U2F を使用した Cloud Platform アカウントの保護

Google アカウントの保護とデジタル資産のロックダウンを支援するために、ログイン方式として 2 段階認証プロセスタイプの U2F を有効にすることができます。デジタル資産を保護することは非常に重要です。なぜなら、もしハッカーがクラウド認証情報を取得したら、アプリがロックアウトされたり、使用可能なマシンタイプの中で最大のものを使ってボットファームがスピンアップされたりして、請求書の支払いだけが残ることになりかねないからです。

Cloud Platform 上で U2F をセットアップすると、リソースにアクセスして操作するアカウントに第 2 のセキュリティ レイヤが追加されます。ホスト型の G Suite ドメインを介してユーザーを管理している場合は、アカウントで U2F を有効にするように要求できます。

次の手順では、2 段階認証プロセスについて説明します。

  1. ユーザーがセキュリティ トークンを生成可能な端末を調達します。

  2. ユーザーが自分のユーザー名とパスワードを使用してログインします。

  3. サーバーがログイン認証情報に基づいてユーザーを認証し、識別の第 2 の形態としてセキュリティ トークンを入力するように要求します。

  4. ユーザーが端末を使用してセキュリティ トークンを生成し、そのトークンをウェブフォームに入力します。

  5. サーバーがセキュリティ トークンを検証し、認証を完了します。

2 段階認証プロセス方式

Google では、2 段階認証プロセス用のいくつかの方式を提供しています。

認証方式 ソフトウェアまたはハードウェア 要件
テキスト メッセージ ソフトウェア 携帯電話サービスと受電モバイル端末
Google 認証システム ソフトウェア 受電モバイル端末
セキュリティ キー ハードウェア USB ポートと Google Chrome ブラウザ(バージョン 40 以降)

テキスト メッセージと Google 認証システムの両方の認証で、ログインにモバイル端末を使用する必要があります。テキスト メッセージ認証の場合は、ワンタイム パスワード(OTP)トークンがテキスト メッセージを介して送信されます。Google 認証システムは、モバイル端末から OTP トークンを発行するためのダウンロード可能なアプリです。どちらの方式でも、アカウントにセキュリティの新たなレイヤが追加されますが、セキュリティ キー方式が最強のセキュリティを提供します。セキュリティ キーは中間者攻撃の影響を受けません。この攻撃では、ハッカーがフィッシング テクニックを使用してパスワードやセキュリティ トークンを盗みます。

セキュリティ キー方式は、U2F(Universal 2nd Factor)というオープン認証規格によって補強されます。U2F は、強力で、使いやすく、相互運用可能な 2 段階認証プロセスを可能にします。数値コードやパスフレーズを入力する代わりに、セキュリティ キーをタッチしてトークンを生成します。

U2F は、次の理由からより使用に適した認証方式です。

  • セキュリティ キーは簡単に使用できます。モバイル端末とパソコンを切り替えずにキーをタップします。

  • ウェブフォームにトークンを入力しないため、フィッシング攻撃の影響をほとんど受けません。

  • 認証するために携帯電話サービスを必要としません。

ただし、U2F では、ブラウザとして Google Chrome のバージョン 40 以降を使用し、USB ポートを備えたマシンにアクセスできる必要があります。

U2F のセットアップ

Cloud Platform 上で U2F を利用することにより、リソースにアクセスして操作するアカウントに第 2 のセキュリティ レイヤを追加することができます。ホスト型の G Suite ドメインを介してユーザーを管理しているお客様は、アカウントで U2F を有効にするように要求できます。

Google アカウント上での U2F のセットアップ

  1. Google Chrome ブラウザ(バージョン 40 以降)をインストールします。

  2. セキュリティ キーを注文しますYubikey 互換性マトリックスを使用して、キーが Google アカウントと互換性があることを確認します。

  3. Google Cloud Platform Console に移動します。

  4. 画面の右上にあるユーザー アイコンをクリックして U2F 認証を有効にしてから、[アカウント] をクリックします。

    アカウント設定へのアクセス

  5. [Google へのログイン] をクリックします。

    Google にログイン

  6. [2 段階認証プロセス] をクリックします。次のページで、2 段階認証プロセスの機能に関する説明が表示されます。

    2 段階認証プロセス

  7. [設定を開始] ボタンをクリックします。

  8. 次に、SMS メッセージと電話のどちらかを介して 2 段階モバイル認証プロセスを設定する必要があります。お使いの携帯電話の番号を入力して、使用する認証タイプを選択してから、[コードを送信] をクリックします。Google からすぐに確認コードが送信されるため、電話機を近くに置いておきます。

  9. 確認コードを入力してから、[確認] ボタンをクリックします。

  10. 次の手順で、今操作しているパソコンが Google アカウントに対して信頼されたパソコンかどうかが尋ねられます。これらの手順を公共のパソコンから行っている場合は、[このパソコンを信頼できるパソコンとして登録する] チェックボックスをオフにします。[次へ] をクリックして続行します。

  11. [確認] ボタンをクリックして、自分の Google アカウントに対して U2F を有効にします。

セキュリティ キーの登録

  1. [セキュリティ キー] タブをクリックします。

  2. [セキュリティ キーを追加] をクリックして、セキュリティ キーを Google アカウントに登録します。

    2 段階認証プロセス

  3. 画面上の指示に沿ってセキュリティ キーを登録します。手順が完了したら、[登録済み] チェックボックスがオンになっているはずです。

    2 段階認証プロセス

Google アカウントのテスト

  1. 別のパソコンまたはシークレット ウィンドウから、Google Cloud Platform Console にアクセスします。

  2. U2F が正しくセットアップされていれば、セキュリティ キーを挿入してタッチするように要求されます。キーをタッチしなかった場合は、次のエラー メッセージが表示されます。

    アカウント設定へのアクセス

  3. [再試行] をクリックして、プロンプトが表示されたらセキュリティ キーをタップします。

これで、セキュリティ キーがなければ新しいマシン上のユーザーは Google アカウントとして認証されないことが証明されました。次は、コマンドラインから Google Cloud SDK を使用して認証をテストします。

  1. まだインストールされていなければ、Google Cloud SDK をインストールします。

  2. コマンドラインから、「gcloud auth login <your-email-account>」と入力します。このコマンドをグラフィカル インターフェースを備えたシステムから実行した場合は、ブラウザ ウィンドウにログイン画面が表示されます。このコマンドをヘッドレス サーバーから実行した場合は、コマンド ウィンドウに認証を完了するために訪問しなければならない URL が出力されます。

  3. ブラウザのログイン ページでメールアドレスとパスワードを入力します。プロンプトが表示されたら、セキュリティ キーをタップします。確認コードが表示されます。

  4. 確認コードをコピーして、それをコマンドラインに入力します。

次のステップ

Google Cloud Platform のその他の機能を試すには、チュートリアルをご覧ください。

外出先でもリソースをモニタリング

Google Cloud Console アプリを入手して、プロジェクトの管理にお役立てください。

フィードバックを送信...