・OTP/二次認証サービスとは
ID/パスワードとは別にもうひとつ「ワンタイムパスワード」と呼ばれる、30秒ごとに発行される6桁の数字を用いてログインするシステム。
数字が固定のセキュリティカードと比べて、大幅にハッキングの危険性を減らすことができる。
ただしOTPも万能ではないので、普段から変なURL踏んだりしないように気を付けるのが一番大事。

リネに於けるOTPの導入の意義はどちらかというとこれ。
公式:【追記】セキュリティーサービス導入のご案内
LinC0000のコピー
OTPを導入するだけでAC-1、DR+1、MR+2が付く。
AC-1以外は期間限定サービスのはずだったが終了未定に変更。
導入は5分もあればできるので、これを利用しない手はない。 

それ以外にも、OTPを導入することで、公式での面倒な認証手続きをOTP一つで済ませられるメリットもある。

Googleの公式OTPアプリ自体はスマホ用だが、WindowsPC上で動作するサードパーティ製ものを利用することもできる。
というわけでPCだけでOTPを利用するための導入手順を紹介。
ネカフェで簡単に利用する手順も載せてます。 
もくじ

理屈とかいいから手っ取り早く設定したい人は黄色のトコだけ読んでいけば何とかなる。はず。

・導入前の下準備

・WinAuthを選ぶメリット/デメリット
・WinAuthの入手方法
・OTP利用手続きとWinAuthの設定
・登録解除方法
・バックアップの取り方
・スマホや別アプリで同じOTPを使用する
・バックアップの戻し方&他のPCへの設定コピー
・もっと手軽に別PCやネカフェで使える「ポータブルモード」
・ネカフェで利用するときの注意


・OTP導入の下準備
導入前に必ず「メールアドレス」「生年月日」「秘密の質問と答え」を確認しておく。
わからん人は公式にログインして「マイインフォ」→「プロフィールの設定と変更」を下の方までスクロールすると「会員情報修正」というボタンがある。そこから確認可能。

メアドと秘密の質問はOTP登録に必要。
あと登録時の不手際やサイトのエラーで登録失敗となった場合はリネにINできなくなるため、公式に問い合わせてOTP登録を解除してもらう必要がある。
その際に本人確認として上記の項目が全て必要になる。窓口の営業時間外、土日祝日を挟むとこのやり取りに大幅に時間を食うことになる。
万が一の事を考えるなら、やり取りを最短で済ませるために月~木の間にやるのがオススメ。
どれだけ万全にしても設定中にPCがブッ壊れない保証なんてどこにもないからね!


本題。
OTPを導入するためには「Google Authenticator」を扱えるスマホ、PC上でやる場合には対応したソフトを入れておく必要がある。
今回はPC導入例ということで「WinAuth」を使ったやり方を紹介。Win10でも問題なし。


・WinAuthを選ぶメリット/デメリット
スマホではなくWinAuthを使うメリット/デメリットを軽く挙げてみると
・メリット
PC1台で完結する
USBメモリ等の外部メディアからでも起動できる
別PCに設定をコピーして使える
バックアップが簡単に取れるのでPCがぶっ壊れても大丈夫
後からスマホにも登録したりできる

・デメリット
スマホと比べてセキュリティとしての質は落ちる(OTPは別の媒体でやる事に意味がある)
公式の解説がゼロ(そのためのこの文章なわけだが)

尚、WinAuthを利用する場合は、できるだけ自宅の自分のPCで導入するのが望ましい。
あとネカフェでも利用したいという人は、データ持ち運び用に別途USBメモリ等の外部メディアを用意すること。


・WinAuth入手方法
WinAuthのサイトから最新版のWinAuth.exeを入手する。
トップページを下にスクロールするとStable and Beta Downloadsと書かれたリンクがあるのでそこから。
ベータ版と安定版があるので安定版(BETAと書かれていない方)を選ぶ。
落ちてきたZIPファイルを解凍するとWinAuth.exeが出てくるので、わかりやすい場所に置いておく。
あとは動作に別途Microsoft .NET Framework 4が必要。入ってなかったらWinAuth起動時に入ってないヨ!ってエラーメッセージが出るんで、ググって入れてください。


