minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
二段階認証アプリ3選を徹底比較:Google・Microsoft・Authy、初心者が「詰まない」選び方
スマホの乗っ取りや不正ログインからアカウントを守る「二段階認証(2FA)」。その中核を担う認証アプリ3つ——Google Authenticator、Microsoft Authenticator、**Authy(Twilio Authy)**を、機能・安全性・機種変更のしやすさまで初心者向けに網羅的に比較した。
結論を先に言うと、次のとおりだ。
- 「まず迷わずシンプルに使いたい」 → Google Authenticator
- 「Microsoft 365やOutlookをよく使う、または職場で指定された」 → Microsoft Authenticator
- 「複数端末で同じコードを使いたい」 → Authy
ただし、どのアプリを選んでも、各サービスの「バックアップコード」を安全に保管しておかないと、紛失時に詰む。この点が最も重要なメッセージだ。アプリ選びの前に、まずここだけ押さえてほしい。
そもそも「二段階認証アプリ」とは何をするものか
二段階認証(2FA:Two-Factor Authentication)とは、パスワードに加えてもう一つの確認手段を使い、アカウントの安全性を大幅に高める仕組みのこと。
認証アプリは、**30秒ごとに自動で変わる6桁の使い捨てパスワード(ワンタイムパスワード)**をスマホ上で生成する。この方式を 「TOTP(Time-based One-Time Password=時間ベースのワンタイムパスワード)」 と呼ぶ。
SMSで届く認証コードとの主な違いは次の2点だ。
- 電話番号を乗っ取られても突破されにくい(SIMスワップ攻撃への耐性)
- インターネット接続がなくてもコードが生成できる(機内モードや電波の悪い場所でも使える)
なお、TOTPはIETFで国際標準化されており、Google・Microsoft・Authyのいずれのアプリでも、サービス側が「認証アプリ(Authenticator App)」に対応していれば基本的に使うことができる。
一点補足しておくと、TOTPは「SMSより安全になりやすい」とはいえ、フィッシング詐欺(偽サイトへの誘導)でコードを入力させられると、リアルタイム中継で突破され得るという性質もある。認証アプリを導入すれば100%安全、というわけではない。正しいURLからのみログインする習慣が、アプリ選びと同じくらい重要だ。
3アプリの基本スペック比較表
| 項目 | Google Authenticator | Microsoft Authenticator | Authy(Twilio Authy) |
|---|---|---|---|
| 開発元 | Google LLC | Microsoft Corporation | Authy Inc.(Twilio社傘下) |
| 価格 | 完全無料 | 完全無料 | 無料(個人利用) |
| 対応OS | iOS 16.0以降 / Android 6.0以降 | iOS / Android 8.0以上 | iOS 15.0以降 / Android |
| 日本語対応 | ○(完全対応) | ○(完全対応) | ×(英語のみ) |
| クラウドバックアップ | ○(Googleアカウント同期) | ○(iCloud / Microsoftアカウント) | ○(AES-256暗号化) |
| マルチデバイス同期 | ○(同一Googleアカウント) | △(OS間の移行は不可) | ○(最大の強み) |
| デスクトップ版 | × | × | ×(2024年3月に廃止) |
| 生体認証ロック | ○(v7.0以降) | ○ | ○ |
| App Store評価 | ★4.85(約98万件) | ★4.7(約58.6万件) | ★4.7(約5.2万件) |
| Google Play評価 | ★3.8 | ★4.7(約252万件) | ★4.0(約9.4万件) |
| 対応認証方式 | TOTP / HOTP | TOTP+プッシュ通知+パスキー | TOTP(8桁トークンも対応) |
| セキュリティ認証 | × | ○(FIPS 140準拠) | × |
各アプリの特徴・メリット・デメリット
Google Authenticator:シンプルさと軽量さが最大の武器
Google Authenticatorは2010年にリリースされた認証アプリの”元祖”的存在だ。長らく「コードを表示するだけ」のシンプルなアプリだったが、2023年4月にGoogleアカウントへのクラウド同期機能が追加されたことで実用性が劇的に向上した。
Googleアカウントでログインすれば、機種変更時もコードが自動的に引き継がれる。iOSとAndroid間をまたいだ移行にも対応しており、この点は競合アプリより優れている。
2024年にはバージョン7.0へアップデートされ、Material You(Googleの最新デザイン言語)による画面刷新、アカウント検索バーの追加、タップ1回でのコードコピー、生体認証によるアプリロック(プライバシースクリーン)など、長年のユーザー要望に応える改善が実現した。アプリサイズは約6〜8.5MB(Android)と極めて軽量で、動作も速い。
