12 KiB
meta_title, title, icon, description
| meta_title | title | icon | description |
|---|---|---|---|
| プライベートなアカウントを作成する方法 - Privacy Guides | アカウントの作成 | material/account-plus | オンラインでアカウントを作成することは実際のインターネットでは必須であり、プライベートなものであることを確認するために以下のステップに従ってください。 |
多くの場合、何も考えずにサービスへユーザー登録することがあります。 多くの人が話題にしている新番組を見るためのストリーミングサービスかもしれませんし、お気に入りのファーストフード店の割引を受けるためのアカウントかもしれません。 どのような場合でも、データが現在および将来及ぼす影響を考える必要があります。
新しいサービスを利用することにはリスクがあります。 データ漏洩、第三者への顧客情報の開示や不正に従業員がデータにアクセスすることの可能性については、自分の情報を提供する際に考える必要があります。 サービスを信用できるという確信が必要であり、そのため最も成熟し、実践レベルで使われている製品以外に貴重なデータを保存することは推奨しません。 多くの場合、エンドツーエンド暗号化が行われ、暗号化の監査を受けているサービスが該当します。 検査を受けることで、経験の浅い開発者によって引き起こされるセキュリティ上のひどい問題がなく製品が設計されているという保証が高まります。
サービスによってはアカウントの削除が難しい場合もあります。 アカウントに関連するデータの上書きができる場合もありますが、アカウントの変更履歴をすべて保持するサービスもあります。
利用規約 & プライバシーポリシー
利用規約はサービスを利用する際に従うことに同意するルールです。 大規模なサービスにおいては、自動化されたシステムによって実施されることが多いです。 自動化されたシステムは間違えることもあります。 例えばVPNやVoIP番号を利用すると、アカウントが停止されたり、ロックアウトされたりしまうサービスもあります。 アカウント停止に対する申請も自動化されていることがあり、難しいことが多く必ずしも成功するとは限りません。 これは例えばGmailの利用を推奨しない理由の一つです。 メールは登録している他のサービスへアクセスするために非常に重要だからです。
プライバシーポリシーはサービスでデータをどのように使用するかを示したものであり、データがどのように使われるかを理解するために読む価値があります。 企業や組織はポリシーに書かれたすべての内容に従う法的義務を負わないかもしれません(司法管轄によります)。 住んでいる地域の法律やプロバイダーが何の収集を許可されているかをある程度知っておくことを推奨します。
「データ収集」、「データ分析」、「クッキー」、「広告」や「サードパーティ」など特定の用語を探すことを推奨します。 データ収集やデータ共有をオプトアウトすることができる場合もありますが、最初からプライバシーが尊重されているサービスを選ぶことが最も良いです。
企業や組織そのものだけではなく、企業や組織がプライバシーポリシーを遵守することも信用することになることに留意ください。
認証方法
アカウントの登録には複数の方法があり、それぞれ利点と欠点があります。
メールアドレスとパスワード
アカウント作成の最も一般的な方法はメールアドレスとパスワードによるものです。 この方法の場合、パスワードマネージャーを使い、パスワードに関するベストプラクティスに従ってください。
ヒント
パスワードマネージャーで他の認証方法をまとめることもできます! 新しいエントリーを追加し、適切な項目を入力し、セキュリティの質問やバックアップキーなどのメモを追加することもできます。
ログイン認証情報は自分で管理する必要があります。 セキュリティを強化するために、アカウントに他要素認証を設定することもできます。
推奨のパスワードマネージャー{.md-button}
電子メールのエイリアス
本当のメールアドレスをサービスに登録したくない場合、メールエイリアスを使う選択肢もあります。 詳細はメールサービスのページに記載しています。 基本的に、エイリアスサービスではメインのメールアドレスにすべてのメールを転送する新しいメールアドレスを作ることができます。 サービス間でのトラッキングを防ぎ、登録に伴ってついてくるマーケティングメールを処理するのに役立ちます。 送信先のエイリアスに基づいて自動的にフィルタリングすることができます。
