システム設計書

情報管理室 2021/02/17 Ver1.01

目 次

（Acrobat Reader DC はリンク移動から“Alt＋←”で戻れます。） 【Acrobat Reader DC インストールについて注意事項】 「手順 1/3 ソフトウェアをダウンロード」のところで、3 つすべてチェック外して、「Acrobat Reader をダウンロード」して 下さい。チェックがしてあると不要なアプリ(McAfee)がインストールされます。 無料：閲覧のみ 有料：編集可 ＊注意

情報管理室 2021/02/17 Ver1.01 ◇設定手順フロー図 ※多要素認証を初めて設定する場合、必ずスマホorコード認証＋電話番号を設定する必要があります。 登録する電話番号は携帯・固定電話でもかまいませんが、認証する場合は近くにある必要があります。 ＊フロー図の文字をマウスでクリックすると該当ページへ移動します。 方法の追加 （認証の追加・修正・削除） 事前準備 スマホ認証設定 （スマートフォンがある） コード認証設定 (スマートフォンがない) Microsoft365 多要素認証サインイン方法 サイインインアウトの方法 多要素認証とは 注意事項

情報管理室 2021/02/17 Ver1.01 1.多要素認証とは（多要素認証：多要素・多段階認証または二要素認証とも言います。） 多要素認証（MFA：Multi-Factor Authentication）とは、認証の 3 要素である「知識情報」、「所持情報」、 「生体情報」のうち、2 つ以上を組み合わせて認証することです。それによって、セキュリティを強化することが出来ます。 通常のユーザーID とパスワードのみという一要素認証の場合、漏洩・類推・辞書・総当り攻撃などによってハッキングされる 可能性があります。Microsoft365 のようなクラウドサービスは、世界中のどこからでもアクセスできる便利なサービスですが、 ハッキングされてしまうと世界中の誰でもアクセス出来てしまいます。 そのため、クラウドサービスを利用する場合、多要素認証を使用しセキュリティを強化する必要があります。 【認証の 3 要素】 要素 例 知識情報

(Something You Know)

・パスワード ・PIN コード ・秘密の質問 所持情報

(Something You Have)

・携帯電話 ・トークン ・IC カード 生体情報

(Something You Are)

・指紋 ・静脈 ・声紋 【クラウドとは】（クラウドコンピューティング） 【総当り攻撃とは】（ブルートフォースアタック） 例：ダイヤル鍵の場合 10✕10✕10＝1,000 通り 1,000 通り試せば必ず開きます。 Microsoft365 はクラウド上で動くアプリを提供する SaaS サービスです。 SaaS とは「Software as a Service」の略

低

セキュリティ

高

アプリ データ

情報管理室 2021/02/17 Ver1.01

●多要素認証で使える認証情報源

Microsoft365 の環境にサインインするための認証情報源として、通常のユーザー名(メールアドレス)とパスワードに加え、 以下のものが利用できます。

1. スマホ認証（スマホ：生体認証ほか）(Microsoft Authenticator：Android・iPhone) 2. コード認証（パソコン認証アプリ＊_{） (Windows：WinAuth, Mac：OTP Manager)} 3. SMS 認証（スマホ・携帯：ショートメール）

4. 電話認証（電話機：音声）

※_{認証アプリ＝ソフトウェアトークンのこと。TOTP(Time-based One-time Password) アルゴリズムを使用し、} 秘密鍵と時間に基づいてワンタイムパスワードを生成します。 2.セキュリティ注意事項 ・Windows・Mac・スマホを画面ロック(パスワード・生体認証ほか）設定すること。 ・パスワードを保存（ブラウザ）したり、Microsoft365（Web 版・アプリ版）サインインしたまま終了しないこと。 ・パスワードや秘密鍵を他人が閲覧できるところへ保管しない。（パスワードデータは暗号化する。） ※共有端末（ノート PC 等）やパスワード未設定の場合、Microsoft365に誰でもアクセス出来てしまいます。 ・Microsoft365 にサインイン(認証要求)していないのに、スマホへ通知が届いた場合は、パスワードが漏洩している 可能性があります。パスワードの変更を直ちに行ってください。 また、SMS 認証を装ったショートメールを送りつけるマルウェア(悪意のある)が報告されていますので気をつけてください。 3.事前準備 ※「自分の連絡先」 へ電話番号を登録してる方は、事前に削除して下さい。(別紙:クイックマニュアル「はじめに」参照) ●スマホ認証する場合（Microsoft Authenticator） スマホアプリを使って認証を行う場合は、あらかじめスマホに「Microsoft Authenticator」をインストールしておきます。 ＊iphone の場合、インストール時 AppleID とパスワード入力またはTouch ID 等の認証をする必要があります。 ＊Andoroid の場合、インストール時Google アカウントとパスワードで認証する必要があります。

