多要素認証(MFA)とは?仕組みと導入手順をわかりやすく解説
「パスワードだけで本当に安全なのだろうか」と不安に感じたことはありませんか。実際、IDとパスワードだけの認証は、フィッシングや総当たり攻撃によって突破されるリスクが年々高まっています。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」でも、認証情報の窃取による不正ログインは企業にとって深刻な脅威として挙げられています。
この記事では、多要素認証(MFA)の仕組みから、中小企業でも導入できる具体的な手順、運用で失敗しないためのポイントまでを、現場で使えるレベルで解説します。「MFAが大事なのはわかるけど、何から手をつければいいかわからない」という情シス担当の方に向けた内容です。
多要素認証(MFA)とは?なぜ今すぐ必要なのか
多要素認証(MFA: Multi-Factor Authentication)とは、ログイン時に「異なる種類の認証要素」を2つ以上組み合わせて本人確認を行う仕組みです。
認証に使える要素は大きく3種類あります。
・知識情報: パスワード、PINコード、秘密の質問など「本人だけが知っている情報」
・所持情報: スマートフォン、ハードウェアトークン、ICカードなど「本人だけが持っている物」
・生体情報: 指紋、顔、虹彩など「本人の身体的特徴」
ここで重要なのは、「異なる種類の要素」を組み合わせるという点です。パスワード+秘密の質問は、どちらも知識情報なのでMFAにはなりません。パスワード(知識)+スマホアプリのワンタイムコード(所持)のように、別々の種類を組み合わせて初めてMFAと呼べます。
パスワードだけでは守りきれない理由
パスワード単体の認証が危険な理由は明確です。
・フィッシング: 偽サイトに入力させれば、パスワードはそのまま盗まれる
・総当たり攻撃: 短いパスワードや辞書に載っている単語は、ツールで短時間に突破される
・パスワードの使い回し: 1つのサービスで漏洩したパスワードが、別のサービスへの不正ログインに使われる(リスト型攻撃)
・ダークウェブでの売買: 過去の情報漏洩で流出した認証情報が、闇市場で取引されている
MFAを導入すれば、仮にパスワードが漏洩しても、攻撃者は2つ目の認証要素を突破できないため、不正ログインを防げます。Microsoftの調査では、MFAを有効にすることでアカウント侵害の99.9%以上を防げるとされています。
MFAの認証方式を理解する
MFAにはさまざまな実装方式があり、それぞれセキュリティ強度とユーザーの手間が異なります。自社に合った方式を選ぶために、主要な方式の特徴を把握しておきましょう。
1. SMS認証
登録した電話番号にSMSで6桁程度のワンタイムコードが送られ、それを入力して認証する方式です。スマートフォンさえあれば追加のアプリが不要なため、導入のハードルが低いのが特徴です。
ただし、SIMスワップ詐欺(攻撃者が通信事業者を騙してSIMカードを再発行させる手口)やSMSの傍受といった攻撃手法が確認されており、セキュリティ強度はMFAの中では最も低い部類に入ります。とはいえ、パスワードだけよりは格段に安全です。
2. 認証アプリ(TOTP)
Google AuthenticatorやMicrosoft Authenticatorなどのアプリが、時間ベースで30秒ごとに変わるワンタイムコードを生成する方式です。TOTP(Time-based One-Time Password)と呼ばれ、通信回線を使わないためSMS認証よりもセキュリティ強度が高くなります。
中小企業のMFA導入では、この方式が「コスト・セキュリティ・運用のしやすさ」のバランスが最も良く、最初の選択肢としておすすめです。
3. プッシュ通知認証
ログイン操作をすると、登録済みのスマートフォンに「このログインを承認しますか?」というプッシュ通知が届き、ワンタップで承認する方式です。Microsoft AuthenticatorやDuo Mobileなどが対応しています。
コード入力の手間がない分、ユーザー体験は快適です。ただし、攻撃者がログインを繰り返して大量のプッシュ通知を送りつけ、ユーザーが誤って承認してしまう「MFA疲労攻撃(MFA Fatigue)」という手口もあるため、数字の照合を求めるタイプ(Number Matching)を選ぶようにしてください。
4. セキュリティキー(FIDO2/WebAuthn)
