大事なアカウントを守る、2段階認証がスムーズにできるアプリ「IIJ SmartKey」

IIJ SmartKey

　今や、ネットサービスに触れない日は無い時代。すでに仕事や生活に欠かせなくなっているものもありますから、万が一、不正アクセスされて、アカウントが乗っ取られたりしたら大変です。

　そこで重視されているのが、2段階認証です。ログイン時に、通常のIDとパスワードに加えて、セキュリティコードなどの入力を必要とするものです。セキュリティコードはログインのたびに変化し、その都度、自分が持っている端末にSMSやメールで送られてくるため、IDやパスワードが盗まれてしまった場合でも、不正アクセスしようとしている第三者がログインできないという仕組みです。

　この2段階認証で、SMSやメールの着信を待つことなく、スムーズにセキュリティを強化できるアプリが「IIJ SmartKey」です。

IIJ SmartKey とは

　IIJ SmartKeyは、TOTP（Time-based One-time Password Algorithm、RFC 6238）と呼ばれる、時刻同期式ワンタイムパスワード認証技術に対応した、スマートフォン向けのアプリです。iOS版とAndroid版があります。

選択したサービスのワンタイムパスワードを繰り返し表示し続けます

　アプリでは、登録したサービスごとに、一定時間ごとに変わる使い捨てのセキュリティキー（ワンタイムパスワード）を生成します。クリップボードへのコピー機能もあるので、スマートフォンで2段階認証をするときでも、桁数の多いパスワードを入力する手間がありません。

　Google認証システム（Google Authenticator）と互換性があり、2016年3月現在では以下のサービスが動作確認済みとされています。この他のサービスでも、TOTP規格に準拠したサービスであれば、基本的に利用できます。

• Amazon Web Services（AWS Multi-Factor Authentication）
• Dropbox
• Evernote
• Facebook
• GitHub
• Googleアカウント
• Google Apps for Work
• IIJ Omnibusサービス
• IIJセキュアMXサービス
• Microsoftアカウント
• Slack
• Wordpress.com

アプリもパスコードで保護。バックアップ端末も作れる

　SMSやメールで受信してもコードはコピー＆ペーストしますし、パソコンでの2段階認証では、都度セキュリティコードを手で入力することになります。手間としては、あえてIIJ SmartKeyを使わなくてもいいのでは、と思うかもしれません。

　IIJ SmartKeyを使うメリットは4つあります。

　1つは、アプリ起動時にTouch IDまたはパスコードによる認証ができること。スマートフォンのロックを突破されても、さらにアプリにもパスコードを設定しておけば壁は高くなります。

　2つめは、1つのアプリで複数のサイトを管理できること。サービスごとに認証方法が異なっていても、いずれもIIJ SmartKeyを使う設定にすることで、認証時に戸惑うことがありません。

アプリケーションのロックができます

1つのアプリで複数のサービスを登録。タップするだけで切り替えられます

　3つめは、設定のバックアップができること。つまり、メイン端末のほかに予備の端末を持てるのです。いざ認証しようとしたところ、紛失や盗難、破損などの事情からメイン端末が使えないというケースもあります。そんなとき予備端末からでもワンタイムパスワードを発行できるので、作業に支障が出にくくなります。

　4つめは、「スライド認証」をサポートしていること。画面に表示されるボタンをスライドするだけなので、コードの入力すら不要になるというものです。「IIJ SmartKeyマネージメントサービス」に対応するサービスで利用できる機能のため、現時点ではIIJの法人向けサービス（IIJ IDサービス）のみの対応となっていますが、今後、対応サイトが増えてくれば便利に使えそうです。

「設定をエクスポート」をタップするとQRコードを表示するので、予備端末のIIJ SmartKeyで読み取るだけ

画面のボタンをスライドさせるだけでいいという「スライド認証」の仕組み

設定はQRコードを読み取るだけ

　実際に使うときはIIJ SmartKeyをインストールしたら、まずアプリで使用するスマートフォン（デバイス）の登録が必要となります。

最初に使うスマートフォンを登録します

　続いて、2段階認証を設定したい各サービスのウェブサイトにアクセスし、自分のアカウント設定でセキュリティ関連項目を開き、2段階認証を有効にします。この際に表示されるQRコードを、IIJ SmartKeyで読み取ります。

　各サービスでの設定操作に手間はかかりますが、IIJ SmartKey側でやることはQRコードを読むだけなので、非常に簡単です。

Dropboxの2段階認証用のQRコードを読み取っている例

　もし同時に、バックアップ用に2台目の端末も用意したいときは、同様にIIJ SmartKeyをインストールしてデバイスを認証します。メイン端末に登録したサービスを「設定」からエクスポートして、表示されるQRコードを2台目の端末で読み取れば完了。メイン端末で設定したアイコンまで引き継がれます。

　後でやろうと思っていると、その間に端末を紛失したりするものです。バックアップはぬかりなく速やかにやっておいたほうがよさそうです。

転ばぬ先の杖として使ってみよう

　Facebook、Googleアカウント、Evernote、Dropboxの4サービスについて設定してみましたが、いずれもIIJ SmartKeyへの登録はQRコードなので簡単に済みました。画面もシンプルで、分かりやすいところも好感が持てます。

　むしろ、各サービスのセキュリティ管理画面にたどり着くまでや、サービスの2段階認証を有効する手続きのほうが大変でした。Dropboxの場合では、ウェブサイトにログイン→画面右上のユーザー名から「設定」にアクセス→「セキュリティとプライバシー」を開く→「2段階認証を有効にする」を選択→ログイン→「モバイルアプリを使用」にチェック、という手順になりました。

Dropboxのサイトに表示された2段階認証のQRコードの例。アプリはカメラでこれを読み取るだけで設定終了

　しかし、不正アクセスで悪用されることがあると、自分だけでなく、そのアカウントでやりとりをしている関係者にも迷惑がかかりますし、復旧のために時間を浪費してしまいます。よく「取られて困るものはない」という方がいますが、周囲の信頼は失うかもしれません。IIJ SmartKeyはバックアップも簡単ですし、2段階認証にすることで壁を高くしておいたほうがいいでしょう。