1月23日(現地時間)にAppleはiOS、iPadOS、macOSの最新アップデートをリリースしました。このリリースにより、Apple IDの2要素認証として、物理認証デバイスのセキュリティキーをサポートしました。今まではApple IDでサインインする場合、パスワード入力後、信頼されたデバイス(iPhone、iPad、macOS端末)に6桁の確認コードが表示され、その確認コードを入力することでセキュリティを強化していました。
今回は「セキュリティキーを使用するメリットは何か?」「利用条件は何か?」「どんなセキュリティキーを選べばよいのか?」「どのように設定するのか?」「どのように認証するのか?」についてご紹介していきます。
目次
注意事項
お問い合わせについて セキュリティキーに関するお問い合わせは弊社お問い合わせフォームよりお問い合わせください。Apple IDの設定に関するご質問は、Appleへお問い合わせください。
セキュリティキー設定後のアカウントリカバリーについて セキュリティキーは最低2本登録するようになっており、1つはバックアップ用として安全な場所に保管しておきます。紛失の際はバックアップキーを使用してください。すべてのセキュリティキーを紛失した場合、Appleはアカウントアクセスの手伝いはできないとのことです。
免責 Apple ID保護のためのセキュリティキーの設定に関して、いかなる問題が発生しても弊社は保証いたしません。自己責任で設定するようお願いいたします。
セキュリティキーを使用するメリット
結論から言うと、2要素認証に物理的なセキュリティキーを使用することで、フィッシング攻撃をはじめとした様々な攻撃を防ぐことができます。
フィッシング攻撃のよくあるケースとしては、メールやSMSで偽サイトに誘導し、Apple ID、パスワード、確認コードの情報を盗むといったものです。2要素目にセキュリティキーを使用していれば、認証のたびにセキュリティキーを使用するため、攻撃から身を守ることができます。
最近はスマホ1つで何でもできる便利な世の中になる一方、こういった攻撃の被害に遭うケースも増えてきているので、より強力なセキュリティを求める方におすすめです。
セキュリティキーの利用条件
Apple IDの2要素認証としてセキュリティキーを使用するには下記の条件を満たす必要があります。
Apple製デバイスに対応したFIDO® Certified* のセキュリティキーを少なくとも2つ用意すること。 →「セキュリティキーの選び方」項目で詳細を説明します。
Apple ID でサインインするすべてのデバイスに iOS 16.3、iPadOS 16.3、または macOS Ventura 13.2 以降がインストールされていること。 →対応可能なデバイスの詳細についてはこちらをご確認ください。
Apple IDに2要素認証が設定されていること。 Apple IDでのログイン時に、確認コードを入力している方はすでに設定されています。
Safari、Chrome、 Edge、FirefoxなどWebAuthn対応のブラウザがご利用可能です。(最新バージョンの利用を推奨)
※Apple IDでセキュリティキーが使用できないものについてはこちらをご確認ください。
セキュリティキーの選び方
Apple公式ページで紹介されていますが、Apple IDの2要素認証に使用するセキュリティキーは「FIDO」に対応したものを選ぶ必要があります。Apple公式ページでも紹介されてる「YubiKey (Yubico社)」はFIDOに対応しており、使用するAppleデバイスのインターフェースに合わせて選ぶことができます。弊社はYubico社の正規代理店であり、YubiKeyの販売を行っています。お求めの際はYubiKeyショップまたはAmazonよりお買い求めください。
Macのポートを調べる場合はこちらから。
YubiKey一覧
上段のYubiKey5シリーズはFIDOを含めた複数のプロトコル(OTP、PIV、OpenPGPなど)に対応したモデルです。中段のSecurity KeyシリーズはFIDOプロトコルに対応した比較的安価なモデルです。下段のYubiKey Bioシリーズは唯一の生体認証モデルであり、FIDOプロトコルに対応しています。
iPhoneでご利用の場合は、NFC対応のものがオススメです(製品名にNFCと記載のもの)。iPhone、iPad、macOS端末に接続して使用する場合は、YubiKey5Ciがオススメです。
FIDO(ファイド)セキュリティキーについて
FIDOとは、公開鍵暗号方式を用いたセキュリティ強度の高い認証方法で、堅牢なフィッシング耐性を有しているのが特徴です。ここでは細かい技術仕様については解説しません。FIDOプロトコルの中でもFIDO2またはFIDO U2Fのどちらに対応しているかで、セキュリティキーの操作に違いがあるため、簡単に違いを説明します。
FIDO U2F
FIDO U2Fは、2要素目の認証として機能するように設計されています。例えば、パスワード入力後、セキュリティキーのタッチ操作などにより所持を確認するという使われ方です。ただし、タッチ操作で指紋を確認しているわけでなく、あくまで持っていることを確認しています。
FIDO2
