多要素認証 (MFA) とは、ユーザーが製品やサービス (Boxなど) へのアクセスの許可を得るために2種類以上の証拠 (つまり要素) を提供する必要があるセキュリティメカニズムです。最も一般的なのは2要素認証 (2FA) で、この場合、ユーザーは以下の要素のうち2つによる認証が求められます。
| 要素 | 定義 | 例 |
|---|---|---|
| 知識 | ユーザー本人だけが知っていること。 | パスワード |
| 所持 | ユーザー本人だけが持っているもの。 | ハードウェアおよびソフトウェアのキー |
| 生体 | ユーザー本人の特徴。 | 指紋 |
認証にシングルサインオン (SSO) を使用していない組織の場合、Boxでは、ユーザーが自身のアカウントに対して2要素認証を設定できます。第1要素はパスワードです。第2要素は、所持要素に該当するワンタイムパスワード (OTP) となり、第2要素にSMSと認証アプリのどちらを使用するかを選択できます。
- SMSとは、ショートメッセージサービスのことで、携帯電話で使用するテキストメッセージです。
- 認証アプリでは、アルゴリズムを使用してワンタイムパスワードが生成されます。ワンタイムパスワードとは、認証アプリが要求に応じて生成する一意のランダムなパスワードです。このようなワンタイムパスワードは、一定期間 (ほとんどの場合は数秒または数分) が経過すると期限切れになります。Boxの2FAでは、Internet Engineering Task Forceの仕様IETF-6238で定義されているTOTP (時間ベースのワンタイムパスワード) アルゴリズムに準拠している認証アプリがサポートされています。この仕様に準拠しているアプリケーションには、Google Authenticator、Microsoft Authenticator、Authy、Duo、LastPassがありますが、TOTPに準拠した特定の認証アプリを使用するよう管理者から求められる場合があります。
注
Boxでは、2FAの第2要素に使用する方法として、サポートされている認証アプリをお勧めします。2要素認証でSMSを使用する場合は、以下のような既知の問題があります。
- ユーザーが移動中やオフラインの場合、またはSMSを使用した2FAをサポートしていない国に滞在している場合は、SMSを利用できないことがあります。また、コードスキャンなどで認証アプリとシークレットを共有すると、その認証アプリはそれ自体で処理を完結し、その後ワンタイムパスワードを生成するためにネットワークに接続する必要がなくなります。
- SIMスワッピングなど、SMSのセキュリティには既知の脆弱性があります。
ただし、SSO (シングルサインオン) を使用していないユーザーがFTPを使用してBoxにアクセスする場合、認証アプリを使用することはできません。2FAを有効にして、FTP経由でBoxにアクセスするには、2FAにSMSを使用する必要があります。
個人のアカウントで認証アプリによる2要素認証を有効にするには:
- ページの右上にあるアカウントのアイコンをクリックし、[アカウント設定] を選択します。
- [アカウント] タブで、[2段階認証] セクションまでスクロールします (注: 認証にシングルサインオン (SSO) を使用する組織に属している場合、このセクションは表示されません)。
- [設定] をクリックします。
- [認証アプリ] を選択し (推奨)、[次へ] をクリックします。
- 携帯電話で認証アプリを開き、QRコードをスキャンします (QRコードの下にあるシークレットキーを認証アプリに手動で入力してもかまいません)。
- 認証アプリで受け取ったコードを入力し、[送信] をクリックします。
個人のアカウントでSMSによる2要素認証を有効にするには:
- ページの右上にあるアカウントのアイコンをクリックし、[アカウント設定] を選択します。
- [アカウント] タブで、[2段階認証] セクションまでスクロールします (注: 認証にシングルサインオン (SSO) を使用する組織に属している場合、このセクションは表示されません)。
- [有効化] をクリックします。
- [SMSテキストメッセージ] を選択し、[次へ] をクリックします。
- 電話番号を入力し、[続行] をクリックします。SMSによる2FAをサポートしている国の一覧については、サポート対象の国を参照してください。
- テキストメッセージとして受け取ったコードを入力し、[送信] をクリックします。
