多要素認証 (MFA) とは、Boxのような製品やサービスへのアクセスを許可する前に実施される、ユーザーに2種類以上の証拠や要素の提示を要求するセキュリティメカニズムです。 最も一般的なのは2要素認証 (2FA) で、この場合、ユーザーは以下の要素のうち2つによる認証が求められます。
| 要素 | 定義 | 例 |
|---|---|---|
| 知識 | ユーザー本人だけが知っていること。 | パスワード |
| 所持 | ユーザー本人だけが持っているもの。 | ハードウェアおよびソフトウェアのキー |
| 生体 | ユーザー本人の特徴。 | 指紋 |
認証にシングルサインオン (SSO) を必要としない組織の場合、Boxでは、ユーザーが自身のアカウントに対して2要素認証を設定できます。 第1要素はパスワードです。 第2要素は、所持要素に該当するワンタイムパスワード (OTP) です。 第2要素には、認証アプリ、SMS、セキュリティキー、またはメールを選択できます。
- SMSとは、ショートメッセージサービスのことで、携帯電話で使用するテキストメッセージです。SMSでは、安全なランダムジェネレータによって作成されたワンタイムパスワードを受信します。
セキュリティキーとは、多要素認証で所持要素として使用される物理的デバイスのことです。 Boxと互換性のあるセキュリティキーは、FIDO2/WebAuth規格に対応している必要があります。 認証するには、USBポートにキーを差し込むかNFCを使用してキーをタップした後、キーのボタンを押します。 セキュリティキーは、オフラインで動作し、ログイン先のウェブサイトを検証することでフィッシングの防止に役立ちます。サポートされているセキュリティキーには以下が含まれます (ただし、この限りではありません):
- Yubikey/Yubico
- Google Titan
- Feitian
- Nitrokey
-
トラブルシューティングのヒントについては、セキュリティキーによるMFAのトラブルシューティングを参照してください。
注: Box Mobileアプリでは、MFAフローにおけるFIDO2/WebAuthのパスキー認証がサポートされています。 ただし、シングルサインオン (SSO) フローにおけるパスキー認証は、現在Box Mobileアプリでサポートされていません。
- 認証アプリでは、アルゴリズムを使用してワンタイムパスワードが生成されます。ワンタイムパスワードとは、認証アプリが要求に応じて生成する一意のランダムなパスワードです。 このようなワンタイムパスワードは、一定期間 (ほとんどの場合は数秒または数分) が経過すると期限切れになります。 Boxの2FAでは、Internet Engineering Task Forceの仕様IETF-6238で定義されているTOTP (時間ベースのワンタイムパスワード) アルゴリズムに準拠している認証アプリがサポートされています。 この仕様に準拠しているアプリケーションには、Google Authenticator、Microsoft Authenticator、Authy、Duo、LastPassがありますが、TOTPに準拠した特定の認証アプリを使用するよう管理者から求められる場合があります。
- メールは、OTP認証と似ており、ユーザーが選択したメールアドレス宛てにBoxアカウントにアクセスするためのコードを送信します。 この方法では、ログインアクセスをユーザーのメールアドレスに関連付けることで、以前のユーザーによるアクセスを防止します。
注
Boxでは、2FAの第2要素に使用する方法として、サポートされている認証アプリまたはセキュリティキーをお勧めします。 2要素認証でSMSを使用する場合は、以下のような既知の問題があります。
- ユーザーが移動中やオフラインの場合、またはSMSを使用した2FAをサポートしていない国に滞在している場合は、SMSを利用できないことがあります。 また、コードスキャンなどで認証アプリとシークレットを共有すると、その認証アプリはそれ自体で処理を完結し、その後ワンタイムパスワードを生成するためにネットワークに接続する必要がなくなります。
- SIMスワッピングなど、SMSのセキュリティには既知の脆弱性があります。
ただし、SSO (シングルサインオン) を使用していないユーザーがFTPを使用してBoxにアクセスする場合、認証アプリまたはセキュリティキーを使用することはできません。 2FAを有効にして、FTP経由でBoxにアクセスするには、2FAにSMSを使用する必要があります。
Box Enterpriseの管理者は、外部コラボレータに2FAを使用するよう要求できます。 この場合、管理者は、認証アプリまたはセキュリティキーによる2FAを要求することも、認証アプリ、SMS、メール、またはセキュリティキーによる2FAを許可することもできます。
MFA用のデバイスが利用できない場合 (携帯電話の通信圏外地域にいる場合、デバイスを紛失したり盗まれたりした場合、新しいデバイスを入手した場合など) に第2要素として認証アプリ、SMS、またはセキュリティキーを使用してログインを許可する際は、Boxからバックアップコードも提供されます。 このバックアップコードは、認証アプリ/SMS/セキュリティキーのMFA設定プロセスで生成されるので、コピーして安全な場所に保存します。
多要素認証の有効化
2要素認証には、認証アプリ、セキュリティキー、メール、またはSMSのいずれか1つのみを有効にできます。また、有効にできるのは、組織で認証にシングルサインオン (SSO) を必要としない場合のみです。 SSOを使用している場合、[アカウント設定] に [2段階認証] セクションは表示されません。
個人のアカウントでセキュリティキーによる多要素認証を有効にするには:
- [アカウント設定] > [アカウント] に移動します。
- [2段階認証] セクションで [設定] をクリックします (注: 認証にシングルサインオン (SSO) を必要とする組織に属している場合、このセクションは表示されません)。