FIDO2は、FIDO U2Fとの互換性を保ちながら、パスワードレスとして機能するように設計されています。例えば、ID入力後、セキュリティキーを挿し込み、PINまたは生体を確認するという使われ方です。FIDO2により、セキュリティキー単体で所持と知識または生体で2要素認証が可能になります。
(本記事内で紹介しているYubiKeyはすべてFIDO2に対応しています。)
FIDO2対応のセキュリティキーを購入された方は次項の「セキュリティキー自体のセットアップ」にてPINや指紋の登録を行ってください。
※Apple IDでログインする際、セキュリティキーのPINが設定されているか否かで挙動が変わります。PINが設定されているものはFIDO2として動作し、PINが設定されていないものは、セキュリティキーのタッチのみが求められます。
セキュリティキー自体のセットアップ
FIDO2対応のセキュリティキーは初期状態ではPINが設定されていません。下記の設定情報をもとにセキュリティキーのPIN設定を行ってください。生体対応キーはPIN設定後に生体登録が可能です。
macOS端末をご利用の方は下記のページを参照ください。 FIDO2セキュリティキーのPINの設定 / 指紋の設定 - macOS編
Windows端末をご利用の方は下記のページを参照ください。 FIDO2セキュリティキーのPINの設定 / 指紋の設定 - Windows編
※Apple IDでログインする際、セキュリティキーのPINが設定されているか否かで挙動が変わります。PINが設定されているものはFIDO2として動作し、PINが設定されていないものは、セキュリティキーのタッチのみが求められます。
セキュリティキーの設定方法
セキュリティキーの設定前に、2本のセキュリティキーを準備しておいてください。
※セキュリティキーのご購入に関しては「セキュリティキーの選び方」項目に記載しています。
ご注意
セキュリティキー登録に関して セキュリティキー登録の際、登録の手続きに時間がかかりすぎたり、NFCの反応が悪かったりすると、「このセキュリティキーは登録できません」というエラーメッセージが表示される場合があります。その場合はもう一度やり直してみてください。
確認コードの使用について セキュリティキー設定後は2要素認証時にセキュリティキーが求められます。今まで使用していた確認コードでの認証はできなくなります。すべてのセキュリティキーが削除された場合は、確認コードでの認証に戻ります。
セキュリティキー設定後のアカウントリカバリーについて セキュリティキーは最低2本登録するようになっており、1つはバックアップ用として安全な場所に保管しておきます。紛失の際はバックアップキーを使用してください。すべてのセキュリティキーを紛失した場合、Appleはアカウントアクセスの手伝いはできないとのことです。
セキュリティキーのリセットについて FIDO対応のセキュリティキーはPINを8回連続で間違えると、セキュリティキー自体がブロックされます。その場合はセキュリティキーのリセットが必要になります。このセキュリティキーのリセットを行うとこれまでに登録したすべての認証情報も失ってしまうため、再設定が必要になります。
ご利用のAppleデバイス別に設定方法を説明しています。
iPhoneやiPadの設定方法
本記事では「YubiKey 5 NFC」と「YubiKey 5Ci」を使用しています。
1. 「設定」を開きます。
2. ユーザー名をタップします。
3. 「パスワードとセキュリティ」をタップします。
4. 「セキュリティキーを追加」をタップします。
5. 「セキュリティキーを追加」をタップします。
6. 「続ける」をタップします。
7. iPhoneのパスコードを入力します。
8. セキュリティキーを接続し、ボタン部分にタッチします。または、NFC対応のセキュリティキーをかざします。
※YubiKey 5Ciの場合は左右に小さな金属部分があり、そこにタッチすると反応します。その他のセキュリティキーでもボタン部分が点滅していたりするので、あまり迷わないかと思います。
9. セキュリティキーに設定している「PIN」を入力します。 ※セキュリティキーにPINが設定していない場合はこの処理はスキップされ、セキュリティキーのタッチのみが求められます。(FIDO(ファイド)セキュリティキーについて参照)
10. PIN入力後、下記メッセージが表示されるので、もう一度セキュリティキーのボタン部分にタッチしてください。もしくは、セキュリティキーをかざします。
※NFCをかざした状態であれば、下記メッセージは表示されません。
11. セキュリティキーに任意の名前を入力します。
12. 2本目のキーの登録が始まるので、セキュリティキーを接続しボタン部分をタッチします。または、NFC対応のセキュリティキーをかざします。
※YubiKey 5Ciの場合は左右に小さな金属部分があり、そこにタッチすると反応します。その他のセキュリティキーでもボタン部分が点滅していたりするので、あまり迷わないかと思います。
13. セキュリティキーに設定している「PIN」を入力します。 ※セキュリティキーにPINが設定していない場合はこの処理はスキップされ、セキュリティキーのタッチのみが求められます。(FIDO(ファイド)セキュリティキーについて参照)
14. PIN入力後、下記のメッセージが表示されるので、接続しているセキュリティキーのボタン部分をタッチします。もしくはセキュリティキーをかざします)
