アカウント, 設定

セキュリティ »2段階認証

お客様の WordPress.com サイトはインターネット上でのお客様の自宅です。自宅の安全は確保しなければなりません。アカウントには、すでに一意の難解なパスワードをお使いのことと思います。ホームセキュリティの層をさらに厚くするには、2段階認証を有効にすることができます。


2段階認証とは

2段階認証とは、アカウントをセキュリティで保護するために、何か (パスワード) を知っているだけではなく、何か (モバイルデバイスまたは物理キー) を所有していなければログインできないようにする方法のことです。  このセキュリティアプローチの利点は、誰かにパスワードを知られたとしても、その誰かがデバイスも盗んでいなければ、アカウントに不正にアクセスできないことです。 

WordPress.com では、モバイルデバイスと物理的なセキュリティキーを介した2段階認証をご提供しています。まず、モバイルデバイスを確認するために、使用できるいくつか方法のうち、該当する方法を使ってコードを送信します。モバイルデバイスの確認が完了すると、モバイルデバイスの代わりに物理キーを使用した認証も追加できます。

2段階認証を設定すると、パスワードを使用してログインするたびに、入力すべき新しいコードがデバイスに送られます。または、ログインする前に物理キーを入力する必要があります。2段階認証ではログインプロセスのステップが1つ追加されますが、ほんのわずかな手間で、アカウントのセキュリティを大幅に強化することができます。


認証アプリの設定

Google 認証システム、Authy、Duo などの認証アプリを使用した2段階認証をデバイスで設定するには、まずデスクトップブラウザーで始める必要があります。

まず、WordPress.com で2段階認証の設定ページに移動します。  

または、WordPress.com ホームページでプロフィール画像をクリックすることで、この設定ページにアクセスすることもできます。 

プロフィールリンク

次に、画面の左側にあるナビゲーションで「セキュリティ」リンクをクリックします。

アカウントメニュー、セキュリティリンク

続いて「2段階認証」「スタート」の順にクリックします。

2段階認証の設定

国を選択して、携帯電話番号を入力するよう求められます (電話番号を入力する際は、国番号とスペースまたはダッシュを省いてください)。入力し終わったら、「アプリで認証」をクリックします。 

電話番号を入力

次に、認証アプリに表示される QR コードをスキャンします。  認証アプリに6桁の番号が表示されます。 その番号を、表示されているフィールドに入力し、「有効化」をクリックします。

QR コードをスキャンしてコードを確認

最後に、バックアップコードを印刷するよう求められます。 このステップをスキップしないでください。デバイスが行方不明になった場合、スタッフによるサポートなしでアカウントにログインするには、バックアップコードが唯一の手段になります。 

注意 :  Web ブラウザーがポップアップウィンドウをブロックするように設定されている場合、バックアップコードを表示するウィンドウが開かないため、一時的にこの機能を無効化する必要があります。 

「すべて完了しました」をクリックします。

この時点で、サイトで2段階認証が有効になります。これに続くステップで、印刷したコードのいずれかを入力することで、バックアップコードが機能することを確認できます。

バックアップコードを認証

SMS コードの設定

認証アプリを使用して2段階認証を設定できない場合は、SMS メッセージによって2段階認証を有効にすることもできます。 それには、上で説明したように携帯電話番号を設定します。ただし、この場合は「SMS で認証」をクリックします。  

SMS で認証

すぐに、7桁の番号が記載されたテキストメッセージが送信されてくるはずです。その番号を、表示されている空白のフィールドに入力してから、「有効化」をクリックします。

ここからは、上で説明したようにバックアップコードを印刷して、それが機能することを確認できます。これでお客様のアカウントは2段階認証によって保護されます。

自動呼び出しをブロックするスマートフォンアプリも、WordPress.com からのメッセージをブロックする可能性があります。


セキュリティキーによる認証

WordPress.com は WebAuthn の基準を利用した物理セキュリティキーによるログイン認証をサポートします。

パスワードを入力した後 SMS または Google 認証システムのようなアプリを通して入手したコードを入力する代わりに、物理キーを入力します。キーの上のボタンを押して認証を完了し、ログインします。パスワードを知っていても、物理キーがなければ誰もアカウントにログインできません。

要件
  • USB ポートがあるコンピューターと、最新バージョンの Chrome、Firefox、Opera、Edge などの互換性のあるブラウザーを持っていること。
    (注意 :現在、Chrome と Firefox が2段階認証に対する最適な全体的サポートを提供しているため、最も一貫したサービス利用を実現するにはこれらのブラウザーを使用することをお勧めします)
  • Yubico の YubiKey、Google の Titan Security Key など、USB ポートに差し込んで FIDO2 を利用できるキーを持っていること (以前の FIDO U2F を使用するデバイスも引き続き利用できます)。ご利用のキーでサポートされているデバイスとブラウザーの種類については、該当するキーのサポートドキュメンテーションで詳細をご確認ください。
キーの追加

