が大きいかも。厳重に保管を。
回復用 (旧称 復元用) コードとはなんですか? - マイクロソフト コミュニティ
以上で、Surface 2側の設定は終了です。
二段階認証でSurface 2とiPhoneの何が変わるのか?
二段階認証を有効にした後、Surface 2とiPhoneでMicrosoftアカウントを使うサービスを改めて起動し、使い勝手が変わるのかを検証してみました。
(1)Surface 2:特に変化なし
Surface 2では、各種サービスやアプリを利用するのに、改めて二段階認証を求められる場面はなく、追加的な手間はまったくありませんでした。
Surface 2へのログイン:必要なし
OneDrive:必要なし
メール・カレンダーアプリ:必要なし
ミュージック・ビデオアプリ:必要なし
Word/ Excel/PowerPoint/OneNote 2013:必要なし
Web版のOutlook.com、OneDrive、Office Online、サポートサイト、MicrosoftStore、Microsoft Azure:必要なし
※なお、私は使っていませんが、Outlook 2013は追加認証が必要のようです。
(2)iPhone:Microsoftのアプリは二段階認証&ほかはアプリパスワード使用
これに対して、iPhone側のアプリはいずれも初回起動時に追加認証または設定変更が必要でした。ただし、一度済ませてしまえば、次からは追加的なパスワード入力を求められることはありませんでした。
Microsoft製のアプリ=OneDrive、OneNote、Ofiice Mobile for iPhone
・OneDrive:初回起動時に二段階認証を求められる
・OneNote:初回起動後、ノートを開こうとすると二段階認証を求められる
・Office Moblie:初回起動後、ファイルを開こうとすると二段階認証を求められる
アプリごとに、「従来と同じパスワード」+「Google Authenticatorに表示されるワンタイムパスワード」を入力します。ここだけ少し面倒です。
また、OneDriveと連携させているミュージックアプリ「Cloud Beats」も二段階認証が必要でした。
iPhone標準のメールアプリ
二段階認証が使えないので、iPhoneの「設定」→「メール/連絡先/カレンダー」から、Outlook.comのパスワードを変更します。
ここで入力するパスワードは「アプリパスワード」と呼ばれる専用のパスワードで、先ほど二段階認証を有効化したのと同じページから取得します。
新しく「アプリ パスワード」という項目ができているので、「新しいパスワードの作成」を選択。
表示されたパスワードをこれまで使っていたMicrosoftアカウントのパスワードと入れ替えます。
なお、Microsoft製のOneDriveアプリなどに「アプリパスワード」を入れるとエラーになりました。あちらは「従来のパスワード」+「ワンタイムパスワード」です。
結論:Surface 2とiPhoneだけならそれほど手間はない。おすすめ設定!
Windows 7以前のパソコンやMacなどがあるとまた話は別なのかもしれませんが、私がSurface 2とiPhoneで試した限りでは、毎回ワンタイムパスワードを入力する手間もなく、初回の数ステップの手間だけで済みました。
これで、アカウントのセキュリティが大きく向上するのであれば、個人ユーザーといえどぜひやっておくべきだなと思いました。
ただし、回復用コードだけはなくしてはいけない!(自戒)