メリット: 日本語対応・シンプルなUI・Googleアカウント同期で機種変更が楽・iOS⇔Android間の移行も可能・完全無料
デメリット: クラウドバックアップのEnd-to-End暗号化が未実装(Googleがサーバー上でデータを閲覧できる可能性がある)・Googleアカウント自体のセキュリティに依存
Microsoft Authenticator:多機能で企業利用に強い
Microsoft Authenticatorは単なるコード生成アプリの枠を超えた多機能アプリだ。基本のTOTPコード生成に加え、Microsoftアカウントへのプッシュ通知認証(ログイン要求がアプリに届き「承認」をタップするだけで認証完了)、パスワードレス認証、そして**2025年1月に正式対応したパスキー(Passkey)**まで幅広くサポートする。
パスキーとはパスワードに代わる次世代の認証方式で、フィッシング詐欺に対する耐性が極めて高い。セキュリティ面ではFIPS 140準拠(米国政府のサイバーセキュリティ基準)を達成しており、3つのアプリの中で最も厳格な認証を受けている。
バックアップはiOS版がiCloud経由、Android版がMicrosoftアカウント経由で行えるが、iOS⇔Android間のクロスプラットフォーム復元はできないという大きな制約がある。Microsoft 365やMicrosoft Entra ID(旧Azure AD)との統合が深く、企業や教育機関での利用には最適だ。
また、Microsoftは技術ブログでバックアップの仕組みをAES-256暗号化など具体的に公開しており、暗号化の透明性が高い点も評価できる。
メリット: FIPS 140準拠のセキュリティ・パスキー対応・プッシュ通知承認が便利・Microsoft環境との統合・暗号化仕様が明確
デメリット: iOS⇔Android間の移行が不可・多機能ゆえ初心者には設定がやや複雑・iCloudとMicrosoftアカウント両方の設定が必要(iOS版)
Authy(Twilio Authy):マルチデバイス同期のパイオニア
Authyは3つの中で唯一、正式なマルチデバイス同期機能を備える。スマートフォン、タブレットなど複数の端末に同じ認証コードを共有できる。
バックアップデータはAES-256(銀行や政府機関でも使われる強力な暗号化方式)で暗号化され、ユーザーが設定する「バックアップパスワード」でのみ復号できる。暗号化・復号はすべてデバイス上で行われ、Twilio社のサーバーには暗号化済みデータしか保存されない。つまりTwilio社はコードを見ることができない。 その一方で、バックアップパスワードを忘れると、Twilio社でも復旧できない。
しかし2024年に大きな転換点を迎えた。 デスクトップ版(Windows/macOS/Linux)が2024年3月に廃止されPCからの利用が不可能に。さらに2024年7月には、ハッカーグループによって約3,340万件のユーザー電話番号が流出するデータ漏洩事件が発生した。トークン自体やパスワードは流出していないが、電話番号が特定されることでフィッシングやSIMスワップ攻撃のリスクが高まっている。
メリット: マルチデバイス同期・強力なAES-256暗号化バックアップ・端末側で暗号化/復号するためTwilio社もアクセス不可
デメリット: 日本語非対応・エクスポート機能なし(他アプリへの移行が困難)・電話番号必須・2024年の電話番号流出事件・デスクトップ版廃止
セキュリティの深掘り比較
セキュリティの観点では、3つのアプリにそれぞれ異なる強みと弱みがある。
| セキュリティ項目 | Google Authenticator | Microsoft Authenticator | Authy |
|---|---|---|---|
| クラウドバックアップ暗号化 | ○(転送中・保管時に暗号化)ただしE2E非対応 | ○(AES-256。仕様を公式公開) | ○(AES-256。端末側で暗号化/復号) |
| End-to-End暗号化(E2EE) | ×(未実装) | △(詳細非公開) | ○(設計思想として明言) |
| 生体認証ロック | ○(v7.0以降) | ○ | ○ |
| セキュリティ認証(FIPS等) | × | ○(FIPS 140準拠) | × |
| パスキー対応 | × | ○(2025年1月 正式対応) | × |
| 過去のセキュリティ事件 | 2023年Retool社事件(同期機能が悪用) | 特になし | 2024年3,340万件電話番号流出 |
Microsoft Authenticatorがセキュリティ認証面では最も強い。 FIPS 140準拠という政府レベルの基準を満たしており、パスキー対応でフィッシング耐性も高い。ナンバーマッチング機能(画面に表示された番号をアプリで選ぶ方式)で、MFAファティーグ攻撃(認証要求を連打して誤承認させる手口)にも対策している。
Authyは暗号化の仕組み自体は最も堅牢だ。しかしTwilio社自体のセキュリティ体制に繰り返し問題が生じており、電話番号ベースのアカウント設計がSIMスワップ攻撃のリスクを生む。