YubiKeyなどの物理デバイスをUSBポートに差し込む、またはNFCでかざすことで認証する方式です。FIDO2(Fast IDentity Online 2)規格に準拠しており、フィッシング耐性が極めて高いのが特長です。偽サイトではセキュリティキーが反応しないため、フィッシングサイトにうっかり認証情報を渡してしまうリスクがありません。
デバイスの購入コスト(1本あたり5,000〜10,000円程度)と、紛失時のバックアップ運用を検討する必要がありますが、管理者アカウントや重要システムの認証にはぜひ検討してほしい方式です。
| 認証方式 | セキュリティ強度 | 導入コスト | ユーザーの手間 |
|---|---|---|---|
| SMS認証 | 中 | 低 | 少ない |
| 認証アプリ(TOTP) | 高 | 低(無料アプリ) | やや手間 |
| プッシュ通知 | 高 | 中 | 少ない |
| セキュリティキー | 非常に高 | 中〜高 | 少ない |
中小企業でのMFA導入手順
「MFAの重要性はわかった。でも、どこから始めればいいのか」という声をよく聞きます。ここでは、情シス1人体制でも段階的に進められる導入手順を解説します。
1. 優先度の高いサービスを洗い出す
すべてのシステムに一度にMFAを導入するのは現実的ではありません。まずは「侵害されたときの被害が大きいもの」から優先的に導入しましょう。
・最優先: Microsoft 365 / Google Workspace(メール・ファイル共有の中核)
・優先: VPN、リモートデスクトップ、クラウドの管理コンソール(AWS、Azure等)
・次の段階: 社内の業務アプリ、ファイルサーバー、開発環境
特にクラウドサービスの管理者アカウントは最優先です。管理者アカウントが乗っ取られると、全社員のデータにアクセスされる危険があります。
2. 認証方式を選定する
前章の比較表をもとに、自社の環境に合った方式を選びます。多くの中小企業では、以下の組み合わせが現実的です。
・一般社員: 認証アプリ(TOTP)— Microsoft AuthenticatorまたはGoogle Authenticator
・管理者・経営層: 認証アプリ+セキュリティキー(より強固な保護)
社員全員にスマートフォンを配布していない場合は、会社支給の端末へのアプリインストール、またはハードウェアトークンの配布を検討してください。
3. Microsoft 365でMFAを有効化する(設定例)
中小企業で最も利用されているMicrosoft 365を例に、MFAの有効化手順を説明します。
Microsoft Entra管理センター(旧Azure AD)からの設定手順です。
・手順1: Microsoft Entra管理センター(https://entra.microsoft.com)にグローバル管理者でサインイン
・手順2: 左メニューから「保護」→「認証方法」→「ポリシー」に移動
・手順3: 「Microsoft Authenticator」を選択し、対象ユーザーを「すべてのユーザー」に設定
・手順4: 「セキュリティの既定値群」を有効にする(小規模組織向けの一括設定)
セキュリティの既定値群を有効にすると、全ユーザーに対してMFAの登録が求められます。条件付きアクセスポリシーでより細かく制御したい場合は、Microsoft Entra ID P1以上のライセンスが必要です。
4. Google Workspaceでの設定例
Google Workspaceを利用している場合は、管理コンソールから設定します。
・手順1: Google管理コンソール(https://admin.google.com)に管理者でログイン
・手順2: 「セキュリティ」→「認証」→「2段階認証プロセス」に移動
・手順3: 「ユーザーが2段階認証プロセスを有効にできるようにする」をオンに
・手順4: 適用期限を設定し、期限までに登録しなかったユーザーはロックアウトされるよう設定
管理者アカウントについては「2段階認証プロセスの適用」を「オン」にして、強制適用することを推奨します。
5. 社内展開とサポート体制を整える
MFAの設定自体は難しくありませんが、社員への展開でつまずくケースが少なくありません。スムーズに導入するためのポイントをまとめます。
・事前告知: 導入の1〜2週間前に「なぜMFAが必要なのか」を簡潔に説明するメールを送る
