🔑 この記事は 約12分 で読めます / 初心者向け / 最終更新:2025年
🛡️ この記事でわかること
二段階認証・パスキーとは何か / Googleアカウントの設定手順 / Microsoftアカウントの設定手順 / スマートフォン(iPhone・Android)の設定 / ネットバンキングの二段階認証 / パスキーの導入方法と仕組み
🔐 なぜ「パスワードだけ」では危ないのか?
「パスワードは複雑にしている。だから安全なはず。」そう思っていませんか?
実は、パスワードだけに頼るセキュリティは、現代ではもはや十分ではありません。その理由を数字で見てみましょう。
- Verizon社の「2024 Data Breach Investigations Report」によると、データ侵害の原因の約68%が認証情報(パスワード等)の盗用や推測によるものでした
- NordPassが2024年に発表した調査では、世界で最もよく使われているパスワードの1位は依然として 「123456」 であり、解読に要する時間はわずか1秒以下です
- サイバー攻撃者はパスワードリスト(流出した認証情報のデータベース)を使い、1秒間に何百万回もの試行ができる「クレデンシャルスタッフィング攻撃」を行います
Googleアカウントのダッシュボードや、Have I Been Pwned(haveibeenpwned.com)で、自分のメールアドレスが流出データに含まれていないか確認できます。
こうしたリスクに対抗する最も効果的な手段が、「二段階認証(2FA)」と次世代の認証方式「パスキー」です。
📖 二段階認証とパスキー―基本をゼロから理解する
二段階認証(2FA / Two-Factor Authentication)とは?
認証には3種類の「要素」があります。
| 要素の種類 | 内容 | 例 |
|---|---|---|
| 🧠 知識要素 | あなたが知っているもの | パスワード・暗証番号・秘密の質問 |
| 📱 所持要素 | あなたが持っているもの | スマートフォン・ハードウェアキー・SMS |
| 👤 生体要素 | あなた自身であること | 指紋・顔認証・虹彩 |
二段階認証とは、この3要素のうち異なる2つを組み合わせて本人確認を行う仕組みです。パスワード(知識)+スマホのコード(所持)のように、万が一パスワードが盗まれても、スマホを持っていない攻撃者はログインできません。
通常のログイン: [パスワード入力] ──→ ✅ ログイン完了(1つの壁) 二段階認証ありのログイン: [パスワード入力] ──→ [SMSコード/認証アプリのコード入力] ──→ ✅ ログイン完了(2つの壁) 攻撃者がパスワードを盗んだとしても: [パスワード入力 ✅] ──→ [SMSコード入力 ❌(スマホがない)] ──→ 🚫 ブロック
パスキー(Passkey)とは?
パスキーは、パスワードそのものを不要にする次世代の認証技術です。Apple・Google・Microsoftが共同で策定した国際標準規格「FIDO2/WebAuthn」に基づいており、2023年以降急速に普及が進んでいます。
仕組みはスマートフォンや端末内に「秘密鍵」を安全に保存し、ログイン時には顔認証や指紋認証で秘密鍵を使って本人確認を行います。パスワードがネットワーク上を流れることがないため、フィッシング詐欺やパスワード漏洩のリスクがゼロになります。
・パスワードを覚える必要がない
・フィッシング詐欺に対して完全耐性(偽サイトには使えない仕組み)
・パスワード流出のリスクがゼロ
・生体認証と組み合わせてワンタッチでログイン
・デバイス間でクラウド同期可能(iCloud Keychain、Googleパスワードマネージャー等)
🔵 Googleアカウントの二段階認証・パスキー設定
世界で最も多くの人が使うGoogleアカウントは、乗っ取られるとGmail・Googleドライブ・YouTube・Googleフォトなど膨大な情報が一気に危険にさらされます。設定は必須です。
【STEP 1】二段階認証を有効にする
- ブラウザで myaccount.google.com を開く
- 左メニューから「セキュリティ」をクリック
- 「Googleへのログイン」セクションの「2段階認証プロセス」をクリック
- 「使ってみる」→ 画面の指示に従ってスマートフォンを登録
【STEP 2】認証方法の選択(おすすめ順)
| 方法 | 安全性 | 使いやすさ | 説明 |
|---|---|---|---|
| Googleプロンプト | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | スマホに「ログインしますか?」と通知が来てタップするだけ |
