セキュリティ

多要素認証(MFA)とは?設定方法と社内導入の進め方を解説

多要素認証(MFA)とは?設定方法と社内導入の進め方を解説

「パスワードは複雑にしているから大丈夫」と考えていた会社が、不正ログイン被害に遭う例は後を絶ちません。この記事では、多要素認証(MFA)の仕組みと主要サービスでの設定手順、社内に定着させる進め方を解説します。結論、MFAは無料で始められる費用対効果の高い対策です。

多要素認証(MFA)とは|二段階認証との違い

多要素認証(MFA)とは、パスワードに加えて別の種類の要素で本人確認する仕組みです。パスワードが漏れても攻撃者は2つ目の関門を突破できず、不正ログインを防げます。

認証に使う要素は、次の3種類に分類されます。

要素特徴
知識情報パスワード、PIN漏えいや使い回しに弱い
所持情報スマホの認証アプリ、物理キー本人の手元にないと突破できない
生体情報指紋、顔忘れないが、変更はできない

このうち2種類以上を組み合わせるのが多要素認証です。「パスワード+秘密の質問」は2段階でも、どちらも知識情報のため多要素にはなりません。

二段階認証との違い

二段階認証は認証の「回数」、多要素認証は要素の「種類」に注目した言葉です。実務ではほぼ同じ意味で使われています。重要なのは呼び方ではなく、異なる種類の要素を組み合わせることです。

なぜパスワードだけでは危険なのか

パスワードは「いつか漏れるもの」と考えるのが現実的です。どれだけ複雑にしても、漏えいや詐取そのものは防げないためです。

パスワードだけの運用が破られる主な経路は、次の3つです。

  • リスト型攻撃: 他社サービスから漏れたIDとパスワードの組を機械的に試す
  • フィッシング: 偽のログイン画面に誘導し、入力させて盗む
  • 総当たり攻撃: 短く単純なパスワードを自動処理で順に試す

MFAを設定していれば、パスワードが盗まれた段階では被害が確定しません。Microsoftは、MFAで自動化されたアカウント攻撃の99%以上を防げると公表しています。導入コストが低いわりに効果が大きいのが、MFAの特徴です。

認証方式の種類と安全度(SMS・アプリ・物理キー)

認証方式は、安全度と手間のバランスで選びます。迷ったら、認証アプリを標準にするのが現実的です。

方式安全度特徴
SMS認証手軽だが、SIMスワップや通信遅延のリスクがある
認証アプリ(TOTP)30秒ごとにコードを生成。オフラインでも動く
プッシュ通知承認タップだけで完了。MFA疲労攻撃には注意
物理セキュリティキー最高フィッシング耐性が高い。1本5,000円〜1万円程度が目安
パスキー高〜最高生体認証で完結。対応サービスが拡大中(2026年時点)

SMS認証は「ないよりはるかに安全」ですが、電話番号の乗っ取りには弱い方式です。銀行や管理者アカウントなど重要度の高いものは、認証アプリ以上を選びましょう。認証アプリは、Google AuthenticatorやMicrosoft Authenticatorが代表的です。

主要サービスでの設定手順(Google・Microsoft等)

主要クラウドサービスでは、追加費用なしでMFAを設定できます。まずは影響の大きい管理者アカウントから有効化しましょう。

Googleアカウント(Google Workspace)

  1. Googleアカウントの「セキュリティ」を開く
  2. 「2段階認証プロセス」を選び、画面の案内に従う
  3. 認証アプリまたは電話番号を登録する
  4. バックアップコードを発行し、安全な場所に保管する

Google Workspaceでは、管理コンソールから全ユーザーへの強制適用も設定できます。いきなり強制せず、移行期間を設けて未設定者に猶予を与える運用が一般的です。

Microsoft 365

  1. Microsoft Entra管理センターにサインインする
  2. 「セキュリティの既定値群」を有効にする
  3. 各ユーザーが初回サインイン時にMicrosoft Authenticatorを登録する

「セキュリティの既定値群」を使えば、全ユーザーへ一括でMFAを適用できます。部署ごとの細かい制御が必要な場合は、上位ライセンスの条件付きアクセスを検討します。

その他の業務サービス

ネットバンキング、会計ソフト、ECモールの管理画面などもMFA対応が進んでいます。各サービスの「セキュリティ設定」を確認し、対応していれば有効化しましょう。

社内導入の進め方(反発への対処・スマホ私物問題)

