Box Status
印刷

アカウントの多要素認証の設定

has_image , End User , 2fa , Security and compliance , Article , Established , Instruction , Secure

多要素認証 (MFA) とは、Boxのような製品やサービスへのアクセスを許可する前に実施される、ユーザーに2種類以上の証拠や要素の提示を要求するセキュリティメカニズムです。最も一般的なのは2要素認証 (2FA) で、この場合、ユーザーは以下の要素のうち2つによる認証が求められます。

要素 定義
知識 ユーザー本人だけが知っていること。 パスワード
所持 ユーザー本人だけが持っているもの。 ハードウェアおよびソフトウェアのキー
生体 ユーザー本人の特徴。 指紋

認証にシングルサインオン (SSO) を使用していない組織の場合、Boxでは、ユーザーが自身のアカウントに対して2要素認証を設定できます。第1要素はパスワードです。第2要素は、所持要素に該当するワンタイムパスワード (OTP) となり、第2要素にSMSと認証アプリのどちらを使用するかを選択できます。第2要素には、認証アプリ、SMS、またはメールを選択できます。

  • SMSとは、ショートメッセージサービスのことで、携帯電話で使用するテキストメッセージです。SMSでは、安全なランダムジェネレータによって作成されたワンタイムパスワードを受信します。
  • 認証アプリでは、アルゴリズムを使用してワンタイムパスワードが生成されます。ワンタイムパスワードとは、認証アプリが要求に応じて生成する一意のランダムなパスワードです。このようなワンタイムパスワードは、一定期間 (ほとんどの場合は数秒または数分) が経過すると期限切れになります。Boxの2FAでは、Internet Engineering Task Forceの仕様IETF-6238で定義されているTOTP (時間ベースのワンタイムパスワード) アルゴリズムに準拠している認証アプリがサポートされています。この仕様に準拠しているアプリケーションには、Google Authenticator、Microsoft Authenticator、Authy、Duo、LastPassがありますが、TOTPに準拠した特定の認証アプリを使用するよう管理者から求められる場合があります。
  • メールは、OTP認証と似ており、ユーザーが選択したメールアドレス宛てにBoxアカウントにアクセスするためのコードを送信します。この方法では、ログインアクセスをユーザーのメールアドレスに関連付けることで、以前のユーザーによるアクセスを防止します。 

Boxでは、2FAの第2要素に使用する方法として、サポートされている認証アプリをお勧めします。2要素認証でSMSを使用する場合は、以下のような既知の問題があります。

  • ユーザーが移動中やオフラインの場合、またはSMSを使用した2FAをサポートしていない国に滞在している場合は、SMSを利用できないことがあります。また、コードスキャンなどで認証アプリとシークレットを共有すると、その認証アプリはそれ自体で処理を完結し、その後ワンタイムパスワードを生成するためにネットワークに接続する必要がなくなります。
  • SIMスワッピングなど、SMSのセキュリティには既知の脆弱性があります。

ただし、SSO (シングルサインオン) を使用していないユーザーがFTPを使用してBoxにアクセスする場合、認証アプリを使用することはできません。2FAを有効にして、FTP経由でBoxにアクセスするには、2FAにSMSを使用する必要があります。

Box Enterpriseの管理者は、外部コラボレータに2FAを使用するよう要求できます。この場合、管理者は、認証アプリによる2FAを要求することも、SMSによる2FAを許可することもできます。

MFA用のデバイスが利用できない場合 (携帯電話の通信圏外地域にいる場合、デバイスを紛失したり盗まれたりした場合、新しいデバイスを入手した場合など) に第2要素として認証アプリまたはSMSを使用してログインを許可する際は、Boxからバックアップコードも提供されます。このバックアップコードは、認証アプリまたはSMSのMFA設定プロセスで生成され、コピーして安全な場所に保存できるように表示されます。

多要素認証の有効化

2要素認証には、認証アプリ、メール、SMSのいずれか1つのみを有効にできます。また、有効にできるのは、組織で認証にシングルサインオン (SSO) を使用していない場合のみです。SSOを使用している場合、[アカウント設定] に [2段階認証] セクションは表示されません。

