Google Cloudは、7月31日に2段階認証用のセキュリティデバイス「Titanセキュリティキー」の国内提供(同時に英国、カナダ、フランスでも提供)を開始した。今回はGoogle Cloud日本法人から同デバイスの試用機会を得たので、セットアップからログインまでの様子をレポートする。
Titanセキュリティキーは、法人や個人のGoogleアカウントの保護を強化するツールとして、まず2018年7月に米国で発売された。最初は同社従業員のアカウントを保護するために開発され、それを製品化したものだ。アカウント情報を窃取しようとするフィッシング攻撃などが横行する昨今、固定パスワードの認証だけではリスクが高い。
筆者は、仕事やプライベートで日常的に2段階認証を利用している。主に使う認証方法は、SMS(ショートメッセージサービス)やスマートフォンのアプリだ。2段階認証は、最初に認証方法を設定する作業がやや手間であるものの、設定後にその使い方が習慣化してしまえば、後はあまり意識せずに使える。その一手間を惜しまず、ぜひ2段階認証を“常識”として利用することをお勧めする。
数ある2段階認証の方法の中で、最も手軽なのはSMSでワンタイムパスワードを通知するものだろう。設定時にユーザーの電話番号を登録すれば済む。その手軽さからSMSの2段階認証を利用するサービスやユーザーが増える一方、サイバー攻撃者もその状況に注目し、SMSを使うフィッシング攻撃「スミッシング」が増えてきている。
またSMSによる2段階認証では、通信環境によってSMSを受信するまでに少し時間がかかったり、受信できなかったりするケースが時々ある。ちょっとしたSMSの不便さや上述の攻撃トレンドを鑑みれば、できれば2段階認証に使う方法を複数用意しておきたい。スマートフォンのアプリ以外にもスマートフォン端末や、今回のTitanセキュリティキーのような専用デバイスなどを利用できる。
なお、2段階認証向けの主要な専用デバイスは、FIDO(Fast IDentity Online)のU2F規格に準拠しており、これをサポートするGitHubやSalesforce、Dropbox、Facebook、Twitterなどのオンラインサービスでも利用可能だ。専用デバイスは、Titanセキュリティキー以外にも複数のメーカーが国内提供をしている。特に法人で導入を考えている場合は、サポートや価格などを含めて比較検討するとよいだろう。