USBでセキュリティーキーを作りたい場合、まず確認したいのは「普通のUSBメモリを使いたいのか」「GoogleやMicrosoftのログインに使う物理キーを用意したいのか」です。ここを混同すると、せっかく設定しても思っていた保護にならなかったり、紛失時にログインできなくなったりします。
この記事では、USBセキュリティーキーの作り方を、できることとできないことに分けて整理します。FIDO2対応キー、Windowsのサインイン、Googleアカウント、バックアップ方法まで確認できるので、自分の目的に合う準備がしやすくなります。
セキュリティーキーusb作り方は目的で変わる
セキュリティーキーをUSBで作るといっても、実際には大きく2つの意味があります。1つは、FIDO2やU2Fに対応した専用の物理セキュリティキーを購入し、GoogleアカウントやMicrosoftアカウントに登録する方法です。もう1つは、USBメモリを使ってWindowsの回復用ディスクやBitLockerの回復キー保存先にする方法です。
この2つは見た目が似ていても、役割はかなり違います。GoogleやMicrosoftのログイン時にUSBを挿して本人確認する用途なら、普通のUSBメモリではなく、FIDO2対応のセキュリティキーが必要です。一方、Windowsのパスワードリセットや暗号化の回復情報を保存したいだけなら、通常のUSBメモリを使える場面もあります。
最初に決めるべきなのは「何を守りたいか」です。Googleアカウント、Microsoftアカウント、パスワードマネージャー、SNS、会社のクラウドサービスを守りたいなら、物理セキュリティキーを選びます。パソコンのトラブル時に復旧しやすくしたいなら、回復用USBやバックアップの準備が中心になります。
| やりたいこと | 使うもの | 向いている方法 |
|---|---|---|
| GoogleやMicrosoftのログインを強くしたい | FIDO2対応USBセキュリティキー | アカウントに物理キーを登録する |
| Windowsのサインインに使いたい | FIDO2対応キーまたはWindows Hello対応環境 | 設定アプリからセキュリティキーを管理する |
| パスワード忘れに備えたい | 通常のUSBメモリ | 回復情報やバックアップを保存する |
| BitLockerの復旧に備えたい | USBメモリまたは安全な保管先 | 回復キーを別の場所に保存する |
つまり、普通のUSBメモリを差し込むだけで、銀行口座やGoogleアカウント用のセキュリティキーになるわけではありません。専用キーは内部に暗号処理用の仕組みを持っており、ログイン先の本物のサイトかどうかを確認する役割もあります。ここを理解しておくと、無駄な買い物や危ない設定を避けやすくなります。
普通のUSBメモリでは作れない場合
FIDO2対応キーが必要な場面
Googleアカウント、Microsoftアカウント、GitHub、Dropbox、1Passwordなどで使うセキュリティキーは、多くの場合FIDO2やU2Fという認証規格に対応した専用デバイスを指します。代表例としては、YubiKey、Google Titan Security Key、Feitianなどの物理キーがあります。これらはUSB-A、USB-C、NFCなどの接続方式があり、パソコンやスマホの端子に合わせて選びます。
専用キーが必要になる理由は、単なるファイル保存ではなく、秘密鍵をデバイス内で安全に扱うためです。ログイン時には、サービス側が出した確認要求に対して、キー本体が暗号的な応答を返します。パスワードのように文字列をコピーして入力する仕組みではないため、偽サイトに情報を入力してしまうリスクを下げやすいのが特徴です。
USBメモリに何かのソフトを入れれば同じことができると考えたくなりますが、一般的なUSBメモリにはFIDO2認証に必要な安全なチップや認証機能がありません。見た目は同じUSB機器でも、中身の役割は別物です。アカウント保護を目的にするなら、商品説明にFIDO2、U2F、WebAuthn、パスキー対応などの記載があるかを確認して選ぶ必要があります。
USBメモリでできること