Google Authenticatorは最大の懸念としてE2EEが未実装という点がある。クラウド同期機能が追加された際、セキュリティ研究者が「Googleがサーバー上で秘密鍵を閲覧できる可能性がある」と警告した。セキュリティを最優先するなら、同期機能をオフにして使うか、Googleアカウント自体をパスキーや別の強力な2段階認証で堅牢に守ることが前提となる。
初心者が「詰まる」3つのポイント
どのアプリを選んでも、以下の3つを知っておかないと、最悪「本人でもログインできない」状態になる。
詰みポイント① サービス側のバックアップコードを保存していない 各サービス(Google、SNS、ネットバンクなど)が「2段階認証を有効にした際に発行するバックアップコード(リカバリーコード)」を保存していないと、スマホが壊れた・なくした場合に復旧できない。バックアップコードは認証アプリの機能ではなく、各サービスの機能だ。紙に書いて安全な場所に保管することを強く推奨する。
詰みポイント② 認証アプリの復元条件を満たしていない Microsoft AuthenticatorでiCloudの設定が不十分だったり、iOSからAndroidへ移行してしまうと、バックアップから復元できなくなる。Authyはバックアップパスワードを忘れると公式が「回復できない」と明言している。
詰みポイント③ 旧端末を先に初期化してしまう 機種変更時に旧スマホを先にリセット・下取りに出してしまうと、アプリ内のコードが消える。新端末で動作確認を完了してから旧端末を初期化するのが鉄則だ。日本ではキャリアショップでその場で下取りに出す慣習があるため、特に注意が必要だ。
実際の設定手順(共通の流れ)
認証アプリの設定は「アプリ側」だけでは完結しない。必ずサービス側の2段階認証設定画面でQRコードを表示し、アプリで読み取って初めて登録完了になる。
手順① App Store(iPhone)またはGoogle Play(Android)でアプリをインストール。同名のニセアプリが存在するため、開発元名を確認すること(Authyは「Authy Inc.」)。
手順② アプリを起動し、初期設定を済ませる(Googleアカウントへのログイン、バックアップのONなど)。
手順③ 2段階認証を有効にしたいサービスの「セキュリティ設定」から「認証アプリ(Authenticator App)」を選ぶ。
手順④ 表示されたQRコードをアプリで読み取る(または秘密鍵を手入力)。
手順⑤ アプリに表示された6桁コードをサービス側に入力して有効化する。
手順⑥ サービス側が提示するバックアップコードを必ず保存する(紙または安全な保管場所)。
アプリ別・機種変更の実務手順
機種変更は認証アプリユーザーにとって最大のリスクポイントだ。旧端末を手放す前にデータ移行を完了しないと、各サービスにログインできなくなる可能性がある。
Google Authenticatorの場合
Googleアカウント同期を使っている場合(おすすめ): 新端末でアプリをインストールし、同じGoogleアカウントでログインするだけで全コードが復元される。iOSからAndroidへの移行、またはその逆にも対応している。
同期を使っていない場合: 旧端末でメニュー →「アカウントを移行」→「アカウントのエクスポート」を選びQRコードを表示する。新端末でメニュー →「アカウントを移行」→「アカウントのインポート」でそのQRコードを読み取る。複数アカウントがある場合はQRが複数枚になることがあるため注意。
旧端末が壊れた・紛失した場合: 同期がONなら新端末でGoogleアカウントにログインして復元できる。同期OFFの場合はアプリ側での復元は困難になるため、各サービスのバックアップコードが命綱になる。
Microsoft Authenticatorの場合
iOS(iPhone)の場合: 事前にiCloud DriveとiCloudバックアップ、個人Microsoftアカウントへのサインインを有効にしておく。新端末でアプリをインストール直後の画面から「バックアップから復元(Begin Recovery)」を選ぶ。アプリを先に開き進めてしまうと復元オプションが表示されなくなることがあるため、インストール直後に操作するのがポイントだ。
Androidの場合: Microsoftアカウントでサインインし、クラウドバックアップをONにしておく。新端末でアプリをインストール後、同じMicrosoftアカウントで復元する。
最重要注意点: iOS⇔Android間での復元はできない。iPhoneからAndroidに機種変更する(またはその逆)場合は、各サービスで2段階認証の再設定が必要になる。移行前に計画を立てておくこと。
Authyの場合
バックアップを有効にしてある場合: 新端末でアプリをインストールし、登録済みの電話番号でログイン、バックアップパスワードを入力すれば復元できる。
マルチデバイス機能の使い方: 「Allow Multi-Device」(マルチデバイスを許可)をONにした状態で新端末を追加し、追加が完了したら再度OFFに戻す、という運用が推奨される。OFFのままだと新端末を追加できない。
絶対に忘れてはいけないこと: バックアップパスワードを忘れると、Twilio社でも復旧できない。このパスワードは紙に書いて安全な場所に保管すること。