- [セキュリティキー] を選択して、[次へ] をクリックします。
- 手順に従ってセキュリティキーを差し込み、NFCをタッチするか有効にした後、[送信] をクリックします。
- バックアップコードをコピーします。 コピーしたら、自分だけがアクセスできるファイルにそのコードを貼り付け、ファイルを安全な場所に保存します。
- [完了] をクリックします。
注: セキュリティキーの導入から一定期間に限り、セキュリティキーによるMFAに登録していても、セキュリティキーによる認証が一時的に利用できない場合は、セキュリティキーの機能が復元されるまでメールベースのMFAに自動的に切り替わります。
個人のアカウントで認証アプリによる多要素認証を有効にするには:
- [アカウント設定] > [アカウント] に移動します。
- [2段階認証] セクションで [設定] をクリックします (注: 認証にシングルサインオン (SSO) を必要とする組織に属している場合、このセクションは表示されません)。
- [認証アプリ] を選択し、[次へ] をクリックします。
- 携帯電話で認証アプリを開き、QRコードをスキャンします (QRコードの下にあるシークレットキーを認証アプリに手動で入力してもかまいません)。
- 認証アプリで受け取ったコードを入力し、[送信] をクリックします。
- 認証に使用する電話番号を入力します。この電話番号は、認証アプリで認証できない場合にBoxサポートが本人確認を行うために使用します。[送信] をクリックします。
- バックアップコードをコピーします。 コピーしたら、自分だけがアクセスできるファイルにそのコードを貼り付け、ファイルを安全な場所に保存します。
- [完了] をクリックします。
個人のアカウントでメールによる多要素認証を有効にするには:
- [アカウント設定] > [アカウント] に移動します。
- [2段階認証] セクションで [設定] をクリックします。
- [設定] をクリックします。
- [メール] を選択して、[次へ] をクリックします。
- 次のウィンドウでは、メールによるMFAを使用してサインインすることを確認します。 [送信] をクリックして続行します。
- Boxのログインに使用するメールアドレスを選択します。
- MFA用に選択したメールアドレスに送信されたコードを入力します。
メールアドレスを使用してMFAを設定すると、次回ログインする際にメールによるMFAが必要であることが通知されます。
個人のアカウントでSMSによる多要素認証を有効にするには:
注
Box管理者が認証方法としてSMSを許可していない場合があります。 この場合、このオプションは利用できません。
- [アカウント設定] > [アカウント] に移動します。
- [2段階認証] セクションで [設定] をクリックします。
- [SMSテキストメッセージ] を選択し、[次へ] をクリックします。
- 電話番号を入力し、[続行] をクリックします。 SMSによる2FAをサポートしていない国もあります。
- テキストメッセージとして受け取ったコードを入力し、[送信] をクリックします。
- バックアップコードをコピーします。 コピーしたら、自分だけがアクセスできるファイルにそのコードを貼り付け、ファイルを安全な場所に保存します。
- [完了] をクリックします。
多要素認証の削除
個人のアカウントから多要素認証方法を削除するには:
- ページの右上にあるアカウントのアイコンをクリックし、[アカウント設定] を選択します。
- [アカウント] タブで、[認証] セクションまでスクロールします。
- 削除する認証方法の横にある [削除] をクリックし、確認のダイアログボックスで [削除] をクリックします。
注
管理者によって多要素認証を使用するよう要求されている場合にすべての認証方法を削除すると、次回サインイン時に認証を受ける前に認証方法を追加する必要があります。
自分のアカウントからロックアウトされた場合
電話番号の変更、セキュリティキーの紛失によりアカウントからロックアウトされたり、あるいは、その他の理由でモバイルデバイスに送信された確認コードにアクセスできない場合は、アカウントの2要素認証を無効にできる権限を持つ管理者に連絡をしてください。 Business Plus管理者とEnterprise管理者は、管理コンソールのインスタントログイン機能を使用して、ユーザーの [アカウント設定] から2要素認証を無効にできます。
既存のセキュリティキーの登録で問題が発生している場合は、以下を確認してください。
- 最初に登録したのと同じセキュリティキーを使用していること
- セキュリティキーがFIDO2/WebAuth規格に準拠していること
- セキュリティキーが以下のブラウザおよびオペレーティングシステムの要件を満たしていること
| ウェブブラウザ | macOS 10.15以上 | Windows 10 | Windows 11 | Linux | iOS 14.5以上 | Android 8以上 |
|
Chrome (バージョン67以降) Edge (バージョン18以降) Chromiumベースのブラウザ (バージョン18以降) |
〇 | 〇 | 〇 | 〇 (LinuxのEdgeでは×) | 〇 | 〇 |
| Safari (日本時間2019年9月20日リリースのバージョン13以降) | 〇 | 該当なし | 該当なし | 該当なし | 〇 | 該当なし |
| Firefox (バージョン60以降) | 〇 | 〇 | 〇 | × | 〇 | 〇 |
| Samsung Internet v17.0以上 | 該当なし | 該当なし | 該当なし | 該当なし | 該当なし | 〇 |
該当なしとは、そのオペレーティングシステムでそのウェブブラウザがサポートされていないことを意味します。
Personal、Starter、Businessエディションのアカウントをお使いの場合は、Box Product Supportまでお問い合わせください。