「パスワードは複雑にしているから大丈夫」と考えていた会社が、不正ログイン被害に遭う例は後を絶ちません。この記事では、多要素認証(MFA)の仕組みと主要サービスでの設定手順、社内に定着させる進め方を解説します。結論、MFAは無料で始められる費用対効果の高い対策です。
多要素認証(MFA)とは|二段階認証との違い
多要素認証(MFA)とは、パスワードに加えて別の種類の要素で本人確認する仕組みです。パスワードが漏れても攻撃者は2つ目の関門を突破できず、不正ログインを防げます。
認証に使う要素は、次の3種類に分類されます。
| 要素 | 例 | 特徴 |
|---|---|---|
| 知識情報 | パスワード、PIN | 漏えいや使い回しに弱い |
| 所持情報 | スマホの認証アプリ、物理キー | 本人の手元にないと突破できない |
| 生体情報 | 指紋、顔 | 忘れないが、変更はできない |
このうち2種類以上を組み合わせるのが多要素認証です。「パスワード+秘密の質問」は2段階でも、どちらも知識情報のため多要素にはなりません。
二段階認証との違い
二段階認証は認証の「回数」、多要素認証は要素の「種類」に注目した言葉です。実務ではほぼ同じ意味で使われています。重要なのは呼び方ではなく、異なる種類の要素を組み合わせることです。
なぜパスワードだけでは危険なのか
パスワードは「いつか漏れるもの」と考えるのが現実的です。どれだけ複雑にしても、漏えいや詐取そのものは防げないためです。
パスワードだけの運用が破られる主な経路は、次の3つです。
- リスト型攻撃: 他社サービスから漏れたIDとパスワードの組を機械的に試す
- フィッシング: 偽のログイン画面に誘導し、入力させて盗む
- 総当たり攻撃: 短く単純なパスワードを自動処理で順に試す
MFAを設定していれば、パスワードが盗まれた段階では被害が確定しません。Microsoftは、MFAで自動化されたアカウント攻撃の99%以上を防げると公表しています。導入コストが低いわりに効果が大きいのが、MFAの特徴です。
認証方式の種類と安全度(SMS・アプリ・物理キー)
認証方式は、安全度と手間のバランスで選びます。迷ったら、認証アプリを標準にするのが現実的です。
| 方式 | 安全度 | 特徴 |
|---|---|---|
| SMS認証 | 中 | 手軽だが、SIMスワップや通信遅延のリスクがある |
| 認証アプリ(TOTP) | 高 | 30秒ごとにコードを生成。オフラインでも動く |
| プッシュ通知承認 | 高 | タップだけで完了。MFA疲労攻撃には注意 |
| 物理セキュリティキー | 最高 | フィッシング耐性が高い。1本5,000円〜1万円程度が目安 |
| パスキー | 高〜最高 | 生体認証で完結。対応サービスが拡大中(2026年時点) |
SMS認証は「ないよりはるかに安全」ですが、電話番号の乗っ取りには弱い方式です。銀行や管理者アカウントなど重要度の高いものは、認証アプリ以上を選びましょう。認証アプリは、Google AuthenticatorやMicrosoft Authenticatorが代表的です。
主要サービスでの設定手順(Google・Microsoft等)
主要クラウドサービスでは、追加費用なしでMFAを設定できます。まずは影響の大きい管理者アカウントから有効化しましょう。
Googleアカウント(Google Workspace)
- Googleアカウントの「セキュリティ」を開く
- 「2段階認証プロセス」を選び、画面の案内に従う
- 認証アプリまたは電話番号を登録する
- バックアップコードを発行し、安全な場所に保管する
Google Workspaceでは、管理コンソールから全ユーザーへの強制適用も設定できます。いきなり強制せず、移行期間を設けて未設定者に猶予を与える運用が一般的です。
Microsoft 365
- Microsoft Entra管理センターにサインインする
- 「セキュリティの既定値群」を有効にする
- 各ユーザーが初回サインイン時にMicrosoft Authenticatorを登録する
「セキュリティの既定値群」を使えば、全ユーザーへ一括でMFAを適用できます。部署ごとの細かい制御が必要な場合は、上位ライセンスの条件付きアクセスを検討します。
その他の業務サービス
ネットバンキング、会計ソフト、ECモールの管理画面などもMFA対応が進んでいます。各サービスの「セキュリティ設定」を確認し、対応していれば有効化しましょう。
社内導入の進め方(反発への対処・スマホ私物問題)
導入の最大の壁は技術ではなく、「毎回の入力が面倒」という感情です。ログイン頻度の低いサービスから始めると、反発を抑えながら展開できます。
現実的な展開順
- 管理者アカウント: 人数が少なく、乗っ取られた際の被害が最も大きい
