二段階認証のバックアップ戦略 - 端末紛失でも慌てない準備

この記事は約 13 分で読めます

すべての重要なアカウントで二段階認証を有効にした - 素晴らしいセキュリティ習慣です。しかし、ある日スマートフォンの画面が割れる、あるいはもっと悪いことに端末を完全に紛失する。すると突然、あなたを守るはずのセキュリティ対策が、あなた自身をロックアウトする壁に変わります。Yubico の 2024 年調査によると、端末紛失を経験したユーザーの 34% が二段階認証で保護されたアカウントへのアクセスに困難を感じたと報告しています。皮肉なことに、セキュリティを真剣に考えれば考えるほど、適切なバックアップ計画なしでの端末紛失はより壊滅的になります。本記事では、二段階認証の完全なバックアップ戦略を提供し、主要デバイスに何が起きてもロックアウトされない準備を整えます。

バックアップコードの確実な保管

バックアップコードの取得と管理

二段階認証を設定すると、ほとんどのサービスがリカバリーコード (バックアップコード) を発行します。これは通常 8〜10 個の一回使い切りコードで、認証デバイスが使えない場合の最後の手段です。Google は 10 個の 8 桁コード、GitHub は 16 個の英数字コード、Microsoft は 1 個の 25 桁コードを発行します。これらのコードは発行時に一度だけ表示され、後から再表示できないサービスが多いため、発行された瞬間に確実に保存する必要があります。

バックアップコードの保管場所は、認証デバイスとは物理的に分離する必要があります。スマートフォンのメモアプリに保存するのは最悪の選択です - 端末紛失時にコードも同時に失われます。推奨する保管方法は 3 つあります。第一に、紙に印刷して耐火金庫に保管する方法。第二に、パスワードマネージャーのセキュアノートに保存する方法 (ただしパスワードマネージャー自体のバックアップコードは別の場所に)。第三に、暗号化した USB メモリに保存し、自宅とは別の場所に保管する方法です。理想的には、これらのうち 2 つ以上を併用してください。

複数デバイスへの登録と認証アプリの移行

TOTP シークレットの複数デバイス登録

TOTP (時間ベースのワンタイムパスワード) を設定する際、QR コードをスキャンする段階で複数のデバイスに同時登録することが可能です。たとえば、メインのスマートフォンとタブレット、または古いスマートフォン (Wi-Fi 接続のみで使用) の両方で同じ QR コードをスキャンすれば、どちらのデバイスでも同じコードが生成されます。これにより、メインデバイスを紛失しても、バックアップデバイスで認証を継続できます。QR コードのスクリーンショットを保存しておけば、後から別のデバイスに追加登録することも可能ですが、このスクリーンショットは暗号化して安全に保管する必要があります。

認証アプリの移行手順

スマートフォンを機種変更する際、認証アプリのデータ移行は最も注意が必要な作業の一つです。Google Authenticator は 2023 年からクラウド同期機能を追加しましたが、エンドツーエンド暗号化が適用されていないため、セキュリティを重視するユーザーには推奨しません。Microsoft Authenticator は iCloud / Google アカウント経由のバックアップに対応しています。Authy はマルチデバイス同期を標準機能として提供しており、機種変更時の移行が最もスムーズです。移行の基本手順は、(1) 新しいデバイスに認証アプリをインストール、(2) 旧デバイスのエクスポート機能または各サービスの 2FA 再設定で移行、(3) 新デバイスでコードが正しく生成されることを確認、(4) 旧デバイスのデータを削除、の順です。

ハードウェアセキュリティキーの予備戦略

予備キーの必要性と登録方法

ハードウェアセキュリティキーを二段階認証の主要手段として使用する場合、予備のキーを最低 1 本用意することが不可欠です。キーを紛失・破損した場合、予備がなければアカウントにアクセスできなくなります。Google の社内セキュリティポリシーでは、全従業員に 2 本のセキュリティキーを支給し、1 本を常時携帯、もう 1 本を自宅に保管するよう義務付けています。個人ユーザーも同様に、メインキーと予備キーの 2 本体制を推奨します。予備キーは、メインキーと同じアカウントすべてに事前登録しておく必要があります。

予備キーの保管場所は、メインキーとは別の場所にしてください。メインキーを鍵束に付けて持ち歩くなら、予備キーは自宅の耐火金庫に保管します。出張や旅行が多い場合は、職場のロッカーや信頼できる家族の自宅に預けることも検討してください。YubiKey の場合、同じモデルを 2 本購入する必要はありません。メインに YubiKey 5 NFC (USB-A + NFC 対応) を使い、予備に YubiKey 5C Nano (USB-C、小型で保管しやすい) を使うなど、用途に合わせて異なるモデルを組み合わせることも有効です。重要なのは、予備キーが必要になった時にすぐにアクセスできる場所に保管しつつ、盗難のリスクが低い場所を選ぶことです。<AmazonLink keyword="セキュリティキー" locale={locale} className="amazon-inline-link">YubiKey などのセキュリティキー (Amazon)</AmazonLink>は予備を含めて 2 本セットでの購入を推奨します。

総合的なバックアップ体制の構築

最も堅牢な二段階認証のバックアップ体制は、複数の手段を組み合わせた多層防御です。推奨する構成は、(1) メインの認証手段 (認証アプリまたはセキュリティキー)、(2) バックアップデバイスへの TOTP 同時登録、(3) 予備のハードウェアセキュリティキー、(4) 紙に印刷したバックアップコード (耐火金庫保管)、(5) パスワードマネージャーのセキュアノートに保存したバックアップコードのコピー、の 5 層です。これだけの冗長性があれば、自宅が全焼しても、全デバイスを同時に紛失しても、少なくとも 1 つの復旧経路が残ります。半年に一度、すべてのバックアップ手段が有効であることを確認するリハーサルを実施してください。