| 認証アプリ(TOTP) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | Google Authenticator等が30秒ごとに変わる6桁コードを生成 |
| SMS(テキスト) | ⭐⭐⭐ | ⭐⭐⭐⭐ | 電話番号にSMSで6桁コードが届く |
| バックアップコード | ⭐⭐⭐⭐ | ⭐⭐ | スマホを紛失した際の緊急用10桁コード(印刷保管推奨) |
SMS認証はSIMスワッピング攻撃(電話番号を乗っ取る手口)に対して脆弱なため、可能であれば認証アプリへの移行をお勧めします。
【STEP 3】Googleアカウントにパスキーを登録する
- myaccount.google.com → 「セキュリティ」→「パスキーと セキュリティ キー」をクリック
- 「パスキーを作成する」ボタンをクリック
- デバイス(スマートフォンまたはパソコン)の認証(顔認証・指紋・PINなど)を求められるので承認
- 「パスキーが保存されました」と表示されれば完了
設定後は、次回ログイン時にパスワード入力不要で、デバイスの生体認証だけでGoogleにサインインできるようになります。
2段階認証の設定後、「バックアップコード」(1回限り使える10個の8桁コード)を生成して紙に印刷し、安全な場所に保管しておきましょう。スマートフォンを紛失・故障したときの唯一の脱出口になります。
🪟 Microsoftアカウントの二段階認証・パスキー設定
Windowsへのサインイン、Outlook、OneDrive、Microsoft 365などを使うMicrosoftアカウントも、乗っ取りの主要ターゲットです。
【STEP 1】二段階認証を有効にする
- ブラウザで account.microsoft.com を開いてサインイン
- 「セキュリティ」タブ → 「高度なセキュリティ オプション」をクリック
- 「2段階認証プロセス」の「オンにする」をクリック
- 画面の指示に従い、Microsoft Authenticatorアプリまたは代替手段を設定
【STEP 2】Microsoft Authenticatorアプリの設定(強くおすすめ)
- スマートフォンに「Microsoft Authenticator」アプリをインストール(App Store / Google Play、無料)
- アプリを開き「アカウントの追加」→「職場または学校アカウント」または「個人アカウント」を選択
- Microsoftアカウントのウェブページに表示されるQRコードをアプリでスキャン
- 設定完了。次回ログイン時にアプリに通知が来て「承認」をタップするだけに
【STEP 3】「パスワードなし」アカウントに設定する(最高レベル)
Microsoftは2021年から「パスワードレスアカウント」機能を提供しており、パスワード自体を完全に削除できます。
- account.microsoft.com → 「セキュリティ」→「高度なセキュリティオプション」
- 「パスワードなしのアカウント」→「オンにする」
- Microsoft Authenticatorアプリの通知を承認
【STEP 4】Microsoftアカウントにパスキーを登録する
- account.microsoft.com → セキュリティ →「パスキーの管理」
- 「パスキーの追加」をクリック
- 端末の認証(Windows Helloの顔認証・指紋・PINなど)で確認
- 「パスキーが保存されました」で完了
📱 スマートフォンの二段階認証・セキュリティ設定
スマートフォンはそれ自体が「認証デバイス」として使われるため、スマホ自体のセキュリティを固めることが他のすべてのサービスの防衛線にもなります。
iPhone(iOS)のセキュリティ設定
① Apple IDの二段階認証
- 設定アプリ → 一番上の「自分の名前(Apple ID)」→「サインインとセキュリティ」
- 「2ファクタ認証」→「オンにする」
- 信頼できる電話番号を登録(SMSまたは音声通話でコードを受け取る番号)
- 「次へ」→ 確認コードを入力して完了
② iPhoneのパスキー管理(iCloud Keychain)
iPhoneはiOS 16以降からパスキーに対応しています。対応サービスでのログイン時に「パスキーを保存しますか?」と表示されたら「続ける」を選ぶだけで、Face IDまたはTouch IDと紐づけたパスキーが自動保存されます。保存されたパスキーは設定 →「パスワード」で一覧を確認・管理できます。
③ Appleアカウントのリカバリーキー設定(上級者向け)
- 設定 → Apple ID → 「サインインとセキュリティ」→「アカウントの回復」
- 「リカバリーキー」→「リカバリーキーを使用する」をオンに