【Microsoft Authenticator】 ◆入手先

・ iPhone ： App Store ・ Android ： Google Play ＊上記、サイトより

“Microsoft Authenticator”を検索し インストールしてください。

情報管理室 2021/02/17 Ver1.01

●コード認証する場合

【Windows 認証アプリ：WinAuth】 ＊Mac はこちら パソコンにWinAuthをサイトからダウンロードする。

https://winauth.github.io/winauth/download.html

WinAuth 3.5.1 をクリックし“WinAuth-3.5.1.zip”をダウンロードしたら、zip ファイルを展開（解凍）します。 展開された“WinAuth-3.5.1”フォルダー内の“ WinAuth”をコピーし、デスクトップへ貼り付けます。

Mac に App Store から、「OTP Manager」を検索し、インストールします。

＊iphone の場合、インストール時 AppleID とパスワード入力またはTouch ID 等の認証をする必要があります。

◆OTP Manager 他のパソコンへ設定する場合

パソコン毎に共通の秘密鍵を使用して設定が必要です。

情報管理室 2021/02/17 Ver1.01 4.初めて多要素認証を設定するとき 多要素認証が有効状態で初めてサインインすると、通常のユーザー名(メールアドレス)とパスワードの入力の次に、 「詳細情報が必要」と表⽰されるので「次へ」をクリックして設定へ進みます。 5. スマホ認証設定（スマートフォンがある場合） ●スマートフォンの登録 (Microsoft Authenticator：iPhone・Android事前にインストールする) 【パソコン作業：Microsoft365】 「手順 1：ご希望のご連絡方法をお知らせください。」のところで、「モバイルアプリ」を選択。 「モバイル アプリをとのような用途で使用されますか？」のところで、「確認のための通知を受ける」を選択。 「セットアップ」をクリックします。 ●

情報管理室 2021/02/17 Ver1.01 「モバイルアプリケーションの構成」のところで、QR コードが表⽰されます。[QR コード表示のまま、スマホ作業へ進みます] 【スマホ作業：Microsoft Authenticator】 Microsoft Authenticator を起動します。 「お客様のプライバシーは大切です」のところで「同意する」をタップします。 「お客様のデジタル ライフに安心をご提供します」のところで「QR コードをスキャンします」をタップします。 「“Authenticator”がカメラへのアクセスを求めています」のところで「OK」をタップします。 ス ク ロ ー ル ＊画面は iphone。

情報管理室 2021/02/17 Ver1.01

パソコンに表⽰されているQR コードをスキャンします。

「“Authenticator”は通知を送信します。よろしいですか？」のところで「許可」をタップする Microsoft Authenticator に Microsoft365 アカウントが登録されます。

パソコンの Microsoft365「モバイルアプリケーションの構成」画面に戻り「次へ」をクリック、 「手順 1：ご希望のご連絡方法をお知らせください。」のところで、「次へ」をクリック、 「手順 2.こちらからお客様のモバイルアプリケーションデバイスに連絡する」に変わります。 すると、スマホに通知が届くので「サインインを承認しますか？」のところで、「承認」をタップします。 これで、スマホの Office365 の多要素認証の設定が完了しました。引続き、電話の登録に進みます。 【パソコン画面：Microsoft365】 【スマホ画面：Microsoft Authenticator】

情報管理室 2021/02/17 Ver1.01 ●電話の登録 「手順３.モバイルアプリにアクセスできなくなった場合」 「国/地域を選択してください」のところで「日本(+81)」を選択し電話番号を入力し「次へ」をクリック。 SMS・音声認証が追加されます。[携帯電話（スマホ・フューチャーフォン）、固定電話（携帯が無い場合）] 注意：電話番号が間違っていても登録されます。 ●アプリパスワード 「ステップ 4：既存のアプリケーションを引き続き使用する」のところで、「完了」をクリックして下さい。 ※重要ではありません。いつでも追加・削除・[変更]できます。 【注釈】 アプリパスワードは多要素認証に対応していないアプリのパスワードとして使用するものです。

Thunderbird，アプリ版 Outlook，macOS のメール等で、Microsoft365 メールを直接受信する場合は必要、 Microsoft365 メールを転送受信する場合は必要ありません。

これでスマホの多要素認証設定は、すべて完了です。 設定の追加・修正・削除がある場合は、「方法の追加」へ

情報管理室 2021/02/17 Ver1.01 ６. コード認証設定（スマートフォンがない場合） 【パソコン作業：Microsoft365】 「手順 1：ご希望のご連絡方法をお知らせください。」のところで、「モバイルアプリ」を選択。 「モバイル アプリをとのような用途で使用されますか？」のところで、「確認コードを使用する」を選択。 「セットアップ」をクリックします。 「モバイルアプリケーションの構成」画面が表⽰されます。 「通知をオフにしてアプリを構成」をクリック 「通知をオンにしてアプリを構成」に変更します。 秘密鍵が表⽰されますのでメモ（スクリーンショット）または、保存してください。 【重要】 秘密鍵は、他のパソコン(ワークグループ環境)に設定する場合必要になります。 最後に、秘密鍵(英数 16 桁)を クリックしコピーします。 ●

情報管理室 2021/02/17 Ver1.01

【パソコン作業】 秘密鍵の登録

●Windows 認証アプリ：WinAuth の場合 ※Mac の場合は「OTP Manager の場合」へ PC の WinAuth を起動します。｢Add｣をクリックして｢Microsoft｣を選択します。

「7. Enter the Secret Key in the field below.」へ、コピーした秘密鍵を貼り付け(Ctrl+v)、 ｢Verify Authenticator｣をクリックすると認証コードが表⽰されます。 「□ Allow copy?」 チェックボックスをクリックしテキスト(数字 6 桁)を範囲選択しコピー(Ctrl+c)します。 【パソコン作業：Microsoft365】 【パソコン作業：Microsoft365】へ（２台目以降設定の場合はこちら） 緑のバーがタイマーになっており、20 秒毎に 新しい６桁の新しいコードが発行されます。 XXXX XXXX XXXX 任意の名前（複数登録識別） 用） 秘密鍵を入力（貼付け）

情報管理室 2021/02/17 Ver1.01

●Mac 認証アプリ：OTP Manager の場合 OTP Manager を起動します。

「Add your first account」のところで、「＋」をクリックします。 「Add new One Time Paaword Entry」のところで、 「Issuer」には、任意の名称 例：「Microsoft」 など

「Username」には、アカウント 例：「[email protected]」 (xxxxxx は各自読替え) 「OTP Secret」には、コピーした秘密鍵を貼付け（ctrl+v）して、「Save」をクリックします。

OTP Manager の設定はこれで完了です。

引続き、ワンタイムパスワードが表⽰されます。数字の部分右クリックし「Copy current Token」でコピーします。

◆OTP Manager 他のパソコンへ設定する場合 パソコン毎に共通の秘密鍵を使用して設定が必要です。 秘密鍵を入力（貼付け） Microsoft 秘密鍵を入力（貼付け） [email protected]