15. セキュリティキーに任意の名前を入力し、次へ進みます。
16. 最後に、Apple ID に関連付けられているデバイスを確認し、以下のいずれかを選択します。
すべてのデバイスでサインイン状態を維持する。
アカウントに今後アクセスする必要のないデバイスを選択し、それらのデバイスからサインアウトする。
17. 「完了」をクリックして操作終了です。
以上で、セキュリティキーの設定は完了です。
認証方法については「セキュリティキーでの認証方法」項目をご確認ください。
Macの設定方法
本記事では「YubiKey 5 Ci」と「YubiKey Bio - FIDO Edition」を使用しています。1本目はYubiKey 5Ciを接続してPIN入力で登録、2本目はYubiKey Bio - FIDO Editionを接続して生体(指紋)による登録を行います。
※今回は説明のために、PINと生体(指紋)というパターンを試しています。
1. Apple メニューから「システム設定」をクリックします。
2. ユーザー名をクリックし、「パスワードとセキュリティ」をクリックします。
3. セキュリティキー項目右側にある「追加」をクリックします。
4. 「セキュリティキーを追加」をクリックします。
5. 「続ける」をクリックします。
6. Macのパスワードを入力します。
7. 「続ける」をクリックします。
8. セキュリティキーを接続し、ボタン部分にタッチします。
※YubiKey 5Ciの場合は左右に小さな金属部分があり、そこにタッチすると反応します。その他のセキュリティキーでもボタン部分が点滅していたりするので、あまり迷わないかと思います。
9. セキュリティキーに設定している「PIN」を入力します。 ※セキュリティキーにPINが設定していない場合はこの処理はスキップされ、セキュリティキーのタッチのみが求められます。(FIDO(ファイド)セキュリティキーについて参照)
※生体(指紋)を利用している場合はPIN入力の操作はありません。
10. PIN入力後、下記のメッセージが表示されるので、接続しているセキュリティキーのボタン部分をタッチします。
11. セキュリティキーに任意の名前を入力し、「続ける」をクリックします。 ※入力枠でReturnキーを押下した段階で次に進みます。
12. 「続ける」をクリックします。
13. セキュリティキーを接続し、ボタン部分にタッチします。
※2本目の登録は生体(指紋)での登録で説明しています。非生体キーをご利用の場合は、1本目の登録と同様の操作となります。
※YubiKey Bioの場合は、真ん中の指紋センサーにタッチします(指紋センサー部分とその縁のリング部分に触れている必要があります)。
14. セキュリティキーに任意の名前を入力し、「続ける」をクリックします。 ※入力枠でReturnキーを押下した段階で次に進みます。
15. 最後に、Apple ID に関連付けられているデバイスを確認し、以下のいずれかを選択します。
すべてのデバイスでサインイン状態を維持する。
アカウントに今後アクセスする必要のないデバイスを選択し、それらのデバイスからサインアウトする。
16. 完了すると、下記のメッセージが表示されます。「完了」をクリックして操作終了です。
以上で、セキュリティキーの設定は完了です。
認証方法については「セキュリティキーでの認証方法」項目をご確認ください。
セキュリティキーでの認証方法
今回はiPhoneを使用して、iCloudのログインを例に説明します。
(Macでも同様の認証フローになります。)
ご注意
認証操作に時間がかかると、認証が失敗する場合があります。具体的に言うとセキュリティキーが求められてから、認証操作(タッチ操作、PIN入力、指紋確認)が完了するまでに時間がかかる場合は認証に失敗する場合があります。
1. Apple IDとパスワードを入力します。
2. 「続ける」をタップします。
3. セキュリティキーを接続し、ボタン部分をタッチします。または、NFC対応のセキュリティキーをかざします。
4. セキュリティキーに設定している「PIN」を入力します。 ※セキュリティキーにPINが設定していない場合はこの処理はスキップされ、セキュリティキーのタッチのみが求められます。(FIDO(ファイド)セキュリティキーについて参照)
※生体(指紋)を利用している場合はPIN入力の操作はありません。
5. 再度、セキュリティキーのボタン部分をタッチします。または、NFC対応のセキュリティキーをかざします。
6. ブラウザを信頼するかどうか、以下のいずれかを選択します。
信頼しない 毎回2要素認証を求める
信頼する 信頼する場合は、30日間はそのデバイスでのログイン時に2要素認証を要求しません。
7. ログイン完了
FAQ
「パスワードとセキュリティ」の項目に「セキュリティキーの追加」が表示されていませんがなぜでしょうか?
セキュリティキーの登録でエラーメッセージが表示され登録できません。どうすればよいでしょうか?
セキュリティキーは最大いくつまで設定することができますか?
確認コードの利用に戻すことはできますか?
セキュリティキーがブロックされました。どうすればよいですか?
すべてのセキュリティキーをなくした場合。どうなりますか?
セキュリティキーを用いた認証に失敗します。どうすればよいですか?
セキュリティキーのPINを忘れてしまいました。どうすればよいですか?