MFAとは、パスワードに加えてスマホ、認証アプリ、セキュリティキー、生体認証などを組み合わせて本人確認する仕組みです。会社アカウントをパスワードだけで守るのは危険です。本記事では、中小企業でもMFAを入れるべき理由と注意点を整理します。
MFAは面倒な追加設定ではない
会社のアカウント管理で、MFAは後回しにされがちです。
ログインが少し面倒になる。社員への説明が必要になる。スマホを変えたときの対応が増える。そうした理由で、パスワードだけの運用が続いている会社もあります。
しかし、Google Workspace、Microsoft 365、会計ソフト、EC管理画面、SNS、ドメイン管理、サーバー、問い合わせフォームなどを業務で使っているなら、パスワードだけで守るのは危険です。
ひとつのアカウントが取られるだけで、メール、顧客情報、請求、Webサイト、広告、社内文書まで影響することがあります。
MFAは、面倒な追加設定ではありません。会社の入口を守るための基本対策です。
MFAとは何か
MFAは Multi-Factor Authentication の略で、日本語では多要素認証と呼ばれます。
ログインするときに、複数の要素を組み合わせて本人確認する仕組みです。
認証の要素は、大きく3つあります。
| 種類 | 例 |
|---|---|
| 知っているもの | パスワード、PIN |
| 持っているもの | スマホ、認証アプリ、セキュリティキー |
| 本人の特徴 | 指紋、顔認証 |
たとえば、パスワードを入力したあとに、スマホの認証アプリでコードを確認する。これがMFAの一例です。
ここで大切なのは、パスワードを2回入れてもMFAにはならないという点です。同じ種類の確認を重ねるのではなく、別の要素を組み合わせることに意味があります。
パスワードは漏れる前提で考える
MFAが重要なのは、パスワードが弱いからだけではありません。
強いパスワードでも、漏れることがあるからです。
偽のログイン画面に入力してしまう。別サービスから漏れたパスワードを使い回している。ブラウザに保存された認証情報を盗まれる。退職者や外部委託先が古い認証情報を知っている。
こうした経路では、複雑なパスワードでも突破されることがあります。
だから会社アカウントでは、「パスワードを漏らさない」だけでなく、「漏れてもそれだけでは入れない」状態を作る必要があります。
MFAはそのための防御線です。
MFAにも強さの違いがある
MFAといっても、方式によって強さは違います。
SMSコードは導入しやすい一方で、電話番号の乗っ取りやSIMスワップに弱い面があります。
認証アプリのワンタイムコードはSMSより使いやすい場面が多いですが、偽サイトにコードを入力してしまえば突破されることがあります。
プッシュ通知は便利ですが、何度も承認通知を送って、利用者に誤って承認させる攻撃があります。通知が来たから押すのではなく、自分がログイン操作をしたときだけ承認する教育が必要です。
より強い方式として、セキュリティキーやパスキーのようなフィッシング耐性のある認証があります。特に管理者アカウントや重要アカウントでは、こうした方式を優先して考える価値があります。
管理者アカウントは最優先で守る
MFAは全員に入れるのが理想です。
ただ、優先順位をつけるなら、まず管理者アカウントです。
Google WorkspaceやMicrosoft 365の管理者、ドメイン管理、サーバー、会計、決済、広告、SNS、Webサイト管理画面は、乗っ取られたときの被害が大きい場所です。
管理者権限を取られると、メール転送、共有設定、ユーザー追加、データ削除、支払い情報の変更など、会社全体に影響する操作ができてしまいます。
小さな会社ほど、管理者権限が少人数に集中しがちです。だからこそ、管理者アカウントからMFAを入れるべきです。
MFAを入れても万能ではない
MFAは重要ですが、万能ではありません。
偽サイトに誘導されて、ワンタイムコードまで入力してしまう攻撃があります。プッシュ通知を何度も送って承認させる攻撃もあります。ログイン後のセッション情報を盗まれると、MFAを通過した後の状態を悪用されることもあります。
つまり、MFAは「入れれば安全」ではありません。
「入れないと危ない基本対策」です。
パスワード管理、端末管理、権限管理、ログ確認、退職者対応、共有設定の見直しと組み合わせて使う必要があります。
復旧手段も決めておく
MFAを導入するときに忘れがちなのが、復旧手段です。
スマホを紛失した。機種変更した。認証アプリを消した。担当者が退職した。こうしたときに復旧できないと、正規の利用者がログインできなくなります。
管理者アカウントでは、予備の管理者、復旧コード、予備のセキュリティキー、緊急時の対応手順を決めておく必要があります。
ただし、復旧手段が弱すぎると、そこが攻撃経路になります。保管場所、使える人、使う条件を決めておくことが大切です。
共有アカウントにも注意が必要です。複数人で同じIDとパスワードを使っていると、誰がログインしたのか、誰が承認したのかが追いにくくなります。できるだけ個人アカウントに権限を付与し、共有アカウントを減らす方が安全です。
小さな会社ほどMFAを先に入れる
MFAは、大企業向けの高度なセキュリティ対策ではありません。
むしろ、小さな会社ほど先に入れるべきです。
小さな会社では、メール、請求、顧客情報、ホームページ、SNS、広告、クラウドストレージを同じ少人数で管理していることが多くあります。
ひとつのアカウントが取られると、復旧できる人が限られ、外部への説明も自社で行う必要があります。
MFAはログインの手間を少し増やします。けれど、事故後の調査、復旧、顧客対応、信用低下に比べれば軽い負担です。
特にGoogle WorkspaceやMicrosoft 365を業務の中心にしているなら、管理者と重要アカウントから始める価値があります。
まとめ
MFAは、パスワードにもう一段の確認を加える仕組みです。
パスワードが漏れても、それだけではログインされにくくするための基本対策です。
ただし、MFAにも種類があります。SMS、認証アプリ、プッシュ通知、セキュリティキー、パスキーでは強さが違います。可能であれば、管理者アカウントや重要アカウントから、フィッシングに強い方式へ移していくのが望ましいです。
MFAは万能ではありません。それでも、会社アカウントをパスワードだけで守る状態から抜け出すには、最初に入れるべき対策です。
セキュリティに詳しい会社だけでなく、普通の中小企業こそ、早めに整えておくべき実務の基本です。
参考:CISAのMFA解説、フィッシング耐性MFAの案内、MicrosoftのMFA解説、NIST SP 800-63Bを公開前に確認する。