- 表示される28文字のキーを紙に書いてオフラインで保管(絶対に紛失しないこと)
Android(Google Pixel / Samsung等)のセキュリティ設定
① Googleアカウントの二段階認証(前項参照)
Androidスマートフォンに紐づくGoogleアカウントの二段階認証は前章の手順で設定します。
② Androidのパスキー管理(Googleパスワードマネージャー)
Android 9以降はパスキーに対応しています。対応サービスでログイン時に「パスキーを保存しますか?」と表示されたら保存を選択。設定 →「パスワードとアカウント」→「Googleパスワードマネージャー」で管理できます。
③ 画面ロックの強化
- 設定 → 「セキュリティとプライバシー」→ 「画面ロック」
- PINは6桁以上、または指紋認証・顔認証を使用
- ロックまでの時間を「30秒以内」に設定することをお勧め
SIMカードが外部に持ち出されると、SMS認証が突破されることがあります(SIMスワッピング攻撃)。キャリアのWebサイトでSIMカードの変更に追加の認証(暗証番号確認等)を設定しておきましょう。
🏦 インターネットバンキングの二段階認証
インターネットバンキングへの不正アクセスによる被害は増加傾向にあります。警察庁の発表によると、2023年のインターネットバンキングに係る不正送金の被害額は約87億円に上り、過去最悪レベルでした。
主要銀行の二段階認証方式と設定方法
【共通の設定手順(大手銀行共通フロー)】
- 各銀行のインターネットバンキングにログイン
- 「セキュリティ設定」または「ログイン設定」メニューを開く
- 「二段階認証」「ワンタイムパスワード」「トークン」などの設定を選択
- 銀行指定のアプリをスマートフォンにインストール、または物理トークンを申請
| 銀行・種類 | 主な認証方式 | 推奨設定 |
|---|---|---|
| 三菱UFJ銀行 | 三菱UFJダイレクトアプリのワンタイムパスワード/スマホ認証 | スマホ認証(アプリ通知) |
| 三井住友銀行 | SMBCアプリのワンタイムパスワード/Olive連携 | アプリOTP設定 |
| みずほ銀行 | みずほダイレクトアプリ通知/ハードウェアトークン | アプリ通知認証 |
| 楽天銀行 | 楽天銀行アプリのスマート認証NEO/SMS OTP | スマート認証NEO |
| 住信SBIネット銀行 | スマート認証(生体認証連携)/アプリOTP | 生体認証連携スマート認証 |
| ゆうちょ銀行 | ゆうちょ通帳アプリ認証/SMS認証 | アプリ認証 |
インターネットバンキングで絶対にやってはいけないこと
❌ 公共のWi-Fi(カフェ・駅など)でネットバンキングを使う
❌ 銀行を名乗るメール・SMSのリンクからログインする(フィッシング詐欺の典型手口)
❌ パソコンのブラウザにIDとパスワードを保存したまま放置する
❌ 全サービス共通のパスワードをネットバンキングにも使う
❌ ワンタイムパスワードを電話で他人に教える(詐欺の典型)
🔑 パスキー対応サービス一覧と登録方法
2025年現在、パスキーは急速に普及しており、主要サービスの多くが対応しています。
主要サービスのパスキー対応状況
| サービス | パスキー対応 | 設定場所 |
|---|---|---|
| ✅ 対応 | myaccount.google.com → セキュリティ | |
| Microsoft | ✅ 対応 | account.microsoft.com → セキュリティ |
| Apple ID | ✅ 対応(デバイス認証) | 設定 → Apple ID |
| Amazon | ✅ 対応 | アカウントサービス → ログインとセキュリティ |
| GitHub | ✅ 対応 | Settings → Password and authentication |
| Yahoo! JAPAN | ✅ 対応 | アカウント設定 → セキュリティ |
| X(旧Twitter) | ✅ 対応 | 設定 → セキュリティとアカウントアクセス |
| PayPay | ✅ 対応 | アカウント → セキュリティ設定 |
パスキーの一般的な登録手順(共通フロー)
- 対応サービスの「セキュリティ設定」または「パスワードとセキュリティ」を開く
- 「パスキーを追加」「パスキーの作成」などのボタンを探してクリック
- デバイスの認証(顔認証 / 指紋 / PIN)を求められるので承認する
- 「パスキーが保存されました」などの確認メッセージで完了
- 次回ログイン時は、パスワード不要でデバイス認証のみでサインインできる
⚡ よくある疑問(FAQ)
Q1. スマートフォンを紛失したら、二段階認証が使えなくなる?
