多要素認証(MFA)とは
多要素認証(Multi-Factor Authentication)は、ログイン時に2つ以上の異なる認証要素を組み合わせて本人確認を行う仕組みです。パスワード(知識要素)に加え、スマートフォン(所持要素)や生体情報(生体要素)を使うことで、パスワードが漏洩しても不正アクセスを防止できます。
| 認証要素 | 説明 | 例 |
|---|---|---|
| 知識要素 | 本人だけが知っている情報 | パスワード、PIN、秘密の質問 |
| 所持要素 | 本人だけが持っているもの | スマートフォン、セキュリティキー、ICカード |
| 生体要素 | 本人の身体的特徴 | 指紋、顔認証、虹彩 |
なぜMFAが必須なのか
パスワードだけの認証は、現代のサイバー攻撃に対して極めて脆弱です。
- フィッシング攻撃:偽サイトでパスワードを窃取される(全サイバー攻撃の36%)
- パスワードリスト攻撃:他サービスで漏洩したパスワードの使い回しを狙う
- ブルートフォース攻撃:短い・単純なパスワードの総当たり
💡 MFAの効果
Microsoftの調査によると、MFAを有効にすることでアカウント侵害の99.9%を防止できます。コストに対して最も効果の高いセキュリティ対策です。
認証方法の種類と比較
| 方法 | セキュリティ | 利便性 | コスト | 推奨度 |
|---|---|---|---|---|
| 認証アプリ(プッシュ通知) | ◎ | ◎ | 無料 | ★★★ |
| FIDO2セキュリティキー | ◎◎ | ○ | 3,000〜8,000円/個 | ★★★ |
| 認証アプリ(TOTP) | ○ | ○ | 無料 | ★★ |
| SMS認証 | △ | ○ | 無料 | ★ |
| 電話認証 | △ | △ | 通話料 | ★ |
認証アプリ(Microsoft Authenticator / Google Authenticator)のプッシュ通知が、セキュリティ・利便性・コストのバランスで最も推奨されます。SMS認証はSIMスワップ攻撃に脆弱なため、可能な限り避けてください。
Microsoft 365でのMFA設定
方法1:セキュリティ既定値群(簡易設定)
Entra ID → プロパティ → セキュリティ既定値群 → 「有効」で、全ユーザーにMFAが強制されます。小規模組織(〜50名)にはこの方法が最も簡単です。
方法2:条件付きアクセス(推奨)
より柔軟な制御が必要な場合は、条件付きアクセスポリシーを使います。
| ポリシー例 | 対象 | 条件 | アクション |
|---|---|---|---|
| 全ユーザーMFA | 全ユーザー | すべてのクラウドアプリ | MFAを要求 |
| 管理者は常にMFA | 管理者ロール | すべてのアクセス | MFA+準拠デバイスを要求 |
| 社外からのアクセス | 全ユーザー | 社内IPアドレス以外 | MFAを要求 |
Google WorkspaceでのMFA設定
- 管理コンソール → セキュリティ → 2段階認証プロセス → 「適用」を有効化
- 新入社員の猶予期間を設定(例:入社後7日間は2段階認証なしでログイン可能)
- 推奨認証方法:Google Authenticator、Googleプロンプト、セキュリティキー
全社展開のステップ
| Phase | 期間 | アクション |
|---|---|---|
| 1. 準備 | 1〜2週間 | 対象ユーザーの確認、認証アプリのインストール手順書の作成 |
| 2. パイロット | 2週間 | IT部門+協力的な部署で先行導入、問い合わせ内容を収集 |
| 3. 全社告知 | 1週間 | 全社メール+説明会の実施、FAQの配布 |
| 4. 段階展開 | 2〜4週間 | 部署ごとに順次展開(毎週1〜2部署ずつ) |
| 5. 強制化 | 展開完了後 | MFA未登録ユーザーのログインをブロック |
まとめ
MFAはアカウント侵害の99.9%を防ぐ最も費用対効果の高いセキュリティ対策です。認証アプリ(プッシュ通知)を推奨し、条件付きアクセスで柔軟に制御しましょう。全社展開は「パイロット→段階展開→強制化」のステップで進めます。