ユーザーに2要素認証（2FA）の有効化を促す方法

ユーザーに2要素認証（2FA）の有効化を促す方法

2要素認証（2FA）に対応したところで、それを利用することを選択してもらえなければ顧客のセキュリティは強化できません。1つ目の要素（通常はパスワード）が侵害されても、2FAがあればユーザーを守れます。推測しやすいパスワードを使用したり、別のサイトで侵害されているパスワードを再利用したりすると侵害が発生しやすくなります。セキュリティに対する意識が特に高いユーザーであれば、サイトごとに強力なパスワードを使い分けているため、2FAを有効化する必要性を感じない可能性があります。では、侵害を受ける可能性が特に高いユーザーに追加のセキュリティ機能を有効化してもらうにはどうすればよいのでしょうか。

2019年に2FAについて調査したところ、セキュリティが強化されるのであれば、面倒な2FAを利用してもかまわないと考えているユーザーは、全体のわずか29%にすぎないことが明らかになりました。「誰かが欲しがるような情報は何も持ち合わせていないため、これまで特に心配してきませんでした」とある参加者は述べています。

セキュリティ研究者のCormac Herley氏は10年程前にユーザーのこのような感情を指摘していました。「攻撃を受けた時にユーザーが失う可能性があるのは、金銭ではなく主に時間です。セキュリティに関するアドバイスを読む時にかかるのも金銭ではなく時間です。」追加のセキュリティ対策を講じることに対してインセンティブをユーザーに提供することにより、時間的な負担を相殺できるだけでなく、アカウントのセキュリティを重視するようにユーザーへ促すこともできます。

2FAの使用率を向上する方法

ユーザーに2FAを有効化してもらおうと、Webサイトには、さまざまな仕掛けが施されています。Coinbaseなどを除き、2FAを必須とする企業は少ないでしょうが、プロファイル設定で非表示にする以外にもできることがあります。リマインダーにこだわるのであれば、ログインプロンプトなども効果があります。

無料エモートが2FAを促進

2FAの有効化に対して製品インセンティブを提供するというアイデアは、2018年のFortniteの取り組みを契機に世の中に拡がりました。インセンティブはメディアから大きな注目を浴びました。2FAに関するGoogle検索のトレンドからも、2FAに対する世間の興味の高さが伺えます。

2018年に見られた最初の検索数の増加は、同時期にインセンティブを発表したFortniteが原因であると考えられます。Googleで2FAに関連するトピックや検索のトレンドの中心にあるのは、依然としてFortniteとその親会社であるEpic Gamesです。

2017年を境に2FAに対する世間の認知度が上昇した理由の1つに、こうしたインセンティブが含まれることがDuo Securityによる2019年の調査で明らかになりました。

インセンティブを提供している企業はFortniteだけではありません。企業は、さまざまな方法でセキュリティ機能の有効化をユーザーに働きかけられます。

2FAの有効化に対するインセンティブを提供している企業

さきほど紹介したCormac Herley氏は先月、Twitterに次のような質問を投稿しました。

2FAの有効化に対するインセンティブを提供している企業としてまず思い付くのがビデオゲーム企業です。ゲーム市場の規模は巨大で、ゲーム内のインセンティブは基本的に提供コストがかからないため、これは当然のことと言えます。World of WarcraftとRockstar Gamesでも2FAの有効化に対して似たようなインセンティブを提供しています。Twitchでも、Twilio Authyの2FAを利用していますが、先月、同じようなエモートインセンティブの提供を開始しました。        

プラットフォーム企業とサービス企業も請求額を割り引きする形でインセンティブを提供しています。Mailchimpによる10%の割り引きは、2FAを有効化したアカウントに対し、3ヵ月間適用されます。ホスティングプロバイダのNIC.UAは、2017年に2FAをリリースした際に15%の割り引きを実施しました。

2FAによる機能の制限

2FAを有効化したユーザーだけが機能を利用できるようにし、2FAの有効化を促すこともできます。これは、より価値の高いアカウントに2FAを適用するための手段でもあります。

たとえば、GitHubでは、スポンサーシッププログラムに参加するユーザーに対して2FAの有効化を必須としています。Appleの製品/サービスでは2FAを無効化することがもはや不可能とされています。最近リリースしたバージョンの「特定の機能」ではさらに高いレベルのセキュリティが必須になると同社は述べています。

さらに、Epic Gamesでは先月から2FAを有効化したユーザーが無料のゲームを利用できる新たなインセンティブを提供しています。

2FAの必須化

2FAを要求できない消費者向け企業もあります。ただし、2FAがない場合のリスクをユーザーが理解していれば、2FAは意味のあるものになります。銀行などの金融企業や暗号通貨企業では2FAを必須としている場合があります。一部の企業は、セキュリティに対する不手際が報じられたために2FAを必須にしました。

2FAを促すうえでのプライバシーに関する考慮事項

この話題になるたびに、次のような質問が投げかけられます。「企業はPII（個人を特定できる情報）を集めるためだけにこのような取り組みを実施しているのでしょうか？」

この質問に当てはまるような企業にならないよう注意しましょう。マーケティングとセキュリティを分離し、ユーザーデータの使い方について明確に説明してください。TOTP（PIIを必須としない）やメール（大半の企業が導入済み）など、すべてのチャネルでインセンティブを提供しましょう。ターゲティング広告に2FAの電話番号を利用していた（2019年にその利用を停止）ことを暴露されたFacebookはユーザーの信頼を大きく損ないました。ユーザーの心がさらに離れていくようなリスクを冒すことはできないのです。ユーザーのプライバシー保護と、セキュリティを高めるようユーザーに促すことは同時に達成できない目標というわけではありません。

2FAなしよりも、SMSをベースにした2FAの方が依然としてセキュリティ面では優れています。ただし、可能であれば、ユーザーが使いたくないチャネルを強制するようなことはしないでください。

まとめ

2FAを導入するだけではもはや十分とは言えません。2FAをユーザーに有効化してもらう必要があります。2FAを必須にしなくても、その利用率を上げる方法は、他にもあります。自社に適した製品インセンティブは何かを検討したり、アカウントで2FAを有効化しないと特定の機能を利用できないなどを検討しましょう。少なくとも、2FAを有効化するかどうかはユーザーの自由であることを伝えます。皆さんの企業では、2FAの有効化を促すためにどのような取り組みを実施していますか？Twitterかコメントにて、ぜひ皆さんの取り組みをお聞かせください。