Facebookは何年も前から、2要素認証でアカウントを保護する選択肢をユーザーに提供してきた。しかし、まもなくリスクが最も高いユーザーには選択肢の余地がなくなる。パスワード以外の方法でもプロフィールをロックすることが義務づけられるのだ。これは歓迎すべきことである。
Facebookを運営するメタは、2020年から広告アカウントと人気ページの管理者に2要素認証の有効化を義務づけてきた。こうした措置をとっているのは、Facebookだけではない。5月にはグーグルが2要素認証をすべてのユーザーに標準化していくと発表している。
メタによると今回の取り組みは、「Facebook Protect」プログラムに登録している政治家や活動家、ジャーナリストなどにのみ適用されるという。だが、どうすれば誰もができるだけ簡単に2要素認証を有効にできるか調べる一種のテストのようにも見える。メタは今回の変更に際して、世界中のユーザーに発生する可能性のある問題の解決を確実に支援できるようにも尽力している。
メタのセキュリティポリシー部門を統括するナサニエル・グライシャーは今回の発表に先立って、報道陣に次のように説明している。「現在のところ、すべてのユーザーに対して義務化を適用することは考えていません。ただし、最もリスクの高いコミュニティ、すなわち標的にされる可能性が最も高く、その影響が最も大きいコミュニティ内では、徐々に広げていくことは考えられます」
拡大する2要素認証の採用
Facebook Protectは18年の中間選挙を前に米国で試験プロジェクトとして始まり、20年の大統領選に向けて提供範囲を拡大した。Facebookは一部の著名人を自動的にプログラムに登録しているものの、自身を推薦して登録する仕組みもつくっており、ニュースルーム全体を登録することも可能だ。ユーザーは一度Facebook Protectに参加すると、オプトアウトできない仕様となっている。
Facebook Protectのグローバル展開は9月に始まり、これまでのところメタはインド、フィリピン、トルコを含む12カ国でこのプログラムを提供している。プログラムの登録者数は150万人を超えており、そのうち95万人近くが義務化によって初めて2要素認証を有効にした。
グライシャーによると、年内に50カ国でFacebook Protectを提供し、22年にはミャンマーやエチオピアなど、さらに多くの国で提供する予定だという。2要素認証の義務化に加え、Facebook Protectは登録されたアカウントに対してはさらなる自動監視とスキャン機能を提供する。
2要素認証の義務化を最も積極的に進めているコンシューマーテクノロジー企業はグーグルだ。しかし、ほかの企業もグーグルに比べれば小規模とはいえ、取り組みを実施してきた。
アマゾンの子会社でスマートカメラなどを提供しているリング(Ring)は、リングのアカウントへの侵入が相次いだことを受け、20年初頭に数百万人の顧客に2要素認証を義務づけた。18年にはTwitterが2要素認証を有効にするよう候補者に促すプロンプトを表示させ始めた。Twitterは7月、2要素認証を有効にしているのはユーザーのわずか2.3%だと説明している。
極めて合理的な判断
Facebookは今回の発表に先立ち、世界中のFacebookの月間アクティヴユーザーのうち、2要素認証を採用しているのは4%ほどにすぎないことを明らかにしている。 「2要素認証はアカウント侵害に対して講じることのできる最善の保護手段のひとつであるにもかかわらず、悪意あるハッカーに最も狙われている人々でさえ、インターネット上でこれまで十分に活用してきませんでした」と、グライシャーは言う。
「2要素認証がもっと使われるようにするには、認知度を高めたり、登録を促したりする以上の措置が必要です。しかし同時にわたしたちは、南半球の広範な地域がそうであるように、インターネットやスマートフォンへのアクセスが限定的だったり制限されたりしている場所も含めて、世界中の人々がこうしたプラットフォームに引き続きアクセスできるようにしなければなりません」
自身が率いるチームがFacebook Protectに断固として2要素認証を義務化すると決定した以上、ユーザビリティーとアクセスの問題は時間をかけて丁寧に解決していくことが重要だと、グライシャーは指摘する。ユーザーは認証アプリや物理的セキュリティキーなどのさまざまな2要素認証の選択肢を用いて、追加の防御を有効にすることを選べるという。
プログラムに登録したアカウントには、保護機能を有効にするためのプロンプトが今後は何度も表示されるが、もしアカウントの所有者がこの機能を有効にしなければ、最終的には有効にするまでアクセスできなくなる。
「企業がリスクに基づくビジネス上の判断を下し、特定のサーヴィスに対して2要素認証を義務づけるのは極めて合理的だと思います」と、アイデンティティのプライヴァシーとセキュリティを専門とする独立系コンサルタントのジム・フェントンは言う。「サーヴィスは認証にかかわるリスクを引き続き検討し、必要に応じて2要素認証を義務づけるべきです。その際には、サーヴィスそのものに対するリスクだけでなく、ユーザーに対するリスクも十分に考慮することが望まれます」
グライシャーは、2要素認証といえども特効薬ではないと強調する。また、SMSベースの2要素認証にはセキュリティ上の限界があるなど、ユーザーが受ける保護には微妙な差違がある。それでもこの機能はアカウントを守る上で極めて有効であるという。それに特にこうしたユーザーにとっては、たとえわずかな保護機能でも役に立つものだ。
※『WIRED』によるセキュリティの関連記事はこちら。Facebookの関連記事はこちら。
からの記事と詳細 ( Facebookによる「2要素認証」の導入加速には、“合理的”な根拠がある - WIRED.jp )
https://ift.tt/3on8TWM
No comments:
Post a Comment