個人のアカウントから多要素認証方式を削除するには:
- ページの右上にあるアカウントのアイコンをクリックし、[アカウント設定] を選択します。
- [アカウント] タブで、[認証] セクションまでスクロールします。
- 削除する認証方式の横にある [削除] をクリックし、確認のダイアログボックスで [削除] をクリックします。
注
管理者によって多要素認証を使用するよう要求されている場合にすべての認証方式を削除すると、次回サインイン時に認証を受ける前に認証方式を追加する必要があります。
SMSのサポート対象の国
Boxは2つ目の認証要素としてSMS (テキストメッセージ) を提供しています。2019年9月時点では、この方法をサポートしている国は以下のとおりです。
アフリカおよび中東: アルジェリア、アンゴラ、バーレーン、ベナン、ボツワナ、ブルキナファソ、ブルンジ、カメルーン、カーボベルデ、中央アフリカ、チャド、コモロ、コンゴ、ジブチ、コンゴ民主共和国、赤道ギニア、エチオピア、エリトリア、ガボン、ガンビア、ガーナ、ギニア、ギニアビサウ、イラン、イラク、イスラエル、コートジボワール、レバノン、レソト、リベリア、リビア、マダガスカル、マラウイ、マリ、モーリタニア、モーリシャス、モロッコ、モザンビーク、ナミビア、ニジェール、ナイジェリア、レユニオン/マヨット、ルワンダ、サントメ・プリンシペ、セネガル、セーシェル、シエラレオネ、ソマリア、南アフリカ、南スーダン、スーダン、スワジランド、シリア、トーゴ、チュニジア、ウガンダ、イエメン、ザンビア、ジンバブエ
アジア: アフガニスタン、アゼルバイジャン、バングラデシュ、ブータン、ブルネイ、カンボジア、中国、東ティモール、ジョージア、香港、インド、日本、韓国、キルギスタン、ラオス、マカオ、マレーシア、モルディブ、モンゴル、ミャンマー、ネパール、パキスタン、シンガポール、スリランカ、台湾、タジキスタン、トルクメニスタン、ウズベキスタン、ベトナム
ヨーロッパ: アルバニア、アンドラ、オーストリア、ベルギー、ボスニア・ヘルツェゴビナ、ブルガリア、クロアチア、キプロス、チェコ共和国、デンマーク、エストニア、フェロー諸島、フィンランド、フランス、ドイツ、ジブラルタル、ギリシャ、グリーンランド、ガーンジー、ハンガリー、アイスランド、アイルランド、イタリア、ジャージー、ラトビア、リヒテンシュタイン、リトアニア、ルクセンブルク、マケドニア、マルタ、モルドバ、モナコ、モンテネグロ、オランダ、オランダ領アンティル諸島、ノルウェー、ポーランド、ポルトガル、ルーマニア、サンマリノ、セルビア、スロバキア、スロベニア、スペイン、スウェーデン、スイス、ウクライナ、イギリス
北米: アンギラ、アンティグア・バーブーダ、アルバ、バハマ、バルバドス、ベリーズ、バミューダ諸島、カナダ、ケイマン諸島、コスタリカ、キューバ、ドミニカ、ドミニカ共和国、エルサルバドル、グレナダ、グアドループ、グアテマラ、ハイチ、ホンジュラス、ジャマイカ、マルティニーク、メキシコ、モントセラト、ニカラグア、パナマ、プエルトリコ、セントクリストファー・ネイビス、セントルシア、サンピエール島・ミクロン島、セントビンセント・グレナディーン、トリニダード・トバゴ、タークス・カイコス諸島、米国、イギリス領ヴァージン諸島、アメリカ領バージン諸島
オセアニア: アメリカ領サモア、オーストラリア、クック諸島、フィジー、フランス領ポリネシア、グアム、マーシャル諸島、ミクロネシア、ニューカレドニア、ニュージーランド、ノーフォーク島、ニウエ、パラオ、パプアニューギニア、サモア、ソロモン諸島、トンガ、ツバル、バヌアツ
南米: アルゼンチン、ボリビア、ブラジル、チリ、コロンビア、エクアドル、フォークランド諸島、フランス領ギアナ、ガイアナ、パラグアイ、ペルー、スリナム、ウルグアイ、ベネズエラ
自分のアカウントからロックアウトされた場合
電話番号の変更によりアカウントからロックアウトされたり、あるいは、その他の理由でモバイルデバイスに送信された確認コードにアクセスできない場合は、アカウントの2要素認証を無効にできる権限を持つ管理者に連絡をしてください。Business Plus管理者とEnterprise管理者は、管理コンソールのインスタントログイン機能を使用して、ユーザーの [アカウント設定] から2要素認証を無効にできます。
Personal版、Starter版、Business版のアカウントをお使いの場合は、Box製品サポートにお問い合わせください。