・設定マニュアル: スマホのスクリーンショット付きで手順書を作成する(認証アプリのインストールからQRコード読み取りまで)
・猶予期間: いきなり強制せず、2〜4週間の登録期間を設ける
・ヘルプデスク対応: 「スマホを機種変更したらどうすればいいか」「スマホを忘れたときの対処法」をFAQとして用意しておく
中小企業でも今日からできること
予算やリソースに制約がある中小企業でも、以下の3つは今日から着手できます。
・管理者アカウントのMFA有効化: Microsoft 365やGoogle Workspaceの管理者アカウントだけでも、まずMFAを有効にする。ここが破られると全社に影響するため、最も費用対効果が高い対策です
・無料の認証アプリを導入: Google AuthenticatorやMicrosoft Authenticatorは無料で利用できます。全社展開の前に、まずIT担当者自身のアカウントで試してみましょう
・対応状況を一覧化する: 自社で使っているクラウドサービスがMFAに対応しているか、一覧表を作成する。対応しているのに有効化していないサービスがないか、棚卸しをするだけでもリスクの可視化につながります
なお、業務のDX推進に伴い、クラウドサービスの利用が増えるほどMFAの重要性は高まります。DXとセキュリティの両立について詳しく知りたい方は、姉妹サイトDXマスターズ.TOKYOもご覧ください。
よくある誤解と注意点
「MFAを入れたら安心」ではない
MFAはアカウント保護の強力な手段ですが、万能ではありません。前述のMFA疲労攻撃のほか、リアルタイムフィッシング(中間者攻撃でMFAコードを中継する手法)のような高度な攻撃も存在します。MFAの導入に加えて、フィッシング対策の教育や不審なログインの監視も組み合わせることが大切です。
「二段階認証」と「多要素認証」は同じ?
似ているようで異なります。二段階認証(2-Step Verification)は、認証を2回行うことを指し、要素の種類は問いません。たとえばパスワード+秘密の質問は二段階認証ですが、どちらも知識情報なので多要素認証ではありません。多要素認証は「異なる種類の要素」を組み合わせることが条件です。セキュリティ強度は多要素認証のほうが高くなります。
バックアップコードの管理を忘れない
MFAを設定すると、多くのサービスで「バックアップコード」(リカバリーコード)が発行されます。スマートフォンの紛失や故障時に、MFAをバイパスしてログインするための緊急用コードです。このコードを安全な場所に保管しておかないと、自分自身がアカウントにログインできなくなる事態に陥ります。紙に印刷して金庫に保管する、またはパスワードマネージャーに保存するなど、確実に管理してください。
SSHの多要素認証も検討する
Webサービスだけでなく、サーバーへのSSHアクセスにもMFAを導入できます。Google Authenticatorのpam_google_authenticatorモジュールを使えば、SSH接続時にパスワードまたは鍵認証に加えてワンタイムコードを求める設定が可能です。サーバー管理に携わる方は、Linuxでのセキュリティ強化について姉妹サイトLinuxMaster.JPでも解説していますので、あわせてご確認ください。
本記事のまとめ
多要素認証(MFA)は、パスワード漏洩による不正ログインを防ぐ、最も費用対効果の高いセキュリティ対策の一つです。
| ポイント | 内容 |
|---|---|
| MFAとは | 知識・所持・生体の異なる認証要素を2つ以上組み合わせる仕組み |
| おすすめ方式 | 認証アプリ(TOTP)がコスト・セキュリティ・運用のバランスに優れる |
| 導入の優先順位 | 管理者アカウント → メール/コラボレーション → VPN/リモートアクセス |
| 導入のコツ | 事前告知+マニュアル+猶予期間で社員の負担を軽減する |
| 注意点 | MFAだけで万全ではない。フィッシング対策やログイン監視も組み合わせる |
パスワードだけに頼るセキュリティは、鍵が1つしかない玄関と同じです。MFAという「もう1つの鍵」を加えることで、不正侵入のリスクを大幅に下げられます。まずは管理者アカウントから、今日始めてみてください。
MFA導入後のセキュリティ対策、次の一手は?
多要素認証はセキュリティ強化の重要な第一歩ですが、守るべき領域はほかにもあります。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント