Notionの２段階認証をMicrosoft Authenticatorで試してみた

便利なNotion

Notionは、ノート、タスク、データベース、プロジェクト管理など、多機能なツールとして人気を博しています。便利さゆえ、自社の機密情報やお客様とのプロジェクト遂行を管理するために使用されている企業様も多いのではないかと思います。

そうなれば、必然的にセキュリティ対策も考えていく必要がありますよね。
第３者による不正アクセスによって顧客情報や社内の秘密情報の漏洩は防止しないといけません。

これまでの経験から勝手なイメージですが、スタートアップ企業様や個人利用のユーザーが比較的Notionを利用されている気がします。
そして結構若手が利用しているとかなんとか。（マナミナの記事より引用）

NotionとTodoistで若年層割合が高い
「Notion」では対象サービスの中でも軒並み20代のユーザー割合が高く、50%以上のユーザーを20代が占めていることが示されています。新興のサービスであることから、若者を中心に利用が進んでいることが考えられます。

スタートアップ企業の皆様はこれから事業を立ち上げて駆け上っていく必要があるので、何かとタスクもいっぱいで後回しにしがちだったり、個人利用の方々はそこまで重要視してなかったりと、以外に対策されていないかもしれないと思ったので今日は簡単にできる２段階認証の設定を手順にしてみようと思いました。

２段階認証の要件

Notionには、個人の設定で簡単に行える、２段階認証が用意されています。
２段階認証の要件としては、以下のようです。

二段階認証
2FAやMFAとして知られる二段階認証を設定することで、アカウントにさらなるセキュリティを追加します

二段階認証を使用するには、次の要件を満たす必要があります。
・パスワードを設定していること
・IDプロバイダー（Okta、Microsoft Azure、Google Workspaceなど）を介したログインを求める組織に所属していないこと

パスワード設定が必須

順番に行くと、まずパスコードの設定が必要だということです。
Notionには、GoogleやAppleアカウントをお持ちであればOpneID Connectを使ったログインが用意されています。

OpenIDConnectでアカウントを作成するとパスワードはNotionで管理することはないため、パスワードいらずでアカウント作成とログインが完結します。
したがって、OpenIDConnectでログインされた方は後でパスワードを設定する必要があります。

SAMLによる認証を行っていないアカウントであること

次に、IDプロバイダーの話になりますが、OktaやAzureAD(今では名前が変わり、Microsoft Entra ID)、GoogleのCloud Identity等、ID管理や認証情報を提供するサービスを利用し、Notionと認証連携していないアカウントであることが必要とのことです。
いわゆるSAML認証を必要とするアカウントでないかということですね。

SAML認証の説明やNotionとSAML認証連携を行った動作などは以下の記事などもご確認ください。

Notion セキュリティ対策 - SAMLによるSSO -
このSSOの仕組みを利用し、認証システムを一つにまとめてしまえば、社内で定義したアクセス制御ルールを利用しているサービスにも幅広く適用することができるので、不正アクセスに対す流セキュリティ対策につながります。
SAML 2.0(Security Assertion Markup Language)の略称。OASISで定義された異なるインターネット上でユーザー認証を行うためのXMLをベースにした認証プロトコル。SAMLを使うにあたり、以下の用語については押さえておく必要がある。

公式ページにも記載の通り、SAML SSOを介しているということは、IDプロバイダー側に認証を委託しているため、IDプロバイダー側で認証制御(2段階認証)を行うことを推奨されているようです。

Q：IDプロバイダーを介してNotionにログインしています。それでも、二段階認証を使用する必要はありますか？
A：IDプロバイダーを使用してSAML SSOを介してNotionにログインしている場合は、そのIDプロバイダーを通して、二段階認証を直接設定することをお勧めします。

どういうケースで個人設定による２要素認証の設定が必要なのか

上記の要件であったり、Notionの利用ケースから考えるに、以下のような場合は個別に２要素認証の設定が必要ではないかと思います。

Notionのゲストアクセス機能を利用している

組織内のアカウント(メンバー)に対してSAML SSOを実装している有無に関わらず、Notionのゲストアクセス機能を使って外部の人間を招待しているケースです。
補足すると、ゲストアクセスのアカウントにNotionのライセンスを付与していない場合になります。（NotionではゲストはSSO経由でアクセスができません。）

大前提、SAML SSOを行う場合は連携設定したドメインを持つアカウントで認証する必要があるので、外部のアカウントドメイン(GoogleやApple等)で認証することは基本はできませんが、仮にIDプロバイダー側で属性をこねくり回して何とかできたとしても、そもそもNotionのSAML SSO対象となるのは、ゲストではなくメンバーになるので必然的にライセンス付与が必須ということになります。

つまり、予算都合などから外部ユーザーを招待しているものの、Notionライセンスを付与していない(メンバー化していない)そのゲストはデフォルトのID(メールアドレス)とパスワードのみでアクセスできてしまう状況のため、個別に行う２段階認証設定が有効になると考えられます。

個人利用（フリープラン）だけど不正アクセス対策はしておきたい

個人利用をされている方でアカウント保護はしっかりしたいという方ですね。
今の時代、IDとパスワードだけでは危険です。せっかく用意されている機能は利用していく方がいいと思います。

２段階認証を試してみる

２段階認証ではID・パスワードとは別にコードを入力するためのアプリやシステムを用意する必要があるのですが、今回はタイトルの通り、Microsoft Authenticatorで有効化する方法を試してみました。
Notion公式では特に認証に使うシステムは指定されていないようだったことと、私がMicrosoftの製品をよく触る人間なので、Microsoft Authenticatorにしました。

今回はNotionのワークスペースにゲストとして招待されたケースを想定します。
まず招待されると招待メールが届きますのでクリックします。

Notionのログインページが表示されるのでメールアドレスを入力します。
メールアドレスを入力後、ログインコードがメールに通知されるので入力してログインします。

Notion上で表示される名前とログインするためのパスワードを設定します。

これでNotionにはログインできたと思います。
ログイン後、赤線の「設定」をクリックします。

少し見えづらいですが、赤線の「二段階認証」のボタンを有効にします。

二段階認証の有効ポップアップが表示されます。
認証アプリ(今回でいうとMicrosoft Authenticator)以外にも電話番号を登録すればSMSで認証することもできます。

QRコードが表示されますので認証アプリ(Microsoft Authenticator)で読み取ります。
なお、認証システム名はのちにNotionの認証方法確認で表示される名前になるので任意で設定します。

ここでMicrosoft Authenticatorの出番です。
Microsoft Authenticatorアプリを起動したら「＋」をクリックして「その他」を選択します。

先ほどのQAコードを読み取ると、以下のようにNotionアカウントが生成されます。
追加されたアカウント上で表示されているパスコードをコピーします。

以下コード検証画面で入力します。

最後にバックアップコードが表示されます。
これは万が一、２要素認証でログインできなくなった場合の情報になります。
個人で利用されている方はコードを安全な場所に保存しておきましょう。
一方で組織のNotionに招待されたアカウントの場合は、招待されたということは管理者が必ずいるため、アカウント自体を再発行してもらう対応もあると思います。
したがって、返ってこのバックアップコードが盗まれるとログインされてしまうリスクもあるため、保存しない方がいいという考え方もあるかもしれません。