schedule 2026/06/09 refresh 2026/06/09
クラウドサービスの業務利用が拡大する一方で、サイバー攻撃が巧妙化しています。従来のパスワード認証だけでは不正アクセスを防ぐことが難しくなり、セキュリティ強化の手段として多要素認証(MFA)の需要が高まっています。
この記事では、情報システム担当者向けに、多要素認証の基本概念や二段階認証との違い、SSOとあわせて導入するメリット、導入方法や注意点までわかりやすく解説します。
多要素認証(Multi-Factor Authentication)とは、サービスにログインする際に、より厳密な本人確認をするための方法です。「Multi-Factor Authentication」を略して「MFA」と呼ばれることもあります。
私たちは日頃から様々なWebサービスを利用しています。仕事では勤怠管理システムやチャットツールなどの業務用クラウドサービス、プライベートではSNSやECサイトなど、その種類は多岐にわたります。これらのWebサービスを利用する際、多くの場合は本人確認(ユーザー認証)が必要です。例えば、IDとパスワード、あるいはワンタイムパスワードなどを組み合わせてユーザー認証を行っています。
現在は、ログイン画面にIDやパスワードのみを入力してログインするサービスが多くあります。パスワードのような人の記憶に頼った認証方式は、もし誰かに知られてしまうと、他人が自分になりすましてサービスを使えるようになります。
多要素認証は、そのような「なりすまし」を防ぎます。例えば「その人だけが持っているスマートフォンを使って認証する」など、パスワードとは異なる認証方式を追加します。これにより、より本人性を高めてログインできます。このように、手法の異なる認証方式(認証要素)を組み合わせて認証することで、本人確認の精度を向上させるログイン方法が多要素認証です。
企業が業務サービスに多要素認証を導入する場合、MFA(多要素認証)機能を備えた認証システム(多要素認証サービス)の利用を推奨します。なお、導入する多要素認証サービスと、利用中のクラウドサービスや社内システムとの連携可否は事前に確認する必要があります。
多要素認証は、異なる認証要素を組み合わせて行います。認証要素には「知識情報」「所持情報」「生体情報」の3つがあります。これらは「認証の3要素」とも呼ばれます。
このうち2つ以上の認証要素を組み合わせて多要素認証を行います。
知識情報(本人だけが知っていること)
知識情報とは、ユーザー本人だけが「知っていること」に基づいた認証要素のことです。具体的には、私たちが普段から利用しているパスワードや暗証番号などがあります。
所持情報(本人だけが持っているもの)
所持情報とは、ユーザー本人だけが「持っているもの」に基づいた認証要素のことです。具体的には、アカウント所有者のメールアドレスに送付される「ワンタイムパスワード」や、事前に端末に配布する「クライアント証明書」などがあります。
生体情報(本人自身の特性)
生体情報とは、ユーザー本人だけがもつ「身体的特徴」に基づいた認証要素のことです。具体的には、指紋、声帯、静脈パターンなどがあります。
どの認証要素であっても、1つの要素のみによる認証にはリスクがあります。昨今はパスワードの悪用による不正アクセスがセキュリティ上の問題となっているため、「知識情報」が最も脆弱な認証要素といった印象がありますが、「所持情報」や「生体情報」であっても、1つの要素だけでの認証にはリスクが伴います。そのため、いずれの認証要素も1つの要素で認証するのではなく、複数の要素を組み合わせた多要素認証が推奨されています。
◆多要素認証を身近な例で理解する:銀行の「キャッシュカード」と「暗証番号」
多要素認証を理解する上で、銀行のATMで現金を引き出す場面をイメージするとわかりやすいでしょう。
ATMで現金を引き出す際は、まず「キャッシュカード」を挿入します。このキャッシュカードは、銀行口座の所有者しか持たない情報のため「所持情報」に該当します。次に、キャッシュカードに対応する「暗証番号」を入力します。この暗証番号は「知識情報」に該当します。
このように、ATMでの取引では、「所持情報(キャッシュカード)」と「知識情報(暗証番号)」という、異なる2つの認証要素を組み合わせて本人確認を行っています。
多要素認証と似た用語として「二段階認証」と「二要素認証」があります。ここでは二段階認証と二要素認証の違いについて解説します。
二段階認証は認証を2回行う
二段階認証は、認証プロセスが2つのステップ(段階)に分かれている認証のことです。二段階認証では認証要素は問わないため、異なる認証要素を組み合わせる必要はありません。
