Googleの2段階認証とは
2段階認証(2SV)は、多要素認証(MFA)や二要素認証(2FA)とも呼ばれ、ログイン時に本人確認のため2つの情報の入力を求める、もう一段のセキュリティレイヤーです。アカウントのパスワードに加え、サインインを完了するには2つ目の認証手段が必要となります。この2つ目の要素には、セキュリティキー(最も安全)、Google Authenticatorのプロンプト、電話やSMSで受信する確認コード(安全性は比較的低い)などが利用できます。
今回の変更は、Super Adminアカウントのセキュリティを高め、攻撃者による侵害をより困難にする上で大きな前進といえます。セキュリティを重視するユーザーには歓迎すべき動きですが、サービスアカウントの保護を見直す必要がある組織にとっては対応が求められる場面もあるでしょう。注意したいのは、今回の変更の対象はSuper Adminアカウントのみで、委任管理者や一般ユーザーはGoogleによる2SVの強制適用の対象外であるという点です。Super Adminには、必須化の60日前に2段階認証への登録を促す通知が届くほか、Googleサービスにサインインするたびに、指定日までに2SVを有効化するようリマインダーが表示されます。Super Adminアカウントを日常的に利用していない場合、これらのサインイン時の通知を見落としやすいため、注意が必要です。さらに必須化の30日前にも、Super Adminのメールアドレスおよび携帯電話宛に追加の通知が送信されます。
2段階認証の登録状況を確認する
サービスアカウントは、サードパーティ製アプリケーションがGoogle Workspaceのリソースにアクセスする際にも利用されることがあります。サービスアカウントに2段階認証が設定されていないと、攻撃者に悪用されやすくなり、機密データへの不正アクセスや、Google Workspaceドメイン全体の乗っ取りにつながるおそれもあります。
サービスの停止を避けるため、Google Workspace管理者はすべてのSuper Adminサービスアカウントが2SVに登録されていることを必ず確認してください。確認は、管理コンソールのメニュー > レポート > ユーザーレポート > セキュリティページから行えます。レポート上部で「管理者ステータス」フィルタを適用すると、Super Adminアカウントだけを絞り込んで表示できます。
各Super Adminアカウントには、「2段階認証プロセスの登録」という列に2SVの登録状況が表示されます。この列で、各アカウントが2SVに登録済みかどうかを確認できます。
Super Adminアカウントのみを表示するようフィルタリングしたユーザーレポート画面。
2段階認証の対応と適用
Googleの2段階認証に未登録のSuper Adminアカウントを特定したら、管理者は2SVポリシーの適用に向けた対応を進められます。現在のポリシーは、管理コンソールの「セキュリティ > 2段階認証プロセス」ページから確認できます。具体的な実装計画は、組織部門の構成や、Google Workspaceにアクセスする非管理者ユーザーにサードパーティのIDプロバイダを利用しているかどうかによって変わります。よく採用される方法としては、すべてのSuper Adminアカウントを専用グループにまとめ、指定した将来の日付からそのグループに対して2段階認証の強制適用を有効化するという手順があります。これにより、新しいポリシーが適用されたグループに追加されたアカウントで2SVに未登録のものは、サインインのたびにGoogleから2段階認証への登録を求められるようになります。「新規ユーザーの登録期間」ポリシーは、Noneのままにしておくのが安全です。代わりに、Super Adminロールを付与する前に、管理者が新規アカウントに2段階認証を設定するよう運用ルールで徹底するのがおすすめです。
2段階認証ポリシーの適用設定画面。
Super AdminアカウントをGoogleの2段階認証に登録するのに加えて、最新のOAuth2認証(おなじみの「Googleでログイン」画面)に対応していない連携には、ワンタイムのアプリパスワードを活用できます。これにより、サービスアカウントのセキュリティが強化され、レガシーなアプリやサービスとの連携時にもGoogleアカウントが2SV適用ポリシーのもとで保護され続けます。
こうした事前対応によりすべてのSuper Adminを2段階認証に登録しておけば、アカウントのセキュリティが強化され、Googleがポリシーを適用した際のロックアウトやサービス中断のリスクを最小限に抑えられます。