情報管理室 2021/02/17 Ver1.01 【パソコン作業：Microsoft365】 Microsoft 365 多要素認証設定の画面に戻り、「次へ」をクリックします。 追加セキュリティの確認画面に戻りますので、「次へ」をクリックします 「手順 2：モバイルアプリから確認パスワードを入力してください」のところで、認証アプリでコピーした数字 6 桁のコードを 30 秒以内に入力し「確認」をクリックします。 （間に合わなかった場合は、認証アプリから再度コードをコピー＆ペーストして下さい。） ※Mac は「●電話の登録 手順３.モバイルアプリにアクセスできなくなった場合」 へ

情報管理室 2021/02/17 Ver1.01 【パソコン作業】 ●Windows：WinAuth の場合 コード認証が通ったら「OK」で設定を保存。 「Protection」のところで、チェックボックスは通常チェックをすべて外しで「cancel」で閉じる。 「×」をクリックして、終了します。 【WinAuth を他のパソコンへ設定する場合】 ※AD ドメイン参加の場合（事務用・メディアラボ・CALL 教室）AD ドメインへサインインし１台設定すると設定した アカウントで AD ドメイン参加した全てのパソコンで使用できます。 ※ワークグループの場合（教員、技術職員、自宅ほか）パソコン毎に共通の秘密鍵を使用して設定が必要です。 これで、Windows パソコンコード認証の設定が完了しました。 ※AD 環境の場合、チェックボックスは必ずすべて外してください ワークグループ環境の場合、チェックボックスは任意で設定可 ※AD ドメイン参加の場合 ”サインイン先：AD“ XXXX XXXX XXXXXXXX 起動パスワード設定 このコンピューターでのみ使用できるように暗号化 化 このコンピューターの現在のユーザーのみ使用

情報管理室 2021/02/17 Ver1.01 7.Microsoft365 多要素認証サインイン方法 【パソコン・スマホ操作】 まず、通常どおりアカウント・パスワードで１段目の認証をします。２段階目は該当の認証方法へ進んでください。 「別の方法でサインイン」を選択すると、既定の認証方法（1 番目に登録した認証方法）を、他の登録済み認証方法へ 一時的に切り替えることが出来ます。[既定の認証方法の変更はこちらを参照] ●スマートフォン認証の場合 (Microsoft Authenticator) 「モバイルデバイスに通知を送信しました。Microsoft Authenticator アプリを開いて応答して下さい。」のところで、 スマホに通知が届きます。スマホのロックを解除し、Microsoft Authenticator 「サインインを承諾しますか？」に、 「承諾」でサインインが完了します。 ※サインインの身に覚えがないのに承認通知が来た場合は、「拒否」してください。 パスワードが漏洩している可能性が高いです。直ちにパスワードを変更してください。 スマホ認証 コード認証 SMS 認 音声認証

情報管理室 2021/02/17 Ver1.01 ●コード認証 Windows の場合（WinAuth） 「お使いのデバイスの認証アプリに表⽰されるコードを入力してください」のところで、“WinAutｈ”を起動 をクリックする と、６桁の数字が表⽰されます。 ６桁の数字付近を右クリックしメニューの「Copy Code」をクリック、認証画面のコード欄へ貼付け(Ctrl+v)し 「検証」をクリックするとサインインが完了します。 （ 20 秒タイマーになっています。20 秒以上経過し失敗した場合は、新しい６桁のコードを発行し再貼付け）

●コード認証 Mac の場合（OPT Manager）

「お使いのデバイスの認証アプリに表⽰されるコードを入力してください」のところで、OPT Managerを起動するとワンタイム

パスワードが表⽰されます。数字の部分右クリックし 「Copy current Token」をクリック、認証画面のコード欄へ貼付け 「検証」をクリックするとサインインが完了します。（30 秒経過し失敗した場合は、新しい６桁のコードを発行し再貼付け）