個人のアカウントで認証アプリによる多要素認証を有効にするには:

  1. [アカウント設定] > [アカウント] に移動します。
  2. [2段階認証] セクションで [設定] をクリックします  (注: 認証にシングルサインオン (SSO) を使用する組織に属している場合、このセクションは表示されません)。
  3. [認証アプリ] を選択し (推奨)、[次へ] をクリックします。
  4. 携帯電話で認証アプリを開き、QRコードをスキャンします  (QRコードの下にあるシークレットキーを認証アプリに手動で入力してもかまいません)。
  5. 認証アプリで受け取ったコードを入力し、[送信] をクリックします。
  6. 認証に使用する電話番号を入力します。この電話番号は、認証アプリで認証できない場合にBoxサポートが本人確認を行うために使用します。[送信] をクリックします。
  7. バックアップコードをコピーします。コピーしたら、自分だけがアクセスできるファイルにそのコードを貼り付け、ファイルを安全な場所に保存します。 
  8. [完了] をクリックします。

個人のアカウントでメールによる多要素認証を有効にするには:

  1. [アカウント設定] > [アカウント] に移動します。 
  2. [2段階認証] セクションで [設定] をクリックします。
  3. [設定] をクリックします。
  4. [メール] を選択して、[次へ] をクリックします。
    • 次のウィンドウでは、メールによるMFAを使用してサインインすることを確認します。[送信] をクリックして続行します。
  5. Boxのログインに使用するメールアドレスを選択します。
  6. MFA用に選択したメールアドレスに送信されたコードを入力します。

メールアドレスを使用してMFAを設定すると、次回ログインする際にメールによるMFAが必要であることが通知されます。

個人のアカウントでSMSによる多要素認証を有効にするには:

Box管理者が認証方法としてSMSを許可していない場合があります。この場合、このオプションは利用できません。

  1. [アカウント設定] > [アカウント] に移動します。
  2. [2段階認証] セクションで [設定] をクリックします。
  3. [SMSテキストメッセージ] を選択し、[次へ] をクリックします。
  4. 電話番号を入力し、[続行] をクリックします。SMSによる2FAをサポートしていない国の一覧については、SMSのサポート対象外の国を参照してください。
  5. テキストメッセージとして受け取ったコードを入力し、[送信] をクリックします。
  6. バックアップコードをコピーします。コピーしたら、自分だけがアクセスできるファイルにそのコードを貼り付け、ファイルを安全な場所に保存します。
  7. [完了] をクリックします。

多要素認証の削除

個人のアカウントから多要素認証方法を削除するには:

  1. ページの右上にあるアカウントのアイコンをクリックし、[アカウント設定] を選択します。
  2. [アカウント] タブで、[認証] セクションまでスクロールします。
  3. 削除する認証方法の横にある [削除] をクリックし、確認のダイアログボックスで [削除] をクリックします。

管理者によって多要素認証を使用するよう要求されている場合にすべての認証方法を削除すると、次回サインイン時に認証を受ける前に認証方法を追加する必要があります。

SMSのサポート対象外の国

Boxは2つ目の認証要素としてSMS (テキストメッセージ) を提供しています。2023年2月時点では、この方法をサポートしていない国は以下のとおりです。

 

アフリカおよび中東: イラン、シリア

アジア: 北朝鮮

ヨーロッパ: ウクライナ - クリミア、ドネツク、およびルハンシク地域

北米: 該当なし

オセアニア: 該当なし

南アメリカ: 該当なし

 

自分のアカウントからロックアウトされた場合

電話番号の変更によりアカウントからロックアウトされたり、あるいは、その他の理由でモバイルデバイスに送信された確認コードにアクセスできない場合は、アカウントの2要素認証を無効にできる権限を持つ管理者に連絡をしてください。Business Plus管理者とEnterprise管理者は、管理コンソールのインスタントログイン機能を使用して、ユーザーの [アカウント設定] から2要素認証を無効にできます。


Personal、Starter、Businessエディションのアカウントをお使いの場合は、Box Product Supportにお問い合わせください。

関連記事