多要素認証
多要素認証(MFA)とは
多要素認証(MFA:Multi-Factor Authentication)は、認証の三要素(知識・所持・生体)のうち2つ以上を組み合わせて本人確認を行う方法です。パスワードだけの認証と比較して、不正アクセスのリスクを99.9%以上削減できるとMicrosoftが報告しています。ひとり情シスが今すぐ取り組むべき最も効果的なセキュリティ強化策です。
MFA/2FAの種類
| 方式 | 仕組み | 安全性 |
|---|---|---|
| SMS認証 | 携帯電話にSMSでコードを送信 | 低(SIMスワップ攻撃のリスク) |
| メール認証 | 登録メールにコードを送信 | 低(メール乗っ取りのリスク) |
| TOTP | 時刻ベースのワンタイムパスワード | 中(認証アプリで生成) |
| プッシュ通知 | スマホアプリに承認リクエストを送信 | 中〜高(番号一致確認付きが望ましい) |
| FIDO2/パスキー | 公開鍵暗号方式の認証 | 高(フィッシング耐性あり) |
| ハードウェアキー | YubiKeyなどの物理デバイス | 高(最も安全) |
TOTP(Time-based One-Time Password)
現在最も広く導入されているMFA方式です。Google AuthenticatorやMicrosoft Authenticatorなどのアプリが30秒ごとに6桁のコードを生成します。
- セットアップ時にQRコードをスキャンして秘密鍵を登録
- サーバーとアプリが同じ時刻と秘密鍵から同じコードを生成して照合
- バックアップコードを必ず保存しておくこと(スマホ紛失時の復旧用)
- 複数デバイスに登録しておくと安心
FIDO2/パスキーの仕組み
次世代の認証方式として注目されているFIDO2(Fast IDentity Online 2)は、パスワードレスの認証を実現します。
- 登録時にデバイス内で公開鍵・秘密鍵のペアを生成
- 公開鍵をサーバーに、秘密鍵はデバイス内に安全に保管
- 認証時にデバイスの秘密鍵で署名を行い、サーバーが公開鍵で検証
- 秘密鍵がネットワーク上に流れないため、フィッシングに対して原理的に安全
Windows Hello、Apple Touch ID/Face ID、Android生体認証がFIDO2に対応しています。
Microsoft 365でのMFA導入手順
中小企業で広く使われるMicrosoft 365でのMFA設定手順を紹介します。
- Microsoft 365管理センターにアクセス
- 「セキュリティの既定値群」を有効にする(最も簡単な方法)
- または条件付きアクセスポリシーでMFAを必須に設定(より細かい制御)
- 各ユーザーがMicrosoft Authenticatorアプリをインストール
- 初回サインイン時にMFAの登録を求められるのでアプリと紐付け
MFA導入時は全社一斉ではなくIT部門から段階的に展開し、問い合わせ対応の準備をしてから一般ユーザーに広げると混乱を避けられます。
✅ 完了済み