2024〜2025年の主な変更点
この1〜2年で各アプリに重要な変化があった。選択前に最新の状況を確認してほしい。
Google Authenticator: 2024年にバージョン7.0へ刷新。Material Youデザイン、検索バー、生体認証ロックを追加。E2EEは依然として未実装だが、機能面の弱点は大幅に解消された。
Microsoft Authenticator: 2024年9月にAndroid版がFIPS 140準拠を達成。2025年1月にパスキーが正式対応。一方で2025年6〜8月にかけてパスワードマネージャー機能とオートフィル機能が段階的に廃止される予定で、Microsoft Edgeへ一本化される。この変更はパスワード管理にMicrosoft Authenticatorを使っていたユーザーに影響がある。
Authy: 2024年3月にデスクトップ版が廃止、PCからの利用が不可能に。2024年7月に約3,340万件のユーザー電話番号が流出する事件が発生。2024年10月にUIリニューアルを行ったが、ダークモード廃止などが不評を招きストア評価が一時低下した。
自分に合ったアプリの選び方:3つのシナリオ
シナリオA:とにかくシンプルに始めたい。Googleアカウントは普段から使う
推奨:Google Authenticator(同期ON+プライバシー画面ON)
無料でシンプル、同一Googleアカウントで同期でき、iOSとAndroid間の移行も対応しているため、機種変更時の手間が最も少ない。日本語で完全に使えるため、トラブル時も困りにくい。
注意点として、Googleアカウント自体の保護が重要だ。Googleアカウントが乗っ取られると認証コードまで奪われる可能性があるため、Googleアカウントにパスキーや別の強力な2段階認証を設定しておくこと。
シナリオB:Microsoft 365やOutlookを日常的に使う、または職場・学校で指定された
推奨:Microsoft Authenticator
Microsoft系サービスとの統合が強く、プッシュ通知承認(画面に届いた通知をタップするだけでログイン)が非常に便利だ。バックアップ・復元の仕組みも技術的に明確で、セキュリティ認証も3つのアプリの中で最も高い。
注意点として、iOS⇔Android移行ができない制約があるため、将来の機種変更の方向も考えながら設定すること。また、iCloud設定が不十分だとバックアップが正常に機能しない。
シナリオC:家族用の予備端末でも同じコードを使いたい、または端末をよくなくす
推奨:Authy(バックアップパスワードをしっかり管理できる場合)
マルチデバイス同期設計で、複数端末で同じコードを使える唯一のアプリだ。端末紛失を前提にした設計思想は、紛失リスクの高い人に向いている。
ただし英語のみ対応のため、設定や操作で英語の画面を読む必要がある。バックアップパスワードを忘れると復旧が完全に不可能な点と、2024年の電話番号流出事件は認識しておくこと。PCで利用することを期待して選ぶのは非推奨(デスクトップ版は2024年3月に廃止済み)。
初心者向け「安全運用」チェックリスト
どのアプリを選んでも、以下をすべて確認してほしい。
- □ 主要サービス(メール・SNS・ネットバンク)のバックアップコードを紙に書いて保管した
- □ 認証アプリを開くのにスマホのロック(PIN・指紋・顔認証)が必要な状態にした(Google AuthenticatorならプライバシースクリーンをON)
- □ クラウド同期・バックアップ機能をONにして、動作することを確認した
- □ 機種変更時は「新端末でログイン確認 → 旧端末を初期化」の順番を守ると決めた
- □ ログイン時は必ず公式アプリ・正しいURLからアクセスする習慣がある(フィッシング対策)
- □ Authyを使う場合、バックアップパスワードを安全な場所に記録した
まとめ:結局どれを選べばいいか
3つの認証アプリはそれぞれ明確に異なる強みを持つ。最終的な選び方はシンプルだ。
シンプルさと日本語対応を重視するなら Google Authenticator。 機種変更の手軽さ、iOS⇔Android間の移行対応は他の追随を許さない。ただしGoogleアカウント自体のセキュリティ強化が前提となる。
企業・教育機関でMicrosoft環境を使っている人、またはセキュリティを最優先する人にはMicrosoft Authenticator。 FIPS 140準拠とパスキー対応は国内外の認証アプリの中でトップレベルだ。iOS⇔Android移行の制約だけ事前に確認しておくこと。
複数端末での同期を最優先する上級者にはAuthy。 ただし英語環境・デスクトップ版廃止・2024年の電話番号流出事件という3つの課題は無視できない。英語に抵抗がなく、バックアップパスワードをしっかり管理できる人向けの選択肢だ。
最終的にどのアプリを選んでも、「二段階認証を設定すること自体」がアカウント保護における最大の一歩だ。Microsoftの調査によれば、MFAで保護されたアカウントの99.9%は侵害を免れるとされている。まずは自分に合ったアプリを一つ選び、Googleアカウント・SNS・ネットバンクなど主要サービスへの設定を今日から始めてほしい。