サービスがハッキングされた場合、登録したアドレスにフィッシングメールやスパムメールが届くかもしれません。 サービスごとに個別のエイリアスを使うことで、どのサービスがハッキングされたかを正確に特定することができます。
推奨されるメールエイリアスサービス{.md-button}
「他のサービスでサインイン」 (OAuth)
Open Authorization(OAuth)はサービスプロバイダーに多くの情報を共有せずに登録できる認証プロトコルで、他のサービスの既存のアカウントを代わりに使うことができます。 登録フォームに「プロバイダー名でサインイン」のような表示がある場合、たいていはOAuthを使っています。
OAuthでサインインすると、選択したプロバイダーのログインページが開かれ、既存のアカウントと新しいアカウントが接続されます。 パスワードは共有されませんが、基本的な情報は共有されます(ログイン要求の際に確認できます)。 このプロセスは同じアカウントにログインするたびに必要です。
主な利点は以下の通りです。
- セキュリティ:ログイン認証情報は外部のOAuthプロバイダーに保存されるため、ログイン先のサービスのセキュリティプラクティスを信頼する必要はありません。 AppleやGoogleなどの一般的なOAuthプロバイダーはベストなセキュリティプラクティスに従っており、認証システムに対する継続的な監査を行い、認証情報を不適切に(プレーンテキストなどで)保存していません。
- 使いやすさ:一つのログインアカウントで複数のアカウントを管理できます。
しかし、以下のデメリットもあります。
- プライバシー:ログインするOAuthプロバイダーは利用するサービスが分かります。
- 中央集権:OAuthに使っているアカウントが攻撃を受けたり、ログインできなくなったりすると、接続しいるアカウントすべてに影響が及びます。
OAuthはサービス間が統合されることで恩恵を受けられる場合には特に役に立ちます。 OAuthは必要なところだけで使うことを推奨し、メインのアカウントは多要素認証で必ず保護してください。
OAuthを使用するサービスはOAuthプロバイダーのアカウントと同じくらい安全です。 例えば、ハードウェアキーでアカウントを保護したいが、サービスがハードウェアキーに対応していない場合でも、代わりにOAuthで使用するアカウントをハードウェアキーで保護することで、すべてのアカウントにハードウェア多要素認証を使うことができます。 OAuthプロバイダーのアカウントの認証が弱い場合は、関連付けられたアカウントのログインも弱くなってしまうことに注意してください。
Google、Facebookや他のサービスでサインインする場合、双方向のデータ共有を許可することが多く、危険が生じます。 例えば、Twitterアカウントでフォーラムにログインすると、投稿、メッセージの閲覧、個人データへのアクセスなど、Twitterアカウントで行うことへの権限がフォーラムに付与されます。 OAuthプロバイダーは外部サービスへのアクセス許可のリストを表示します。リストを読んで確認し、不用意に外部のサービスには不必要なものへアクセスを許可しないようにしてください。
悪意のあるアプリケーション、特にOAuthプロバイダーへのログインに使っているWebViewセッションにアプリケーションからアクセスできるモバイルデバイスでは、OAuthプロバイダーへのセッションを乗っ取り、悪用することで、OAuthアカウントにアクセスできてしまいます。 どのプロバイダーでも*「他のサービスでサインイン」*を使うのは、悪意がなく信頼できるサービスだけに使える便利なものにすぎないと考える必要があります。
電話番号
電話番号が必要なサービスへの登録は避けることを推奨します。 電話番号は複数のサービス間で利用者を特定でき、データ共有の内容によっては利用状況をトラッキングしやすくなります。電話番号は暗号化されていないことが多いため、一つのサービスが侵害された場合はなおさらです。
可能であれば本当の電話番号は教えないほうが望ましいです。 VoIP番号が使用できるサービスもありますが、その場合は不正検知システムを作動させ、アカウントがロックダウンされてしまうことがよくあるため、重要なアカウントでは推奨しません。
特に海外の通販の場合、輸出審査に問題があった場合に備えて、SMSや電話を受信できる番号を提出しなければならないことが多いです。 確認のために電話番号を使うサービスはよくあります。小利口にも偽の番号を提出して、重要なアカウントがロックされないようにしましょう!
ユーザー名とパスワード
メールアドレスなしに、ユーザー名とパスワードだけで登録できるサービスもあります。 VPNやTorと組み合わせることで匿名性を高めることができるかもしれません。 アカウントを回復する方法がない可能性が高いことに留意してください。