普通のUSBメモリにも、セキュリティ対策として使える場面はあります。たとえば、Windowsの回復ドライブを作成しておけば、パソコンの起動トラブル時に修復作業へ進みやすくなります。BitLockerを使っている場合は、回復キーを印刷したり、別の安全な場所に保存したりすることで、暗号化されたドライブにアクセスできなくなる事態に備えられます。
ただし、これらはログイン時に本人確認するためのセキュリティキーとは違います。回復ドライブは故障や起動不良に備えるもの、BitLocker回復キーは暗号化したドライブを復旧するためのものです。GoogleアカウントやMicrosoftアカウントの2段階認証で、USBを挿して本人確認する用途とは分けて考える必要があります。
また、USBメモリにパスワード一覧をそのまま保存する方法はおすすめしにくいです。紛失したときに中身を見られる可能性があり、ファイル名や保存場所から重要情報だと分かってしまうこともあります。パスワード管理をしたい場合は、パスワードマネージャーを使い、マスターパスワードと2段階認証を組み合わせるほうが現実的です。
USBセキュリティキーの選び方
端子と対応サービスを確認する
USBセキュリティキーを選ぶときは、最初に端子を確認します。古いデスクトップパソコンや一部のノートパソコンではUSB-Aが使いやすく、最近の薄型ノートやAndroidスマホ、iPadではUSB-Cが便利です。スマホでも使う予定があるなら、NFC対応のキーを選ぶと、端子に挿さずにタッチで認証できる場面があります。
次に確認したいのが、使いたいサービスが物理セキュリティキーに対応しているかです。GoogleアカウントやMicrosoftアカウントは対応していますが、すべてのアプリや古いブラウザで同じように使えるわけではありません。会社のMicrosoft 365、Google Workspace、金融系サービスなどでは、管理者設定やサービス側の対応状況によって使える範囲が変わります。
購入前には、対応規格も見ておきましょう。個人利用なら、FIDO2、U2F、WebAuthnに対応したモデルを選ぶと使える場面が広がります。PIV、OTP、OpenPGPなどの機能は企業や技術者向けの用途で使われることが多いため、一般的なアカウント保護だけなら必須ではありません。
| 確認項目 | 見るポイント | 選び方の目安 |
|---|---|---|
| 端子 | USB-AかUSB-Cか | 普段使うパソコンやスマホに合うものを選ぶ |
| NFC | スマホでタッチ認証できるか | AndroidやiPhoneでも使いたい人は対応モデルが便利 |
| 対応規格 | FIDO2、U2F、WebAuthn | GoogleやMicrosoftの保護目的ならここを重視する |
| 予備キー | 同じ用途で2本登録できるか | 紛失に備えて2本運用が安心 |
| 保管方法 | 持ち歩き用と自宅保管用を分けるか | 毎日使う人ほど予備の置き場所を決める |
迷った場合は、USB-CとNFCの両方に対応したモデルを選ぶと、スマホや新しいパソコンで使いやすくなります。ただし、古い会社用パソコンがUSB-Aしかない場合は、USB-Aモデルや変換アダプターの相性も確認が必要です。セキュリティキーは長く使うものなので、今の端子だけでなく、次に買い替えるパソコンやスマホも想定して選ぶと失敗しにくくなります。
1本だけで運用しない
物理セキュリティキーは便利ですが、1本だけに頼ると紛失や故障のときに困ります。特に、GoogleアカウントやMicrosoftアカウントに強い保護を設定したあと、そのキーをなくすとログイン手段が限られることがあります。スマホの認証アプリ、バックアップコード、予備の物理キーをあわせて準備しておくと安心です。
おすすめは、普段使う1本と保管用の1本を用意することです。普段使うキーはキーホルダーやポーチに入れて持ち歩き、予備キーは自宅の決まった場所に保管します。家族や職場で共有するのではなく、アカウントごとに本人が管理する形にすると、あとから誰がどのキーを持っているのか分からなくなる状況を避けられます。