A. 事前にバックアップを用意しておくことが重要です。Googleなら「バックアップコード(8桁×10個)」、Appleなら「リカバリーキー」を印刷して保管しましょう。また、信頼できる別の電話番号をバックアップ番号として登録しておくことも有効です。
Q2. パスキーは複数のデバイスで使える?
A. はい、使えます。iPhoneで作成したパスキーはiCloud Keychainを通じて同じApple IDのiPadやMacにも同期されます。AndroidはGoogleパスワードマネージャーで同期されます。また、別のデバイス(例:スマホ)でQRコードをスキャンしてパソコンのログインに使う「クロスデバイス認証」も利用できます。
Q3. 二段階認証を設定すると毎回コードを入力しなければならない?
A. 多くのサービスでは「このデバイスを信頼する」オプションがあり、一度認証したデバイスでは30日間など一定期間は二段階認証をスキップできます。新しいデバイスや場所からのアクセス時のみ求められます。
Q4. SMSで届く認証コードは安全?
A. パスワードのみよりは大幅に安全ですが、SIMスワッピング攻撃(電話番号を不正に乗っ取る手口)には脆弱な点があります。重要なアカウントには認証アプリ(TOTP)またはパスキーの使用をお勧めします。ただし、銀行などでSMS認証しか選択肢がない場合は、それでも使うべきです。
Q5. 認証アプリのデータをスマホ機種変更時に引き継げる?
A. アプリによって異なります。
・Microsoft Authenticator:クラウドバックアップ機能があり引き継ぎが容易
・Authy:アカウントにバックアップがあり引き継ぎ可能
・Google Authenticator:2023年からGoogleアカウントへのクラウド同期に対応
機種変更前に各アプリの引き継ぎ手順を確認することを強くお勧めします。
Q6. パスキーとパスワードマネージャーはどちらがおすすめ?
A. 両方を組み合わせるのが最善です。パスキー未対応のサービスにはパスワードマネージャー(1Password・Bitwarden・Apple iCloudキーチェーンなど)で強力なランダムパスワードを使い、パスキー対応サービスには積極的にパスキーを使うのが理想的な運用です。
🗺️ 認証セキュリティ強化ロードマップ
「どこから手をつけていいかわからない」という方のために、優先順位をつけた行動ステップを示します。
📋 今週やること(最優先)
□ Googleアカウントの二段階認証をオンにする
□ Microsoftアカウントの二段階認証をオンにする
□ スマートフォンの画面ロックを生体認証+6桁PIN以上に設定
□ インターネットバンキングのアプリ認証/OTPを設定する
📋 今月中にやること
□ 認証アプリ(Microsoft AuthenticatorまたはAuthy)をインストールして主要サービスに登録
□ バックアップコード・リカバリーキーを紙に印刷・保管
□ Apple IDの2ファクタ認証を設定(iPhone利用者)
□ 対応サービスにパスキーを順次登録していく
📋 余裕があればやること
□ パスワードマネージャーの導入
□ 重要サービスのパスワードをすべてランダムな強力なものに更新
□ Have I Been Pwnedで自分のメールアドレスを確認
□ ハードウェアセキュリティキー(YubiKeyなど)の検討
✅ まとめ
二段階認証とパスキーは、現代のインターネット生活において最も重要なセキュリティ対策のひとつです。設定の手間は最初だけで、一度設定してしまえば日常的な使い勝手はほとんど変わりません。一方で、守られるものの価値は計り知れません。
特にGoogleアカウント・Microsoftアカウント・インターネットバンキングの3つは本日中に設定することをお勧めします。この3つが守られていれば、デジタルライフのセキュリティは格段に向上します。
🔐 「設定するのは今日しかない」
セキュリティ事故は「まさか自分に限って」という人ほど起こります。
この記事を読んだ今が、設定する最良のタイミングです。
参考資料・情報源:Verizon「2024 Data Breach Investigations Report」/ NordPass 最もよく使われるパスワード調査2024 / FIDO Alliance 公式ドキュメント(fidoalliance.org)/ 警察庁「令和5年のインターネットバンキングに係る不正送金事犯の発生状況等について」/ Apple サポート(2ファクタ認証)/ Google セキュリティブログ / Microsoft セキュリティドキュメント / IPA「パスキー導入実践ガイド」
コメント