多要素認証(MFA)は、もはや大企業だけのセキュリティ推奨事項ではありません。これは、企業がアカウント乗っ取りのリスクを軽減し、盗まれたパスワードを役に立たなくするための最も実践的な方法の1つです。ビジネスシステムへのアクセスがクラウドアプリ、リモートチーム、共有デバイス、サードパーティプラットフォームへと広がるにつれ、MFAはより有用なツールとなっています。
しかし、導入にあたって、IT管理者はMFAが有用であるか、あるいは効果的であるかを評価するという課題に直面します。組織全体でMFAを機能させるには、多くの決定を下す必要があります。どのアカウントに最初に導入すべきか?どのMFA方式を許可すべきか?従業員からの反発をどのように避けるか?推奨するだけでなく、どのようにしてMFAを確実に強制するか?
本ガイドは、お客様のビジネスにおけるMFAの導入を成功に導くために作成されました。MFAとは何か、なぜパスワードだけでは不十分な理由、ビジネス用途における一般的なMFA方式の比較、そしてチームがスムーズに導入できる方法でMFAを展開する手順について説明します。また、2要素認証を標準サポートするビジネス向けパスワードマネージャーを活用することで、より強固な認証プロセスを組織規模で容易に管理できるようになる仕組みについてもご紹介します。
Proton Pass for BusinessがMFAの管理を容易にする方法
多要素認証とは?
MFAとは、アカウントにアクセスする際に、2つ以上のユーザー情報検証の提示を求めるセキュリティプロセスです。従来のパスワードだけに依存するのではなく、MFAは追加の要素を求めることで、不正アクセスをより困難にします。
一般的な3つの認証要素は以下の通りです。
- 本人が知っていること(パスワードやPINなど)
- 本人が所有しているもの(スマートフォン、認証アプリ、ハードウェアセキュリティキー、または信頼できるデバイスなど)
- 本人自身の特徴(フィンガープリントや顔認証など)
実際には、MFAは通常、従業員がパスワードを入力し、次にタイムベースコード(またはTOTP)、プッシュ承認、パスキー、あるいはハードウェアキーなどの別の方法でログインを検証することを意味します。目的はシンプルです。仮にパスワードが盗まれたり、推測されたり、フィッシングに遭ったり、使い回されたりしたとしても、攻撃者が侵入するためには依然として別の要素が必要になります。
ビジネス環境における多要素認証
企業にとって、MFAの導入は単にパスワードを置き換えるだけでなく、追加のアクセス制御によってアカウントのセキュリティを強化するための手段です。ビジネス環境における課題は、これらの方法がどこで最も必要とされているかを判断し、異なるシステム、役割、リスクレベルにわたって一貫してデプロイする方法を決めることにあります。
それでもなお、すべてのMFAが同等に強力というわけではありません。SMSで送信されるコードは、パスワード単体よりも優れていますが、ハードウェアセキュリティキーや適切に導入されたパスキーと同等の保護を提供するものではありません。適切な選択は、リスク、ユーザビリティ、デバイスへのアクセス、コンプライアンス要件、そして企業が維持できる管理制御の範囲によって決まります。
パスワードだけでは不十分な理由
強力なパスワードは依然として重要ですが、それだけではもはや十分ではありません。従業員が管理するアカウントはかつてないほど増えており、攻撃者はビジネスへのアクセスが、多くの場合1つの侵害された認証情報から始まることを知っています。
パスワードは、フィッシング、マルウェア(新しいウィンドウ)、データ侵害、認証情報詰め込み、パスワードの使い回し、あるいは安全でない共有によって漏洩する可能性があります。攻撃者が有効なユーザー名とパスワードを入手してしまうと、別の検証レイヤーが要求されない限り、その行為は通常のログイン試行のように見えてしまいます。
これが、ビジネス向けのデータ侵害保護に認証情報の制御、エンドポイントセキュリティ、そして従業員トレーニングを含める必要がある理由です。強力なパスワードポリシーは役に立ちますが、盗まれたすべてのパスワードが、メール、クラウドストレージ、財務ツール、管理者ポータル、あるいは顧客システムに対して試されるのを防ぐことはできません。
金銭的なリスクは非常に高くなっています。IBMによる「2025年データ侵害のコストに関するレポート」(新しいウィンドウ)では、データ侵害による世界平均のコストを440万ドルとしています。MFAは侵害のリスクを完全になくすことはできませんが、ビジネスシステムへの最も一般的な侵入パスの1つ、すなわち侵害された認証情報による不正アクセスを減らすことができます。
