RUNWEBTOOLS
日本語
セキュリティ & プライバシー

二要素認証(2FA)の解説

更新 2026-07-06

二要素認証は、アカウントを守るためにできる最も効果的なただ一つのことであり — 設定には数分で済みます。このガイドはそれが何か、なぜパスワードだけでは不十分か、そして異なる方法の中から選ぶ方法を説明します。

2FA とは

二要素認証(2FA)は二段階認証とも呼ばれ、一つではなく 二つ の異なる種類の証拠で身元を証明することを意味します。古典的な三つのカテゴリは:

  • あなたが知っているもの — パスワードや PIN。
  • あなたが持っているもの — あなたの携帯やハードウェアキー。
  • あなた自身であるもの — 指紋や顔スキャン。

パスワードは一要素です。2FA は二つ目を加え、盗まれたパスワードだけでは入るのに十分でないようにします。

なぜパスワードだけでは不十分か

パスワードは漏れます — データ侵害、サイト間の使い回し、そしてフィッシングを通じて。私たちの 強いパスワードのガイド で扱ったように、一つのサイトが破られると、攻撃者は他のあらゆる場所で同じ認証情報を試します。2FA はその連鎖を断ちます: あなたの正確なパスワードがあっても、攻撃者はあなたの二つ目の要素なしには依然としてログインできません。

方法、悪いものから良いものへ

SMS コード

携帯にテキストで届くコード。何もないよりはるかに良いですが、最も弱い選択肢です — コードは傍受され得ますし、「SIM スワップ」攻撃は犯罪者にあなたの電話番号を乗っ取らせます。唯一の選択肢のときだけ使いましょう。

認証アプリ

携帯のアプリが 30 秒ごとに新しい 6 桁のコードを生成します(これを TOTP と呼びます)。コードはあなたの端末で作られ、ネットワークに送られないので、SMS のように傍受されません。設定はたいてい共有の秘密を持つ QR コード をスキャンすることです。これが大半の人にとっての最適点です — 無料で、簡単で、SMS よりずっと強いです。

ハードウェアセキュリティキー

タップしたり挿したりする小さな物理デバイス(YubiKey のような)。現代の標準(FIDO2/WebAuthn)に基づき、これらが最高峰です — 事実上フィッシングに免疫です、キーが応答する前に本物のウェブサイトを検証するからです。最も重要なアカウントに理想的です。

バックアップコードを飛ばさないで

2FA を有効にすると、サービスは一回限りの バックアップコード を一式くれます。安全な場所に保存しましょう(パスワードマネージャー、または印刷して保管)。これらは携帯を失ったときに戻る手段です — これがないと、二つ目の要素を失うことがアカウントを失うことを意味しかねません。

どこから先に有効にするか

他のものを解錠できるアカウントから始めましょう: メール を最初に(他のほとんどのパスワードをリセットできるので)、次に銀行、そしてあなたの身元やお金に結びついたあらゆるアカウント。サイトごとに固有の 強いパスワード と組み合わせれば、2FA はオンラインの圧倒的多数のアカウントより前にあなたを置きます。他の方法でデータを守るには、写真メタデータとプライバシー のガイドを見てください。

セキュリティ & プライバシー をもっと見る

セキュリティ & プライバシー のガイドをすべて見る →

このガイドで触れたツール