もうすぐAndroidのスマホは、ハードウェアのセキュリティキーの代わりに、Googleアカウントへの2段階認証アクセスを可能にするデバイスとして使えるようになる。Googleが米国時間4月10日のCloud Nextカンファレンスで発表したところによれば、同社はChromeブラウザーと通信することで、同社のサービスにアクセスするための標準的な第2段階として機能するBluetoothベースのプロトコルを開発した。つまり、Androidスマホが、最新のハードウェアセキュリティキーと同様の機能を発揮できるようになる。
2段階認証が、オンラインアカウントを保護するための最も優れた方法の1つであることは、もはや常識となっている。通常の場合、認証の第2段階の確認コードは、プッシュ通知、テキストメッセージとして受信するか、Google Authenticatorのような認証アプリから得ることができる。ここでは、誰かがこれらの通信に割り込んだり、ユーザーのアカウントを偽装して第2段階の確認コードを不正に入手し、ログインしてしまうというリスクが常につきまとう。物理的なセキュリティキーを使えば、コードを送信する前に、ユーザーが正当な場所にいることが確認できるので、第2段階を詐称することはほとんど不可能となる。ハードウェアキーは、不正な場所では確認コード自体を生成しないのだ。
Googleは、Androidスマホを利用する場合にもまったく同じ規格を適用するので、ハードウェアが異なっても、フィッシング対策機能はそのまま維持される。
Bluetoothを利用したセキュリティキー自体は、もちろん新しいものではない。Google純正のTitan Security Keyにも、Bluetoothバージョンがある(ただ、多少の物議を醸してはいるが)。そうしたキーのユーザー体験は、やや面倒なものとなっている。まずキーとデバイスを接続しなければならないのだ。しかしGoogleによれば、Bluetoothを使う新たなプロトコルによって、そうした手順はすべて省くことができたという。そのプロトコルが、通常のBluetoothには必須の接続設定を無用にするのだと。残念ながらGoogleは、それがどのように動作するかについての詳細は明らかにしていない。
Googleによれば、この新機能はAndroid 7以降のデバイスで利用できるが、Bluetoothと位置情報サービスを有効にすることが必要になるという。Googleのスマホ、Pixel 3には、改ざん防止機能を備えた同社のTitan Mセキュリティチップが搭載されているため、さらに強力な保護機能が利用できる。とはいえ、Googleは、これは一種のボーナスと位置付けていて、必須ではないとしている。
セットアップに関して言えば、これまでのセキュリティキーを設定する手順と、それほど大きくは変わらない。スマホをなくしたり、壊したりしたときのために、予備のセキュリティキーを持っておくのは良いアイディアだ。 この新機能は、仕事用とプライベート用、両方のGoogleアカウントで利用できる。
今のところこの機能は、Chromeブラウザーとの組み合わせでのみ動作する。ただし、新しい標準が確立されれば、それを他のブラウザに統合することも可能になるはず、という希望もある。Googleが、EdgeとFirefoxでも、セキュリティキーを使って自社のサービスにログインできるようにしてから、まだ1、2週間しか経ってない。それは確かに1歩前進だった。Googleがさらに便利な新しいサービスを提供するようになった今、他社のブラウザーがそれをサポートするようになるには、まだ少し時間がかかるだろう。ここでも、Googleにいくらかのアドバンテージがある。
[原文へ]
(翻訳:Fumihiko Shibata)