- 銀行・決済・会計サービス: ログイン頻度が低く、手間を感じにくい
- メール・グループウェア: 全社員に展開。信頼済み端末の記憶機能を併用する
- その他の業務システム: 重要度に応じて順次広げる
多くのサービスには、一度認証した端末を一定期間記憶する機能があります。「毎回コードを入力するわけではない」と最初に伝えるだけで、抵抗は大きく下がります。
私物スマホ問題の落とし所
「私物スマホに会社の認証アプリを入れたくない」という声への備えも必要です。次の3点で、ほとんどのケースは収められます。
- 認証アプリは個人情報や位置情報を会社へ送る仕組みではない、と丁寧に説明する
- それでも難しい社員には、物理キーなどスマホ以外の代替手段を用意する
- 会社支給端末がある場合は、支給端末での運用を標準にする
説明の際は「監視のため」ではなく「社員と会社を守るため」と目的を伝えます。伝え方ひとつで、協力の得やすさは大きく変わります。
MFA疲労攻撃など新しい手口への注意
MFAを導入しても、油断は禁物です。承認通知を悪用する「MFA疲労攻撃」など、MFAの突破を狙う手口が登場しています。
- MFA疲労攻撃: 承認通知を大量に送り、うんざりした本人の誤承認を狙う
- 中間者型フィッシング: 偽サイトが本物との間に入り、認証コードを中継して盗む
- SIMスワップ: 携帯会社をだまして電話番号を乗っ取り、SMS認証を突破する
対策の基本は、身に覚えのない承認通知を承認せず、管理者へ報告することです。Microsoft Authenticatorの番号一致(ナンバーマッチング)を有効にすると、誤承認を減らせます。フィッシング耐性を重視するなら、物理キーやパスキーへの移行が有効です。
バックアップコードと機種変更時の運用
MFAでよくあるトラブルは、スマホが使えずログインできなくなる事態です。バックアップコードの保管と機種変更の手順を、あらかじめルール化しておきましょう。
- バックアップコードは発行時に印刷し、施錠できる場所に保管する(端末内のみは不可)
- 機種変更の前に、認証アプリのエクスポート(移行)機能で新端末へ引き継ぐ
- 管理者は2名以上にし、片方がロックアウトされても復旧できる体制にする
- 退職時の認証手段の削除と引き継ぎを、オフボーディング手順に含める
認証アプリのクラウドバックアップ機能を使う方法もあります。ただし復元にはそのアカウントへのログインが必要なため、紙のコードとの併用をおすすめします。
よくある質問
MFAの導入に費用はかかりますか?
Google・Microsoftなど主要サービスの標準機能は無料で使えます。物理セキュリティキーを配る場合のみ、1本5,000円〜1万円程度(目安)の実費がかかります。
SMS認証だけでも効果はありますか?
あります。パスワードのみと比べれば、安全性は大きく向上します。ただし電話番号の乗っ取りには弱いため、重要アカウントは認証アプリ以上を推奨します。
社員がスマホを紛失したらどうなりますか?
バックアップコードか、管理者によるMFAリセットでログインを回復できます。紛失時の連絡先と手順を、導入時に全員へ周知しておくことが重要です。
すべてのサービスに設定すべきですか?
優先順位を付けて構いません。メール、銀行・決済、管理者権限の3つを最優先にしてください。メールは他サービスのパスワード再設定の起点になるためです。
パスキーがあればMFAは不要ですか?
パスキー対応サービスでは、パスキーへの移行で実質的に多要素の認証になります。未対応のサービスも残るため、当面は併用が現実的です(2026年時点)。
まとめ
- MFAはパスワード漏えい時の最後の砦で、主要サービスなら無料で始められる
- 方式は認証アプリを標準とし、重要アカウントは物理キーやパスキーを検討する
- 展開は管理者→お金まわり→全社員の順にすると、反発を抑えやすい
- 身に覚えのない承認通知は承認しない。番号一致の有効化も忘れない
- バックアップコードの保管と、機種変更・退職時の手順をルール化する
まずは自社で使っているサービスを棚卸しし、管理者アカウントのMFAを今日有効化することから始めましょう。
関連記事
- パスワード管理の完全ガイド|安全な作り方から管理ツールの選び方まで - MFAと併用したい管理の基本
- 中小企業の情報セキュリティ対策入門|最低限やるべき対策と実践ガイド - 基本対策の全体像がわかる
- フィッシング詐欺対策ガイド|企業が今すぐやるべき手口別の防御策 - 認証情報を狙う攻撃への防御
- 中小企業のサイバー攻撃対策|今すぐできるセキュリティ強化ガイド - 対策の優先順位を整理
- WordPressのセキュリティ対策|改ざん・乗っ取りを防ぐ設定
- ランサムウェア対策の基本|中小企業が最優先でやるべき備え