・OTP利用手続きとWinAuthの設定
まずは公式サイトにログインし、右下のサポート→左側のセキュリティセンター→Google2次認証と進む。
a
「利用登録」ボタンをクリックして登録開始。
次の画面で認証キーの入力と秘密の質問の答えを求められる。見たまんまなので省略。

その次の画面。二次元バーコードと「CODE」と書かれた文字列が出てくる。
b
ここまできたらWinAuthを起動する。
左下に「Add」と書かれたボタンがあるのでクリック。一番上の「Authenticator」を選ぶ。
こんな画面が出てくるはず。
c
Name欄は「ラベル」、アカウントを識別するための名前を入れる。
アカウントIDをそのまま入力するのはオススメしない。なんか適当にクラス名でもキャラ名でもつけてください。
そして赤線で示してある上から2番目の欄に「CODE」の文字列を入れる。コピペするのが確実。
2のChooseなんたらはそのままにしておく。
文字列を入力したら3のVerify~というボタンをクリックすると、4の欄に6桁の数字が表示されるようになる。
こんな感じ。
d
表示されたらOKをクリックする。入力したラベル名が表示されていればOK。

WinAuth側の初回登録時にOKを押すと、パスワードの登録を求められる。
WinAuthの起動時や設定をいじったりする時に必要になるので必ずメモること。
後で設定からパスを外すことも可能。だがその時に必要になるのでやはりメモは必須。

で、公式に戻り、次へをクリックすると6桁の数字の入力を求められるので、該当するラベル名の右の丸い矢印をクリックする。
6桁の数字が表示されるので入力する。入力猶予自体は30秒より長いが、30秒経過すると数字が表示されなくなるので注意。
登録された旨のメッセージが表示されれば公式側も登録完了。

6桁の数字をちゃんと入力しているのに認証されない場合、PCの時計がずれている可能性がある。
WinAuthのラベル上で右クリック→Sync Timeで直せる。
サイト上でエラーが出た場合は、時間を置いてもう一度試す必要がある。


無事登録が済んだら、他のPCでなんか使わないゾ!って人はWinAuthの歯車マーク→「Change Protection」→「Encrypt to only be useable on this computer」にチェックを入れておくと、データが暗号化されそのPCでしか使えなくなるため安全性が高まる。
更にその下の「And only by the current user on this computer」にチェックを入れるとログインユーザー単位で制限をかけることができる。
どこまでやるかは自由。ただしPCがぶっ壊れると悲惨なので、後述のバックアップは必ず取る事。


・登録解除方法
何らかの理由で登録解除をする場合は、登録済みのOTPアプリのワンタイムパスワードが必要になる。
解除の手順自体は、二次認証の利用登録ページから「利用停止」を選び、ワンタイムパスワードを入力するだけ。

OTPアプリが利用できない事態に陥った場合は、最初に述べたように公式に直接連絡して利用停止してもらう事になる。
スマホが故障した等でOTPアプリが使えない場合は、利用登録ページに問い合わせリンクがあるのでそこから公式に連絡すべし。
この場合も、本人確認として登録メアド、生年月日や秘密の質問が必要となる。

とにかくOTPを利用するなら、万一に備えて絶対に登録メアド、生年月日、秘密の質問の3つは忘れてはいけない。


・バックアップの取り方
右下の歯車マーククリック→Exportを選択。こんな画面が出てくる。
名称未設定 1
通常は一番上のパス付ZIPにチェックを入れて、パスワードを下のPasswordとVerify(確認)欄に入力。パスワードは読み込ませるときに必要になるので、失念しないように。
当たり前の話ですがWinAuth自体の起動パスとは別にしておくこと。