導入の最大の壁は技術ではなく、「毎回の入力が面倒」という感情です。ログイン頻度の低いサービスから始めると、反発を抑えながら展開できます。

現実的な展開順

  1. 管理者アカウント: 人数が少なく、乗っ取られた際の被害が最も大きい
  2. 銀行・決済・会計サービス: ログイン頻度が低く、手間を感じにくい
  3. メール・グループウェア: 全社員に展開。信頼済み端末の記憶機能を併用する
  4. その他の業務システム: 重要度に応じて順次広げる

多くのサービスには、一度認証した端末を一定期間記憶する機能があります。「毎回コードを入力するわけではない」と最初に伝えるだけで、抵抗は大きく下がります。

私物スマホ問題の落とし所

「私物スマホに会社の認証アプリを入れたくない」という声への備えも必要です。次の3点で、ほとんどのケースは収められます。

  • 認証アプリは個人情報や位置情報を会社へ送る仕組みではない、と丁寧に説明する
  • それでも難しい社員には、物理キーなどスマホ以外の代替手段を用意する
  • 会社支給端末がある場合は、支給端末での運用を標準にする

説明の際は「監視のため」ではなく「社員と会社を守るため」と目的を伝えます。伝え方ひとつで、協力の得やすさは大きく変わります。

MFA疲労攻撃など新しい手口への注意

MFAを導入しても、油断は禁物です。承認通知を悪用する「MFA疲労攻撃」など、MFAの突破を狙う手口が登場しています。

  • MFA疲労攻撃: 承認通知を大量に送り、うんざりした本人の誤承認を狙う
  • 中間者型フィッシング: 偽サイトが本物との間に入り、認証コードを中継して盗む
  • SIMスワップ: 携帯会社をだまして電話番号を乗っ取り、SMS認証を突破する

対策の基本は、身に覚えのない承認通知を承認せず、管理者へ報告することです。Microsoft Authenticatorの番号一致(ナンバーマッチング)を有効にすると、誤承認を減らせます。フィッシング耐性を重視するなら、物理キーやパスキーへの移行が有効です。

バックアップコードと機種変更時の運用

MFAでよくあるトラブルは、スマホが使えずログインできなくなる事態です。バックアップコードの保管と機種変更の手順を、あらかじめルール化しておきましょう。

  • バックアップコードは発行時に印刷し、施錠できる場所に保管する(端末内のみは不可)
  • 機種変更の前に、認証アプリのエクスポート(移行)機能で新端末へ引き継ぐ
  • 管理者は2名以上にし、片方がロックアウトされても復旧できる体制にする
  • 退職時の認証手段の削除と引き継ぎを、オフボーディング手順に含める

認証アプリのクラウドバックアップ機能を使う方法もあります。ただし復元にはそのアカウントへのログインが必要なため、紙のコードとの併用をおすすめします。

よくある質問

MFAの導入に費用はかかりますか?

Google・Microsoftなど主要サービスの標準機能は無料で使えます。物理セキュリティキーを配る場合のみ、1本5,000円〜1万円程度(目安)の実費がかかります。

SMS認証だけでも効果はありますか?

あります。パスワードのみと比べれば、安全性は大きく向上します。ただし電話番号の乗っ取りには弱いため、重要アカウントは認証アプリ以上を推奨します。

社員がスマホを紛失したらどうなりますか?

バックアップコードか、管理者によるMFAリセットでログインを回復できます。紛失時の連絡先と手順を、導入時に全員へ周知しておくことが重要です。

すべてのサービスに設定すべきですか?

優先順位を付けて構いません。メール、銀行・決済、管理者権限の3つを最優先にしてください。メールは他サービスのパスワード再設定の起点になるためです。

パスキーがあればMFAは不要ですか?

パスキー対応サービスでは、パスキーへの移行で実質的に多要素の認証になります。未対応のサービスも残るため、当面は併用が現実的です(2026年時点)。

まとめ

  • MFAはパスワード漏えい時の最後の砦で、主要サービスなら無料で始められる
  • 方式は認証アプリを標準とし、重要アカウントは物理キーやパスキーを検討する
  • 展開は管理者→お金まわり→全社員の順にすると、反発を抑えやすい
  • 身に覚えのない承認通知は承認しない。番号一致の有効化も忘れない
  • バックアップコードの保管と、機種変更・退職時の手順をルール化する

まずは自社で使っているサービスを棚卸しし、管理者アカウントのMFAを今日有効化することから始めましょう。

関連記事

株式会社EMPLAY 編集部

中小企業のWeb集客・DX推進を支援するEMPLAYが、現場で得た実践知をもとに執筆・監修しています。運営会社について