「このサイト、あなたのスマホで閲覧できません」 最近増えている“セキュリティの荒技”：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

　最近、印象に残った“強制措置”は、iOS 10.3にアップグレードしたときに半ば強制的に設定された、Apple IDに対する「2ファクタ認証」です。アップルの2ファクタ認証は、いわゆる「2要素認証」「2段階認証」と呼ばれるものと同じ、「パスワード以外にもう1つの要素を使う」認証方法のこと。これをオンにすると、Apple IDのログイン時に手元のiPhoneに確認コードが表示され、利用者は“パスワードとともに確認コードを入力”することで、なりすましによる第三者のログインを防ぐことができます。

Apple IDの2ファクタ認証を設定すると、デバイスでサインインを行ったときにiPhoneへ確認コードが送られる

　この設定を促す通知は、OSのアップデート時にかなり頻繁に表示された記憶があります。「2要素認証」の重要性は、これまでも何度も本コラムでお伝えしてきた通りですが、その設定に至るまでは心理的なハードルがあるようで、なかなか浸透しないのが現状です。

　しかし、その間にも大規模なID／パスワードの漏えい事件は起きており、かつ「パスワードの使い回し問題」も相まって、不正ログインによる事故が後を絶ちません。もし、2要素認証を設定していれば、万が一、パスワードが漏れたとしても“完落ち”とまではいかないわけですから、OS／デバイス／サービスをトータルで提供するアップルが、ある意味“強権発動的”にユーザーに2要素認証を設定させたのは画期的だったと思います。

Webブラウザで“強権発動”は当たり前――IoTやOSも

　強権発動による安全策の実施は、何も特別なことではありません。実は、皆さんがこの記事を見ているWebブラウザでは当たり前のように起こっています。

　特にWebブラウザは、ありとあらゆるマルウェアの入り口になってしまうアプリケーションですから、強制的にアップデートされるのはむしろありがたいことのはず。もし、その強制アップデートの仕組みに、あなたが気が付いていないのならばなおさらですね。こういった強権発動こそが、“セキュリティの手間を感じさせずに安全を得る最良の方法”なのかもしれません。

　いまや、“デバイスはインターネットにつながってこそ価値がある”時代ですから、全てのOS、アプリケーション、デバイスは、既知の脆弱（ぜいじゃく）性が存在しない「最新版」であるべきです。さらに、大事なアカウントには2要素認証が設定されているべきでしょう。多くの人がそれに無頓着ならば、サービス提供者やOS／スマホベンダーが、ある程度「強制的に安全にする」ことも許容されるべきです。

　特に、多種多様なデバイスが登場するであろう「IoT分野」では、作る側がこの点をしっかり考えた上で市場に送り出す必要があると考えています。

　間もなくiPhoneの新機種が登場します。iOSは比較的古い機種でも最新のOSが入れられることが特長でしたが、Androidも徐々に「早期に最新のOSを乗せる」ことの重要性が浸透しつつあります（関連記事参照）。できれば強権発動される前に、これらの「安全」を手に入れられるように、ほんのちょっとだけ努力してみてください。

著者紹介：宮田健（みやた・たけし）

『デジタルの作法』

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より：

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド＆PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。