注意 : SMS または認証アプリを通した2段階認証を有効にしてセキュリティキーを追加するには、上記のステップに従う必要があります。

アプリまたは SMS による2段階認証を設定すると、セキュリティキーを追加するオプションが追加されます。「キーを登録」をクリックしてください。

セキュリティキーを登録

複数のキーを登録できるため、今後追加するキーと区別するためにキーに名前を付けることができます。個別の名前を入力し、「キーを登録」をクリックします。

この時点でコンピューターの USB ポートにキーを差し込み、キーの種類に応じてボタンを押すか、金色の丸の部分をタップします。

セキュリティキーを登録するには、セキュリティキーを接続してタッチしてください

登録が完了するとスクリーンにメッセージが表示され、セキュリティキーセクションにキーが表示されるようになります。

セキュリティキーのリスト

設定すると、キーなしではアカウントにアクセスできないため、ご自宅や車の鍵と同じように安全にキーを取り扱ってください。

最初のキーを利用できなくなった場合に備えて、2番目のキーをバックアップオプションとして追加し、見つけられる場所に保管することもご検討ください。別のキーを追加する場合は、もう一度「キーを登録」をクリックしてください。

キーの削除

キーを紛失した場合や利用できなくなった場合など、以前登録したセキュリティキーを削除する場合は、キーをアカウントから切り離すことができます。

プロフィール設定の2段階認証ページに移動して、キーの横にあるゴミ箱のアイコンをクリックし、表示される確認メッセージで「キーを削除」をクリックします。

セキュリティキーを削除

ログイン

2段階認証を有効にした後は、ログインのプロセスが通常のプロセスとわずかに異なってきます。Google 認証システムと SMS のどちらの方法を使用して2段階認証を有効にしたかにかかわらず、まず、通常と同じようにユーザー名とパスワードを使用してログインします。

ログイン画面の画像
WordPress.com にログイン

続いて、デバイスに送信された認証コードを入力するよう求められます。

2段階認証コードを入力

認証アプリを使用して2段階認証を設定した場合、デバイスでアプリを開き、アカウント用に表示された6桁の番号を入力します。2段階認証に SMS を使用している場合、6桁の番号を記載したテキストメッセージが送信されてきます。コードを入力すると、ログインしてブログを更新できます。

設定済みのセキュリティキーがある場合、キーを使用して認証するか、認証アプリ /SMS を使用して認証するかを尋ねるメッセージが表示されます。キーを使用して認証するには、「セキュリティキーを使用して続行」をクリックします。

2段階認証のオプション

次に、キーに接続するメッセージが表示されます。コンピューターの USB ポートにキーを差し込み、キーの種類に応じてボタンを押すか、金色の丸の部分をタップしてログインを完了します。

セキュリティキーを接続してログインを完了するためのプロンプト。

注意 : 認証に時間がかかりすぎた場合、認証リクエストはキャンセルされ、エラーメッセージが表示されます。もう一度「セキュリティキーを使用して続行」をクリックして認証をやり直してください。


バックアップコード

WordPress.com アカウントへログインできなくなるようなことがあってはなりません。デバイスをなくしたり盗まれたりしたとしても、何らかの理由でアカウントにアクセスできなくなったとしても、あるいはデバイスを初期化する必要があるとしても (その場合、Google 認証システムが削除されます)、WordPress.com はアカウントにログインできるようにする手段が必要だと考えました。 

アカウントにアクセスできなくなるという事態を回避できるよう、WordPress.com では1回限り使えるバックアップコードを10個生成できるようになっています。バックアップコードを印刷して、お財布やドキュメントの保管庫などの安全な場所に保管することをお勧めします (コンピューターには保存しないでください。  そのコンピューターを使用する人は誰でもアクセスできるからです)。 

バックアップコードの生成は非常に重要であり、不可欠です。バックアップコードを使用しなければならない事態になったら、まず、通常と同じようにログインします。続いて、ログインコードの入力を求められたら、代わりにバックアップコードを入力します。

2段階認証の設定プロセスの最後に、バックアップコードを生成するオプションが表示されます。

バックアップコードの印刷

コードは印刷してください。保存するだけでは不十分です。それから、この作業を行ったことを確認してください。その後「すべて完了しました」をクリックしてスクリーンを閉じます。

バックアップコードのリストを紛失した場合、またはリストが外部に漏れた場合は、新しいコード一式を生成できます。セキュリティを強化するために、新しいコード一式を生成した場合は、以前に生成されたコードがすべて無効になります。

