GoogleのWorkspace向け2段階認証が刷新、TOTPアプリや物理キーの登録が簡単に

text: XEXEQ編集部

2段階認証に関する記事の要約

Google WorkspaceユーザーのTOTPアプリや物理セキュリティキーを使った2段階認証プロセスが簡略化
ユーザーは電話番号を使わずにAuthenticatorなどを直接追加可能に
物理セキュリティキーのFIDO1およびFIDO2の登録方法が整理され明確化
2段階認証をオフにしてもセカンドファクター情報は自動的に削除されなくなった

Google Workspaceの2段階認証プロセスが大幅に改善

2024年5月6日、Googleは2段階認証（2SV）をオンにするプロセスを簡素化すると発表した。これにより、ユーザーは電話番号を使わずにGoogle AuthenticatorなどのTOTPアプリを直接追加できるようになる。特にGoogle Authenticatorなどの時間ベースのワンタイムパスワード（TOTP）アプリを使う組織にとって、導入の障壁が下がるだろう。^[1]

また、物理セキュリティキーについてもFIDO1とFIDO2の2つの登録方法が整理された。FIDO2対応キーでもFIDO1モードで使えるようになり、FIDO2モードではローカル認証のためのPINが必要になる。ただし、管理者が「パスキーを使用してパスワードをスキップする」設定をオフにしている場合、引き続きパスワードの入力が求められる。

さらに、ユーザーが自分でアカウント設定から2段階認証をオフにしてもバックアップコードやAuthenticator、セカンドファクター用電話番号などの情報は自動的には削除されなくなった。管理者がコンソールやSDKから無効化した場合は従来通り削除されるため、ユーザーのオフボーディング手順に影響はない。

2段階認証の利便性向上に伴うセキュリティリスクの考察

GoogleによるWorkspaceの2段階認証プロセスの改善は、セキュリティと利便性のバランスを取る難しさを浮き彫りにしている。ユーザーにとって煩雑な手順は2段階認証の普及を妨げる要因の1つだった。今回の変更により、多要素認証の導入ハードルが下がり、アカウントの安全性が高まることは間違いない。一方で、セキュリティキーやTOTPアプリの管理に不慣れなユーザーが増えることで、新たなリスクも生じる可能性がある。

例えば、スマートフォンを紛失した際のアカウント回復手順が複雑になったり、不正アクセスのリスクが高まったりする恐れがある。2段階認証を無効化してもセカンドファクターの情報が残るのは利便性を考慮した措置だが、それが仇となるケースも考えられる。ユーザー教育の徹底と異常検知・通知機能の強化など、多層防御の取り組みがより一層重要になるだろう。セキュリティを高めつつ使いやすさを追求するのは容易ではないが、ベンダーとユーザー双方の継続的な努力に期待したい。

参考サイト

^ Google Workspace Updates. 「Google Workspace Updates: A simplified experience for Workspace users to add 2-Step Verification (2SV) methods」. https://workspaceupdates.googleblog.com/2024/05/updates-for-configuring-two-step-verification-for-your-google-account.html, (参照 24-05-28).
Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。