予備キーを登録するタイミングも大切です。メインキーを設定した直後に、同じアカウントへ予備キーも登録しておくと、あとで慌てずに済みます。後回しにすると、いざ設定しようと思ったときに本人確認が通らなかったり、別端末が必要になったりすることがあります。
GoogleやMicrosoftで設定する流れ
Googleアカウントに登録する
GoogleアカウントでUSBセキュリティキーを使う場合は、まず2段階認証を有効にします。そのうえで、セキュリティ設定からセキュリティキーを追加し、画面の案内に沿ってUSBキーを挿す、またはNFCでタッチします。キー本体に金属部分やボタンがある場合は、ログイン確認時にタッチして本人操作であることを示します。
設定前には、Chromeなど対応ブラウザを使い、アカウントの復旧用メールアドレスや電話番号も確認しておくと安心です。セキュリティキーだけを登録して、復旧手段が古い電話番号のままだと、スマホを変えたときや番号を解約したときに困りやすくなります。登録作業そのものより、復旧手段を整えることのほうが大切な場合もあります。
Googleアカウントを仕事用と個人用で分けている場合は、それぞれにキー登録が必要です。片方のアカウントに登録しただけでは、別のアカウントが自動で守られるわけではありません。Gmail、Google Drive、YouTube、Google広告など、どのアカウントに大事なデータがあるかを見ながら優先順位を決めましょう。
MicrosoftやWindowsで使う
Microsoftアカウントや職場、学校アカウントでも、対応していればセキュリティキーを本人確認方法として登録できます。Windowsでは、設定アプリのアカウント関連メニューからサインインオプションを開き、セキュリティキーの管理画面へ進みます。そこでキーをUSBポートに挿す、またはNFCでタッチし、PINの作成や変更を行います。
ここで出てくるPINは、セキュリティキー本体を使うための暗証番号です。WindowsのログインパスワードやMicrosoftアカウントのパスワードとは別に考えます。PINを設定しておくことで、キーを拾った第三者がそのまま使える可能性を下げられます。
職場のMicrosoft 365やAzure関連サービスで使う場合は、会社側の管理設定によって手順が変わります。自分で勝手に登録できる環境もあれば、管理者が許可したキーや認証方法だけが使える環境もあります。会社のデータを守る目的なら、購入前に情報システム担当や管理者へ確認しておくと、買ったあとに使えないというズレを避けられます。
パスワードマネージャーにも使う
1Password、Bitwarden、Dashlaneなどのパスワードマネージャーでは、アカウント保護のために物理セキュリティキーを追加できる場合があります。ここに登録しておくと、保存している多数のログイン情報をまとめて守りやすくなります。特に、メール、ネットショップ、SNS、クラウドストレージのパスワードを一括管理している人には効果を感じやすい使い方です。
ただし、パスワードマネージャーに登録する前に、マスターパスワードを強くしておく必要があります。短い単語や使い回しのパスワードのままでは、セキュリティキーを追加しても土台が弱くなります。長めのフレーズにして、他のサービスと重複しないものを使いましょう。
また、パスワードマネージャーはスマホで使う機会も多いため、USB-CやNFC対応のキーが便利です。パソコンだけでなく、スマホアプリでログインし直す場面を想像して選ぶと、日常の使い勝手が落ちにくくなります。セキュリティは強くても、毎回面倒で使わなくなる設定では続きにくいため、自分の端末環境に合わせることが大切です。
作る前に避けたい失敗
紛失時の復旧手段を残す
USBセキュリティキーを設定するときに一番避けたいのは、ログイン手段を1つに絞りすぎることです。セキュリティを強くしたい気持ちから、SMS認証や認証アプリをすぐ削除したくなることがありますが、慣れるまでは複数の復旧手段を残したほうが安全です。特に、重要なメールアカウントは他サービスの復旧にも使われるため、慎重に進める必要があります。
登録後は、バックアップコードを発行できるサービスでは必ず保存しておきましょう。紙に印刷して保管する、パスワードマネージャーの安全なメモに入れるなど、普段のログイン端末とは別の形で残すと安心です。スマホの写真フォルダにそのまま保存する方法は、端末紛失時やクラウド同期の設定によって不安が残るため、保管場所をよく考えましょう。