情報管理室 2021/02/17 Ver1.01 ●ショートメール[SMS]（スマホ・携帯）の場合 「電話+81 090xxxxxxxx に SMS を送信しました。」のところで、指定の電話へ”Microsoft”からショートメール [SMS]が届くので、開封し表⽰された６桁の数字をコード欄へ入力し「検証」をクリックするとサインインが完了します。 ※サインインの身に覚えがないのにショートメール[SMS]が来た場合はパスワードが漏洩しているか、マルウェア(悪意 のある)メールの可能性があります。リンクがあってもクリックせず、漏洩の場合は直ちにパスワードを変更してください。 ●音声の場合（携帯・固定電話）＊固定電話の場合は応答できること 「お客様のでんわにかけています。続行するには、応答してください」のところで、指定の電話機へ着信があります。 応答するとガイダンスが流れてきますので、「＃」を押すとサインインが完了。電話機を切ります。 ※サインインの身に覚えがないのに電話に認証の着信があった場合はパスワードが漏洩している可能性が高いです。 直ちにパスワードを変更してください。 ＊画像は iphone 応答 キーパッド ＃ 電話を切る ＊画像は iphone ＊米国の場合、Microsoft からの音声通話は、+1 (866) 539 4191、+1 (855) 330 8653、+1 (877) 668 6536 から発信されます。

情報管理室 2021/02/17 Ver1.01 8.サインアウトの方法 【パソコンの場合】 ユーザーアイコン または をクリックしサインアウトを選択します。 【スマホアプリの場合】 「設定」の中に「サインアウト」があります。（スマホ版 Teams、OneDrive 等） ●Microsoft365 の場合 ●Teams アプリ版の場合 ※画面は iPhone Teams の場合。

情報管理室 2021/02/17 Ver1.01 9.方法の追加（認証の追加・修正・削除） Microsoft365 へサインインし、ホーム画面左上 をクリックし、窓が開いたら「アカウント表示」をクリックします。 マイアカウントが表⽰されたら、「セキュリティ情報」の「更新情報 ＞」をクリック 現在登録されている認証方法が表⽰されます。ここで、追加・変更・削除が出来ます。（変更できないものは削除・追加） ●既定のサインイン変更 「既存のサインイン方法」のところで、「変更」すると既定のサインインが変更できます。 電話認証（SMS・音声） 固定電話（音声） アプリケーションパスワード コード認証 スマホ認証 追加 変更 削除

情報管理室 2021/02/17 Ver1.01 ●追加 「方法の追加」をクリックし、目的の方法を選択。（それぞれの追加登録へ進む） ●スマホ認証の方法の追加（Microsoft Autentication）※スマホ２台目以降追加も同様 事前にスマホに「Microsoft Autentication」を導入して下さい。（詳しくは「スマホアプリ使用する場合」参照） 「方法の追加」のところで、「認証アプリ」を選択し「追加」 「最初にアプリを取得します」のところで、「次へ」 「アカウントのセットアップ」のところで、「次へ」 「QR コードをスキャンします」のところで、スマホ“Microsoft Authenticator”でQR コードをスキャンします。 アカウントが追加されたら、パソコン画面「QR コードをスキャンします」のところで、「次へ」をクリックします。 「試してみましょう」のところで、スマホへ「サインインを承認しますか？」通知が届くので、「承認」をタップします。 「通知が承認されました」とパソコン画面が変わるので「次へ」。これで、スマートフォンの追加登録は完了です。 （スマホ側操作は、【スマホ作業：Microsoft Authenticator】を参照。2 台目以降追加の場合はこちら参照） スマホ認証＆コード認証 電話認証（SMS・音声） 固定電話（音声） アプリケーションパスワード 固定電話（音声）