PGPなんちゃらはわかる人だけ使えばいいです。わからないならおさわり厳禁。

一番下のBrowseをクリックすると保存場所を聞かれる。ファイル名はデフォルトで問題なし。 
OKをクリックすると、現在WinAuthに登録されているOTP設定が全て入ったZIPファイルが生成される。
このZIPファイルを読み込ませることで、登録したOTPを他のPCでも使えるようになる。
バックアップとして置いておくなら、USBメモリ等の外部メディアにでも入れておけばOK。

ちなみにZIPにもPGPにもチェック入れずにBrowse→OKと進むと、テキストファイルが生成される。
暗号化も何もされていない本当にただの設定丸見えテキストファイル。
どう考えてもセキュリティ的にヤバイのでやめとくのが吉。
ZIPファイルの中身もこの生テキストなので、ZIPファイルも用が済んだら必ず削除しておくように。


・スマホや別アプリで同じOTPを使用する
登録したいラベルを右クリック→Show Secret Keyを選ぶと、最初に登録する時に使った文字列とQRコードが表示される。
これを使ってスマホアプリ側で登録を行えば良い。詳しい手順は省略。
QRコードから登録すればラベルごとコピーできて便利。
つまるところ最初のCODEの文字列を保存しておけばいいわけではあるのだがセキュリティ的に以下省略。
一応後述のwinauth.xmlにも文字列が生で載っているわけではない。一応。


・バックアップの戻し方&他のPCへの設定コピー
バックアップの手順でパス付ZIPファイルを生成しておく。
設定をコピーしたいPCでWinAuthを起動し、Add→Import。
設定ファイルの場所を聞かれるので先ほどのZIPを選ぶ。デフォルトのファイル形式でxmlが選ばれているので戸惑わないように注意。
あとはZIPのパスを聞かれるので入力するだけ。


・もっと手軽に別PCやネカフェで使える「ポータブルモード」
ネカフェで使うならこのモードが便利。

WinAuth導入が済むと「C:\Users\<username>\AppData\Roaming\WinAuth」というフォルダ内に「winauth.xml」というファイルが生成されている。
このwinauth.xmlをwinauth.exeと同じフォルダにいれてWinAuthを起動すると「ポータブルモード」として起動する。
この状態では特にインポート等を行う事なく、登録済みのOTPを扱うことができる。
ちなみにポータブルモードで追加/削除/設定変更等を行った場合、元の場所にあるxmlではなく、一緒に入れてある方のxmlファイルが更新される。

ネカフェで利用する場合は、USBメモリに適当なフォルダを作ってこの2つのファイルを入れておき、USBメモリから起動してやればいい。
この場合、最低限のセキュリティとして起動パス&設定変更パスぐらいは有効にしておいたほうが良い。

注意点として、WinAuthの設定で「Encrypt to only be useable on this computer」にチェックが入っている状態でコピーすると別PCでは使えない。必ずチェックを外した状態で一旦WinAuthを終了してから、2つのファイルをコピーすること。


・ネカフェで利用するときの注意
・PCチェック
怪しいディスクが入ってないか?PC裏に怪しいUSBメモリが刺さってないか?というチェック。
これはOTP利用云々に関係なく、どんなネカフェでも電源入れたらまずやるべき事。
なんか見つかったら素直に店員を呼ぶべし。

・ラベルの削除
こちらがWinAuth特有の作業。ポータブルモード利用ならやる必要はないが、導入をネカフェでやった場合や、バックアップから設定をインポートした場合は必ずやってから退店すること。
WinAuthのOTP設定は、WinAuthそのものではなく、PC内の他の場所に保存されている。
このまま放っておくとWinAuthを入れ直すだけでOTPが丸見えになるので、手動で削除してやる必要がある。
やり方は簡単。WinAuthの画面の消したい物の上で右クリック→Delete。
退店前に必ず全部消しておくように。
不安ならPC再起動後にWinAuthを起動して、何も表示されないか確認すればOK。


最近のネカフェは再起で勝手にリカバリがかかる所が多い。が、自分できちんとやっておくに越したことはない。
いくら対応が速くなったとはいえ、ハック時のやりとりって面倒だからね!
あとハックされて困るのって自分ひとりだけじゃない可能性もあるからね!