また、予備キーを登録したあと、本当に使えるかテストすることも大切です。メインキーだけでログインできる状態に満足せず、別ブラウザやシークレットウィンドウで予備キーの動作を確認します。いざというときに初めて試すより、設定直後に確認したほうが落ち着いて修正できます。
偽サイトと中古品に注意する
セキュリティキーは、ログインを守るための道具なので、購入先にも注意が必要です。中古品や出所が分かりにくいものは、前の所有者が使っていた可能性や、初期化状態が不明な可能性があります。新品であっても、極端に安い出品や型番がはっきりしない商品は避けたほうが判断しやすいです。
購入後は、メーカーの案内に沿って初期設定やリセット状態を確認します。Windowsの管理画面やブラウザのセキュリティキー管理機能でPINを作成し、自分のアカウントに登録してから使い始めます。すでに誰かのPINが設定されているように見える場合は、そのまま使わず、初期化や購入先への確認を検討しましょう。
偽サイトにも注意が必要です。セキュリティキーはフィッシングに強い仕組みですが、パスワードやバックアップコードを自分で入力してしまう場面は残ります。メールやSMSのリンクからログイン画面へ進むより、ブラウザのブックマークや公式アプリからアクセスする習慣をつけると、セキュリティキーの効果を活かしやすくなります。
会社用と個人用を混ぜない
会社のアカウントと個人のアカウントを同じUSBセキュリティキーに登録することは、技術的にはできる場合があります。ただし、退職、部署異動、端末返却、社内ルール変更があると、どのキーを誰が管理するかが問題になりやすいです。個人で買ったキーを会社の重要アカウントに登録する場合は、事前にルールを確認したほうが安心です。
個人用では、Gmail、Microsoft、SNS、ネットショップ、パスワードマネージャーを中心に守ると効果を感じやすくなります。会社用では、Microsoft 365、Google Workspace、VPN、管理画面、広告アカウントなど、業務データに関わるサービスが中心になります。目的ごとに分けておくと、紛失時や交換時の手続きも整理しやすくなります。
特にマーケティングやサイト運営に関わる人は、Google広告、Googleアナリティクス、Search Console、SNS広告アカウントなどの権限を持つことがあります。これらは乗っ取られると影響が広がりやすいため、優先して保護する価値があります。個人の便利さだけでなく、管理権限の重さも見ながら登録先を決めましょう。
自分に合う準備から始めよう
USBセキュリティキーの作り方で迷ったら、まず「普通のUSBメモリで作る」のではなく「専用のFIDO2対応キーを用意して、守りたいアカウントに登録する」と考えるのが基本です。GoogleやMicrosoftのログインを強くしたいなら、USB-A、USB-C、NFC、FIDO2対応の有無を確認して選びます。Windowsの回復やBitLocker対策をしたい場合は、通常のUSBメモリで回復情報を保存する別の準備として進めます。
最初の一歩としては、守りたいアカウントを3つに絞ると進めやすいです。たとえば、メインのメール、Microsoftアカウント、パスワードマネージャーを優先します。次に、対応するUSBセキュリティキーを2本用意し、メインキーと予備キーを同じアカウントに登録します。
設定後は、バックアップコード、復旧用メール、電話番号、認証アプリの状態も確認しましょう。セキュリティキーは強力な方法ですが、紛失時の道筋まで整えて初めて安心して使えます。いきなりすべてのサービスに設定するより、まず重要度の高いアカウントで試し、使い方に慣れてから広げると失敗しにくくなります。
最後に、買う前のチェックリストを短く整理します。自分のパソコンの端子、スマホで使うか、守りたいサービスが対応しているか、予備キーを用意できるか、復旧手段を残せるかを確認してください。この5点がそろえば、USBセキュリティキーは難しい専門機器ではなく、毎日のログインを落ち着いて守るための実用的な道具になります。
