パスワードが漏れても、ファイルは守られる。多要素認証(MFA)を正しく設定すれば、クラウドストレージへの不正アクセスはほぼ防げます。

パスワードだけでは守れない理由

2024年に発生した主要なデータ漏洩事件の80%以上が、パスワードの流出・推測・フィッシングによるものでした(Verizon DBIR 2024 参照)。クラウドストレージに保管するのが契約書、顧客データ、個人写真であれ、単一のパスワードはもはや十分な防衛線ではありません。

フィッシングメールで騙されたとき、パスワードを使い回していたとき、あるいは深夜に見知らぬIPアドレスからログイン試行が繰り返されるとき——パスワードのみの認証は一瞬で突破されます。多要素認証は、「知っていること(パスワード)」に加えて「持っていること(スマートフォン)」または「本人であること(生体認証)」を組み合わせることで、このリスクを大幅に下げます。

多要素認証(MFA)の種類

TOTP(時刻同期型ワンタイムパスワード)

Google AuthenticatorやAuthyなどの認証アプリが30秒ごとに生成する6桁のコードです。SMS認証より安全で、オフラインでも動作します。

設定に必要なもの

  • スマートフォン(iOS / Android)
  • 認証アプリ(Google Authenticator、Microsoft Authenticator、Authy など)

SMS認証

登録した電話番号に確認コードを送る方式です。手軽ですが、SIMスワッピング攻撃(他人があなたの電話番号を乗っ取る手口)に弱いため、TOTPへの移行を推奨します。

ハードウェアセキュリティキー(FIDO2/WebAuthn)

YubikeyなどのUSBデバイスを物理的に挿入して認証する方式です。フィッシングに対して最も強固な防御ですが、デバイスの紛失リスクへの備えが必要です。

パスキー(Passkey)

HStorageはパスキーによるログインにも対応しています。パスキーはデバイス内の生体認証(顔認証・指紋)と暗号鍵を組み合わせた仕組みで、パスワードそのものを廃止できます。

多要素認証の仕組みを示す図

HStorageでのMFA設定手順

HStorageはTOTPによる2段階認証をサポートしています。以下の手順で5分以内に設定できます。

1. 認証アプリをインストールする

スマートフォンに以下のいずれかをインストールしてください。

アプリ iOS Android 特徴
Google Authenticator シンプル、オフライン対応
Microsoft Authenticator クラウドバックアップ対応
Authy 複数デバイス同期対応

2. HStorageのアカウント設定を開く

HStorage にログイン後、右上のアカウントメニューから「セキュリティ設定」→「2段階認証」を選択します。

3. QRコードをスキャンする

画面に表示されるQRコードを認証アプリでスキャンするだけです。アプリが自動的にHStorageのアカウントを登録します。

4. 確認コードを入力して有効化

認証アプリに表示された6桁のコードを入力して「有効化」をクリックすれば完了です。次回ログインからMFAが要求されます。

バックアップコードの保存を忘れずに

設定完了時に表示されるバックアップコードは、スマートフォンを紛失した場合の緊急用アクセス手段です。印刷するかパスワードマネージャーに保存してください。クラウドストレージに保存するのは本末転倒なので避けましょう。

MFA設定後も気を付けること

MFAを設定した後も、運用上の落とし穴がいくつかあります。

信頼済みデバイスの管理

「このデバイスを30日間信頼する」のオプションを使うと、毎回のコード入力を省けます。ただし、会社の共有PCや他人のデバイスでは絶対に使わないでください。

アプリのバックアップ

認証アプリのデータはスマートフォン本体に保存されています。機種変更前にバックアップを取るか、Authyのようにクラウド同期に対応したアプリを使ってください。

不審なログインのモニタリング

HStorageのセキュリティ設定では、過去のログイン履歴(日時・IPアドレス・デバイス)を確認できます。見慣れないアクセスがあれば、すぐにパスワードを変更してください。

セキュリティ脅威からクラウドストレージを守るイメージ

チームでクラウドストレージを使う場合

HStorageのチーム機能を使って複数人でストレージを共有している場合、MFAを設定していないメンバーが1人でもいると、そのアカウントがチーム全体への侵入口になります。

管理者は「メンバー管理」画面でMFA設定状況を一覧確認できます。MFA未設定のメンバーには定期的に設定を促し、企業やチームでの運用ではMFA強制化ポリシー(未設定者のログインを制限する設定)の導入を検討してください。

よくある質問

Q. スマートフォンを機種変更したらどうなりますか?
A. 事前に認証アプリのデータを新機種に移行してください。Google Authenticatorはアカウント移行機能(エクスポート/インポート)を備えています。移行を忘れた場合はバックアップコードでログインし、MFAを再設定してください。

Q. 認証コードが「コードが正しくありません」と表示されます。
A. スマートフォンの時刻がずれているとコードが一致しません。設定アプリから「日時」→「自動設定」をオンにして時刻を同期してください。

Q. MFAを無効化したい場合は?
A. HStorageのセキュリティ設定から2段階認証を無効化できます。ただし、無効化するとパスワードのみの認証に戻るため、強力なパスワードの使用とパスワードマネージャーの導入を合わせて検討してください。

多要素認証の設定は5分もあれば完了します。設定していないアカウントは、パスワードが漏れた瞬間に無防備です。HStorageに重要なファイルを保管しているなら、今すぐMFAを有効にしてください。

設定に関するご不明点はサポートまでお問い合わせください。

HStorage サポート事務局

HStorage サポート事務局

HStorage - https://hstorage.io のお客様対応や、メディアの運用をしています👸