情報管理室 2021/02/17 Ver1.01 ●コード認証の方法の追加 ・２台目以降のパソコン追加する場合は「方法の追加」は行わず、認証アプリに共通の秘密鍵を設定します。 「WinAuth」の場合 AD 環境は設定の必要はありません。ワークグループ環境はこちらを参照し設定して下さい。 「OPT manager」はこちら参照 ※初めて方法の追加を行う場合。 事前にパソコンに認証アプリを導入して下さい。「コード認証⽣成アプリを使用する場合」参照 「方法の追加」のところで、「認証アプリ」を選択し「追加」 「最初にアプリを取得します」のところで、「別の認証アプリを使用します」 「アカウントのセットアップ」のところで、「次へ」 「QR コードをスキャンします。」のところで、「画像をスキャンできませんか？」クリックすると秘密鍵が表⽰されます。 秘密鍵(英数 16 桁)を クリックしコピーし「次へ」 【注意】 秘密鍵は、自宅などの他のパソコン(ワークグループ環境)に設定する場合必要になります。 必要に応じて秘密鍵をメモ（スクリーンショット）または、保存してください。 認証アプリ「コード入力」のところで、パソコン認証アプリに秘密鍵を登録し表⽰された６桁のコードを入力「次へ」、 認証されれば追加登録は完了（ウィンドウ右上へ“認証アプリが正常に登録されました”ポップアップ） ＊認証アプリの使い方はWindows[WinAuth]または、Mac[OPT manager]参照

情報管理室 2021/02/17 Ver1.01 ●電話（スマホ・フューチャーフォン）の方法の追加（音声＆SMS [ショートメール]） 「方法の追加」のところで、「電話」を選択し「追加」 「電話」のところで、「日本(+81)」、「“登録したい電話番号”」、方法（SMSまたは電話）を選択し「次へ」 〇SMS [ショートメール]の場合（電話機側 SMS 受信操作詳細はこちらを参照） 「+81 090xxxxxxxx に６桁のコードをお送りしました。」のところで、 電話へショートメール[SMS]が届くので表⽰された６桁のコード（数字）を入力「次へ」認証されたら「完了」 〇電話するの場合（電話機側応答操作詳細はこちらを参照） 指定した電話機に着信があり、応答するとガイダンスが流れますので、「＃」を押すとサインインされ追加完了。「完了」 ●会社の電話・代替の電話（固定電話ほか）の方法の追加 ※電話は応答できること（電話機側応答操作詳細はこちらを参照） 「方法の追加」のところで、「会社の電話」・「代替の電話」を選択し「追加」 「電話 どの電話番号を使用しますか？」のところで、「日本(+81)」、「“登録したい電話番号”」入力し「次へ」 指定した電話機に着信があり、応答するとガイダンスが流れますので、「＃」を押すとサインインされ追加完了。「完了」 ※方法選択 ・ショートメール[SMS]（推奨） ・電話する

情報管理室 2021/02/17 Ver1.01 ●アプリパスワードの方法の追加（変更の場合は削除＞追加） 「方法の追加」のところで、「アプリ パスワード」を選択し「追加」 「最初にアプリ パスワードの名前を作成します。…」のところで、「任意の名前(8 文字以上半角英数)」を入力し「次へ」 「アプリ パスワードが正常に作成されました。…」のところで、表⽰されたパスワードをメモまたは保存して下さい。 「完了」作成されたパスワードを必要に応じて Thunderbird 等で使用出来ます。 【説明】 アプリパスワードは多要素認証に対応していないアプリのパスワードとして使用するものです。

Thunderbird，アプリ版 Outlook，macOS のメール等で、Microsoft365 メールを直接受信する場合は必要、 Microsoft365 メールを転送受信する場合は必要ありません。 〇スマホ２台目追加の場合 「Microsoft Autentication」を起動し右上「＋」をタップ。 「アカウントの追加」のところで「職場または学校アカウント」タップ。 「QR コードをスキャン」をタップして QR コードをスキャン。 任意の名前(半角英数 8 文字)

情報管理室 2021/02/17 Ver1.01

【補足】

〇WinAuth 秘密鍵の確認方法

を右クリックし「show Secret key」で秘密鍵が確認できます。

〇コード認証ソフト（ソフトウェアトークンについて） 事務用・メディアラボ・CALL 教室など AD 参加して使用する場合は必ず“WinAuth”を使用してください。 教員、技術職員、自宅などワークグループの場合は、TOTP 準拠の Microsoft365 で動作する認証ソフトなら 自己責任で使用可能です。 例）chrome 拡張機能 （パソコン毎に設定必要、または、chrome 同期が必要） 秘密鍵