ユーザー名とパスワードを入力した後に「秘密の質問」の答えを入力するような認証が二段階認証です。この場合、認証回数は2回ですが、パスワードも「秘密の質問」も知識情報であるため、1種類の認証要素で認証しています。そのため二段階認証ですが、多要素認証ではありません。
二要素認証は2つの認証要素を用いて認証する
二要素認証は、2つの認証要素で行う認証のことで、多要素認証の一種です。認証要素が3つの場合には三要素認証といいます。二要素認証では認証回数は問わないため、認証を複数回行う必要はありません。
銀行ATMでキャッシュカードと暗証番号を使用して本人確認するような認証が二要素認証です。この場合、異なる2つの認証要素を用いて、キャッシュカードと暗証番号でそれぞれ認証(確認)しています。そのため、二要素認証であると同時に、二段階認証でもあります。
セキュリティを高めるには複数の認証要素が必要
二段階認証は認証回数を増やすことでセキュリティを高める仕組みですが、同一の認証要素を単に重ねるだけでは、セキュリティ対策として十分とは言えません。例えば、パスワードと「秘密の質問」のように、どちらも「知識情報」を用いて二段階認証を行う場合、片方が突破されると、もう片方も同じ手口で破られる危険性があります。フィッシング詐欺のように、偽のログインサイトへ誘導された場合、ユーザーがこれら両方の情報を一度に入力してしまい、同時に盗み取られるといったリスクもあります。
一方、多要素認証(二要素認証)は、「知識情報」「所持情報」「生体情報」から異なる認証要素を組み合わせることで、セキュリティを高めます。このように、セキュリティを強化するためには、異なる認証要素を組み合わせる「多要素認証」が必要です。
多要素認証はセキュリティの強化に有効な手段ですが、業務に利用するサービスが複数ある場合、ログインごとに毎日何度も多要素認証を行うとなると、ユーザーには大きな負担となります。
このような多要素認証の負担を減らす方法として、ログインを1つにまとめる「シングルサインオン(SSO)」という方法があります。SSOとは、一度認証を行うだけで、複数のクラウドサービスや社内システムにログインできるようになる仕組みのことです。
多要素認証とSSOを同時に導入することで、SSOでログインを1つにまとめ、多要素認証で1箇所の認証を強化するため、生産性を損なわずセキュリティを向上できます。
【初心者向け】シングルサインオン(SSO)とは?業務効率とセキュリティを両立
多要素認証とSSOの導入により解決する組織課題を解説します。
多要素認証を導入する最大の目的は、組織のセキュリティ強化です。近年、サイバー攻撃の手口はますます巧妙化しており、パスワードによる認証だけでは防御が困難になっています。IPAの調査※によると、2023年度に不正アクセス被害を受けた企業のうち、約4割が「ID/パスワードをだまし取られ、ユーザーになりすまされる」手口によるものでした。
多要素認証は、このような「なりすまし」に対して有効な対策となります。たとえ攻撃者がパスワードによる認証を突破したとしても、2つ目の認証要素としてスマートフォンに送られるワンタイムパスワードや、生体情報といった異なる認証要素がなければログインできないため、不正アクセスを防止できます。これにより、機密情報の漏洩リスクを大幅に低減し、企業の情報資産を守ることに繋がります。
テレワークの普及やクラウド利用の一般化により、現在のビジネスシーンでは場所を問わない柔軟な働き方が広がっています。 自宅など、オフィス以外の場所から業務用サービスへアクセスする機会が増える中、それらを安全に利用するための仕組みの構築が急務となっています。
多要素認証は、このような柔軟な働き方を支える手段となります。多要素認証で厳格な本人確認を行うことで、従業員は場所を問わず安全にサービスにアクセスできるようになります。これにより、セキュリティ水準を保ちながら、場所に縛られない柔軟な働き方を促進し、企業の働き方改革の実現を後押しします。
多要素認証をSSOとあわせて導入することで、ユーザーは最初の1回のログイン時のみ、多要素認証による厳格な本人確認を行います。最初の認証を行えば、その後は他の連携サービスに対して何度も多要素認証をすることなく、シームレスにアクセスできるようになります。ログインに必要な情報が1つに集約されることで、サービスごとに異なるパスワードを記憶したり、何度も入力したりする手間がなくなり、パスワード管理の負担が大幅に軽減されます。さらに、パスワード忘れによるヘルプデスクへの問い合わせが減少するなど、情報システム部門の運用負荷も軽減され、組織全体の生産性向上にも繋がります。
多要素認証を導入する方法として、主に2つのアプローチが考えられます。1つは現在利用しているクラウドサービスの多要素認証機能を利用する方法、もう1つはIDaaS(Identity as a Service)を導入して行う方法です。IDaaSを導入すると、SSOにも対応できます。
利用しているサービスの多要素認証機能を活用する場合、設定画面等で機能を有効化します。Microsoft 365やGoogle Workspaceなどのサービスで設定できます。しかし、多要素認証が非対応のサービスでは導入できないため注意が必要です。
利用中のサービスの機能で設定する場合、多要素認証の導入ハードルが下がるというメリットがある一方、サービス数が多くなるとデメリットも生じます。具体的には、以下のような課題が挙げられます。
・ ユーザーの認証回数が増え、ログインのたびに業務が中断されて生産性が低下する
・ サービスごとに認証方式が異なる場合、認証方法を覚えたり様々なデバイスや画面を行き来することがユーザーの負担になる
・ 管理が煩雑になり、管理者の負担が増える
IDaaSなら管理を省力化、ユーザーの利便性も向上
IDaaSなら、複数のサービスで多要素認証を行う際の課題をまとめて解決できます。
IDaaSとは、複数のクラウドサービスの認証やIDをまとめて管理するサービスです。IDaaSを導入すれば、たとえ個別のサービスが多要素認証に対応していなくても、IDaaS側で適用することで連携するすべてのサービスで多要素認証が可能になります。すべての認証を一か所で管理でき、認証方式を統一することも可能です。結果として、ユーザーと管理者の双方にとって、多要素認証の導入による負担を軽減できます。
複数のクラウドサービスを利用している企業にとって、IDaaSは現実的かつ最も効果的な多要素認証の導入方法です。
ここでは、IDaaSを利用した多要素認証の導入ステップを解説します。
まず、社内で利用しているクラウドサービスや業務システムの棚卸しを行い、どのサービスを、誰が、どのように利用しているのかを正確に把握します。そして、各サービスへのログインをSSOで一つに統合するため、連携するサービスがSSOに対応しているか確認します。
様々な認証方式の中から、どの方法でユーザーにログインさせるかを決めます。組織のセキュリティポリシーや、サービスを利用するユーザーの働き方に合わせてどの認証方式が適しているか検討しましょう。
連携するクラウドサービスと希望する認証方式を確認後、要件を叶えられそうなIDaaSを選定し、多要素認証機能が各サービスと問題なく連携できるか等を検証します。
検証が完了したら、本格的にIDaaSを導入します。設定を行い、運用を開始します。
多要素認証を導入する上で留意すべき点と、IDaaS「SeciossLink」による解決策を解説します。
図:SeciossLinkを利用した多要素認証の設定例
多要素認証は、メールやアプリを利用した「ワンタイムパスワード認証」、「クライアント証明書認証」、「FIDO認証(パスキー)」など、さまざまな認証方式が存在します。自社のサービス利用状況や働き方、求めるセキュリティ強度に合わせて最適なものを選び、組み合わせることが重要です。
SeciossLinkは、これらを含めた多様な認証方式に対応しています。また、アクセス場所によって認証方式を変えることができるため、例えば、会社のネットワーク(IPアドレス)からログインする際には「ID/パスワード認証」、会社のネットワーク以外からは「ID/パスワード認証」と「ワンタイムパスワード認証」といった設定も可能です。このように、柔軟に認証方式を組み合わせることで、セキュリティと利便性のバランスを最適化できます。
◆SeciossLinkで利用可能な認証方式はこちらをご覧ください。
管理者は、認証デバイスの紛失や故障、あるいは機種変更した際にログインできなくなるといった状況に備え、対応を検討しておく必要があります。
SeciossLinkは、認証方式を「ID/パスワード+証明書」もしくは「ID/パスワード+ワンタイムパスワード」からユーザーが選択できる設定にしたり、あらかじめ認証デバイスを複数登録することができます。そのため、セキュリティを保ちながら、万が一ログインできない事態に備え、柔軟なルールを設定することができます。
多要素認証の導入は、不正アクセスのリスクを低減し、企業の情報資産を守る上で極めて重要です。IDaaSを用いて多要素認証とSSOを組み合わせて導入することで、セキュリティを強化しながら、従業員の利便性も向上させることが可能です。
ぜひこの機会に、SeciossLinkを活用した多要素認証の導入を検討し、貴社の情報セキュリティとビジネスの成長を両立させる一歩を踏み出しましょう。