新しいバックアップコードを生成

バックアップコードは、デスクトップブラウザーからでないと生成できません。たとえば、iOS 上の Safari にはバックアップコードは表示されません。さらに、ブラウザーがポップアップウィンドウをブロックするように設定されている場合、バックアップコードを表示するウィンドウが開かないため、一時的にこの機能を無効化する必要があります。


アプリケーション固有のパスワード

WordPress.com アカウントに接続しているアプリの中には、現時点で2段階認証を完全にサポートしていないものがあります。WordPress.com のブログの購読に使用される最も一般的なアプリは Jabber アプリです。これらのアプリでは、それぞれのアプリケーション用に固有のパスワードを生成できます (たとえば、携帯電話とタブレットでパスワードを分けることができます)。その後、他のアプリケーションがサイトにアクセスできないよう、アプリケーションごとにパスワードを無効にしてアカウントから閉め出すことができます。

アプリケーション固有のパスワードを生成するには、「2段階認証」に戻って「アプリケーションパスワード」までスクロールダウンします。  

アプリケーションのパスワードのプロンプト

アプリケーションに名前を付けます (この名前は自分にしか表示されないので、どのような名前にしても構いません)。次に、「パスワードを生成する」をクリックします。WordPress.com によって、16文字の固有のパスワードが生成されます。パスワードを生成したデバイスで次にアカウントにログインする際は、この生成されたパスワードをコピー & ペーストすることでログインできます。このパスワードはアプリケーションで記憶されるため、覚えておく必要はありません。

パスワードを生成したすべてのアプリケーションは、「セキュリティ」ページにリストされます。デバイスをなくしたり盗まれたりした場合、または特定のアプリケーションに対してサイトへのアクセスを取り消したい場合は、このページにアクセスして「X」をクリックすれば、いつでもそのパスワードを無効にして、アプリがアカウントにアクセスできないようにすることができます。

アプリケーションのパスワードを削除

2段階認証の無効化

非常に強いパスワードを使っていると確信を持っていても、2段階認証を無効にするとセキュリティがかなり弱くなるため、この機能を無効にすることはお勧めしません。ただし、どうしても無効にするというのであれば、2段階認証ページに移動して、この機能を無効にできます。 

このページに2段階認証が有効であることが示されるので、「2段階認証を無効化」ボタンをクリックします。   コードの入力を求められたら、コードを入力して、2段階認証を設定するために使用したデバイスにまだアクセスできることを確認します。認証アプリを使用している場合は、アプリを開いて、そこにリストされているコードを入力します。 SMS を使用している場合は、使用するコードが送信されてきます(このコードは、アカウントにログインするために使用したコードとは異なります。このステップでは、バックアップコードのいずれかを使用することもできます)。

コードを入力した後「無効化」をクリックすれば、アカウントで2段階認証による保護が無効になります。  

2段階認証の無効化

注意 : セキュリティキーは2段階認証の無効化には使用できません。使用できるのは、SMS で受信したコード、認証アプリ、バックアップコードのみです。


新しいデバイスへの移行

新しいデバイスに切り替えることを予定していて、2段階認証を有効にしている場合、誤ってユーザーアカウントにアクセスできなくなることを避けるため、次の手順に従ってください。

認証アプリを使用して認証コードを生成している場合 :

  1. ここで説明している手順に従って、ユーザーアカウントのバックアップコード一式を印刷します。このステップをスキップしないでください。
  2. 新しいデバイスに認証アプリをインストールします。
  3. ここで説明している手順に従って、古いデバイスとの2段階認証のリンクを無効にします。
  4. ここで説明している手順に従って、新しいデバイスにリンクするユーザーアカウントを設定します。
  5. 認証コードの入力を求められたら、バックアップコードのリストにある、いずれかのコードを使用します。バックアップコードを使用できるのは1回限りです。
  6. 古いデバイスから認証アプリをアンインストールします。

WordPress.com モバイルアプリを使用してサイトを管理および公開している場合 :

  1. ここで説明している手順に従って、新しいアプリケーション固有のパスワードを作成します。
  2. 新しいデバイスで認証アプリを使用するときは、この新しく作成したアプリケーションパスワードを入力します。

SMS を使用して認証コードを受け取っている場合、新しい携帯電話番号に変更するのでない限り、設定を更新する必要はありません。電話番号を変更する場合は、古い SMS 番号を接続解除する前に、ここで説明している手順に従って新しい復元用の SMS 番号を設定してください。


デバイスを紛失した場合

デバイスまたはセキュリティキーを紛失した場合、認証アプリを誤って削除した場合、または他の原因でアカウントにログインできなくなった場合、アカウントにログインできるようにするための唯一の方法はバックアップコードを使用することです。

バックアップコードを使用するには、まず、通常と同じようにログインの詳細を入力します。ログインコードの入力を求められたら、代わりにバックアップコードを入力します。注意 :バックアップコードを使用できるのは、それぞれ1回限りなので、注意して使用してください。