MFAは、他のアカウントを制御するアカウントにとって特に重要です。メール、ユーザー情報プロバイダー、パスワードマネージャー、管理者コンソール、開発者プラットフォーム、給与支払いツール、財務システムは、それらへのアクセス権を得ることで他の場所へのさらなるアクセスが可能になるため、優先度の高いものとして扱う必要があります。
MFAの種類とビジネスにおけるトレードオフ
適切なMFAの導入は、ふさわしい方法を選択することから始まります。すべての企業、チーム、またはシステムにおいて、最適な選択肢が常に同じとは限りません。例えばIT管理者は、セキュリティの強度、従業員の使いやすさ、デバイスの利用可能性、管理上のオーバーヘッド、そしてサポートのニーズのバランスをとる必要があります。
SMSワンタイムパスワード
SMSワンタイムパスワード(OTP)は、ログイン時に電話番号にコードを送信します。これは、従業員にとって最も理解しやすいMFA方式の1つであり、より優れた選択肢が利用できない場合に役立ちます。
デメリットはセキュリティ面です。SMSは、SIMスワップ、傍受、ソーシャルエンジニアリング、電話番号リカバリ攻撃に対して脆弱になる可能性があります。また、従業員が電話番号を変更した場合、海外出張時、電波状況が悪い場合、あるいは仕事で個人所有のスマートフォンを使用する場合に、運用上の問題も発生します。
企業にとって、SMS OTPは推奨されるMFA方式としてではなく、フォールバック(代替)の選択肢として扱うのが最適です。パスワード単体よりも優れていることには変わりありませんが、リスクの高いアカウント用のデフォルトの選択肢にすべきではありません。
認証アプリとTOTPコード
従業員はProton Authenticatorなどの認証アプリを開き、ログインしようとしているサービス向けに生成されたコードをコピーして、ログイン時に入力します。
コードはデバイス上で生成され、モバイルネットワークに依存しないため、通常はSMSよりも強力です。また、ビジネスツール全般で広くサポートされているため、多くのMFA展開において実用的な基準(ベースライン)となります。
トレードオフとなるのは、ユーザビリティと復旧(リカバリ)です。従業員はアプリを正しくセットアップし、デバイスにアクセスできる状態を維持し、スマートフォンを紛失または交換した場合の復旧手順を理解しておく必要があります。また、ITチームはバックアップコード、デバイス変更、そして退職時の処理に関する明確なポリシーを作成する必要があります。
TOTPは、特に強力なパスワード管理および明確な管理者プロセスと組み合わせることで、一般的なビジネス向けMFA方式としてうまく機能します。
ハードウェアセキュリティキー
YubiKeyなどのハードウェアセキュリティキーは、従業員がビジネスアカウントにアクセスするためにキーを物理的に所有している必要があるため、強固な認証を提供します。また、多くのセキュリティキーは、認証を完了する前にウェブサイト自体が本物であることを検証するため、フィッシングに対する保護も提供します。
リスクの高い役割において、ハードウェアキーは最も強力なMFAオプションの1つとなります。管理者、役員、財務チーム、開発者、および機密システムへのアクセス権を持つすべての人に特に有用です。
企業はキーを購入して配布し、従業員をトレーニングし、バックアップを管理し、紛失したか破損したデバイス(およびユーザー名)に対処する必要があります。また、ハードウェアキー戦略には、セキュリティ上のメリットを損なわない復旧プロセスも必要です。
パスキー
パスキーは、従来のパスワードの代わりに暗号化認証を使用します。多くの場合、従業員はフィンガープリント、顔認証、PIN、またはデバイスでの承認によってパスキーのロックを解除します。秘密鍵はデバイス上に残るため、パスキーは多くの古い認証方法よりもフィッシングに対して強い耐性を持っています。
企業にとって、パスキーはセキュリティとユーザビリティの両方を向上させることができます。共有シークレットへの依存を減らし、従業員のログインを高速化できます。主な課題は、エコシステム側の準備状況です。すべてのビジネスツールがまだパスキーをサポートしているわけではなく、ITチームはデバイスの登録、復旧、共有ワークステーション、従業員の退職処理に関するポリシーを策定する必要があります。
多くの組織にとって実用的なソリューションは、ハイブリッドモデルです。サポートされている場所ではパスキーを使用し、引き続き必要な場所では強力なパスワードとMFAを維持し、明確なアクセスポリシーを通じて両方を管理します。
| MFA方式 | セキュリティ強度 | ビジネスへの適性 | 最適なユースケース |
| SMS OTP | ベーシック | 導入は容易ですが、他のMFA方法よりもセキュリティ強度は低くなります | より強固なMFAが利用できない場合のフォールバックオプション |
| 認証アプリ | 中程度から強力 | 多くのチームにとって実用的なデフォルト | 日常的なビジネスアカウントやSaaSツール |
| ハードウェアセキュリティキー | 非常に強力 | リスクの高い役割に最適ですが、デバイス管理が必要です | 管理者、役員、財務チーム、および機密システム |
| パスキー | 非常に強力 | サポートされている環境では安全かつユーザーフレンドリー | 最新のアプリ、パスワードレスのワークフロー、およびフィッシング耐性のあるアクセス |
MFAの導入が失敗するケース
企業がMFAを導入していても、失敗に終わることがあります。実際には、導入の質がMFAの方法自体と同じくらい重要です。失敗の原因としては、以下のようなものが挙げられます。
- 脆弱な復旧プロセス。従業員が簡単なアカウント復旧、ヘルプデスクのショートカット、または保護が不十分なバックアップコードによってMFAをバイパスできる場合、攻撃者はログイン画面ではなくリセットプロセスを標的にする可能性があります。
- 一貫性のない適用。MFAが一部のツールでは有効にされているものの、メール、管理者アカウント、財務システム、共有の業務アカウント、または特定の従業員に対しては任意(オプション)のままになっていることがあります。そのような状況では、MFAはセキュリティ対策(コントロール)ではなく単なる「努力目標」となってしまい、攻撃者は依然として最も脆弱なパスを探し出すことができます。
- ユーザビリティの低さ。従業員が頻繁に作業を中断されたり、ロックアウトされたり、何を承認すべきかが不明確であったりすると、不満が溜まり、ミスを犯しやすくなります。プッシュ疲労はその一例であり、承認プロンプトが繰り返し表示されることで、深く考えずにリクエストを承認するように習慣づけられてしまうことがあります。
強固なMFAの展開には、強制、監視、およびサポートが必要です。従業員が正しい行動を容易に取れるようにし、重要なアカウントを未保護のまま放置することを困難にする必要があります。
従業員の抵抗感という課題
従業員の抵抗感は、MFA導入における最大の障壁の一つです。従業員は、それを余分な手順、生産性を阻害するもの、あるいは文脈を欠いた単なる新たなセキュリティルールとして捉える可能性があります。
このような反応は理解できるものであり、特にMFAが突然導入されたり、指示が不明確であったりする場合に顕著です。抵抗感は、セキュリティそのものへの反対からではなく、不適切な導入方法に起因することがよくあります。
この問題の解決策は、MFAのプロセスを予測可能で分かりやすいものにすることです。パスワードが盗まれた場合でもビジネスアカウントが保護されることを従業員に説明し、メールや共有ビジネスプラットフォームなどの馴染みのあるツールから開始し、明確なセットアップ手順を提供し、デバイス変更時にも従業員をサポートします。
MFAを罰則や不信感の表れとして位置づけることは避けてください。会社、クライアント、そして従業員自身の仕事用アカウントを守るための実用的な安全策として感じられるようにすべきです。
個人所有デバイスの業務利用(BYOD)ポリシーも役立ちます。従業員が業務に個人用デバイスを使用する場合、認証アプリ、デバイスのセキュリティ、デバイス紛失時の報告、およびアクセス権の取り消しに関する明確なルールを定めておくことで、MFAの導入展開がよりスムーズになります。
ビジネス全体にMFAを導入する方法
MFAの導入展開を成功させるには、チェンジマネジメントプロジェクトとしての取り組みが必要です。IT管理者は、まず何を保護するか、強制適用をどのように行うか、例外にどのように対応するか、および導入状況をどのように測定するかを決定する必要があります。
ステップ1:アカウントとリスクレベルのマッピング
まず、アクセスインベントリの作成から始めます。自社が依存しているシステムと、侵害された場合に最も高いリスクをもたらすアカウントを特定します。
優先すべきもの:
- メールおよびユーザー情報プロバイダーのアカウント。
- 管理者アカウントおよび特権的な役割。
- パスワードマネージャーのアカウント。
- 財務、給与計算、および請求ツール。
- クラウドストレージおよびファイル共有。
- 開発者、インフラ、および本番システム。
- 顧客データプラットフォームおよびCRM。
これにより、利便性ではなくリスクに基づいたビジネス向けの導入展開手順が作成されます。
ステップ2:承認されたMFA方法の選択
自社で許可するMFA方法を決定します。多くのチームにとって、認証アプリやパスキーがデフォルトになり、ハードウェアセキュリティキーはリスクの高い役割向けに確保されることになります。必要に応じてSMSをフォールバックとして残すことはできますが、機密システムに対して推奨される方法にすべきではありません。
決定事項を明確に文書化してください。従業員は、どの方法が承認され、どの方法が推奨されないか、またデバイスを紛失した場合にどうすればよいかを知っておく必要があります。
ステップ3:全体に強制適用する前のパイロット運用
IT、運用、財務、リーダーシップ、または有用なフィードバックを提供できるその他のグループを対象にパイロット運用を実施します。その目的は、導入展開が組織全体に及ぶ前に、セットアッププロセス、サポートドキュメント、復旧フロー、およびポリシー設定をテストすることです。
パイロット運用は、MFAプロンプトの頻度が多すぎる箇所、従業員により明確な指示が必要な箇所、および特別な処理が必要なシステムを特定するのにも役立ちます。
ステップ4:まずリスクの高いアカウントに対してMFAを強制適用する
重要なシステムにおいては、推奨するだけでは不十分です。パイロット運用が完了したら、最も高いリスクをもたらすアカウントに対してMFAを強制適用します。
これには、管理者アカウント、メール、ユーザー情報システム、パスワードマネージャー、および財務ツールが含まれます。これらのアカウントへの適用が任意のままである場合、攻撃者は依然としてビジネスへの侵入パスを見つけ出す可能性があります。
重要なのは、サポートを提供しながら強制適用を行うことです。従業員に対して事前通知、セットアップガイド、相談時間(オフィスアワー)、および復旧手順を提供します。強制適用は、従業員が不意打ちを受けないように事前準備されている場合に最も効果的です。
ステップ5:組織の残りの部分に拡大する
リスクの高いアカウントが保護されたら、MFAを残りのビジネスツールへと拡大します。これは、部門別、ツールカテゴリ別、またはリスクレベル別に行うことができます。
導入状況を随時追跡します:
- どのアカウントでMFAが有効になっていますか?
- まだ登録していない従業員は誰ですか?
- パスワードのみのアクセスをまだ許可しているシステムはどれですか?
- どの例外が適用されており、誰がその責任者ですか?
ビジネス向けパスワードマネージャーは、チームに対してどのアカウントでMFAがすでに有効になっており、どのアカウントにさらに強力な認証が必要であるかを可視化することで、このプロセスをサポートできます。
ここで多くの導入プロジェクトが停滞、または失敗に終わります。MFAは、導入日以降も継続的なガバナンスが必要です。
ステップ 6:例外と復旧パスの確認
すべての例外には、責任者、理由、および有効期限が設定されている必要があります。ツールでMFAを有効にできない場合は、その理由を文書化し、代替の管理策が必要かどうかを決定してください。
復旧についても定期的な見直しが必要です。バックアップコード、アカウント復旧フロー、管理者によるオーバーライド、デバイスのリセットなどは、管理されていない場合、脆弱性になり得ます。MFAの導入においては、単に利便性を追求するだけでなく、復旧プロセスの安全性も確保する必要があります。
Proton Pass for BusinessがMFAの管理を容易にする方法
すでに認証情報の管理が行われている場合、MFAの導入は容易になります。パスワードが使い回されていたり、非公式に共有されていたり、ブラウザに保存されていたり、スプレッドシートに分散していたりすると、MFAを一貫して強制することがより困難になります。
Proton Pass for Businessのようなビジネス向けパスワードマネージャーは、パスワード層を強化するだけでなく、さらなるメリットをもたらします。これは、第2要素の認証を直接サポートすることもできます。2要素認証(2FA)機能が組み込まれているため、チームはTOTPコードを安全に保管し、パスワードマネージャー自体をMFAデバイスとして使用できます。これにより、より強力な認証を導入しやすくなり、必要に応じて安全に共有することが容易になります。従業員は、強力で一意のパスワードを生成し、暗号化された保管庫に保管し、ログイン情報を自動入力し、TOTPコード用の組み込み2FAサポートを利用し、対応している場合はパスキーを管理することができます。
これにより、可視性も向上します。管理者は、従業員が強力なパスワードを使用しているかどうかだけでなく、どのアカウントで2要素認証(2FA)がすでに有効になっており、どのアカウントがまだパスワードのみのアクセスに依存しているかを知る必要があります。Proton Passは、IT管理者がこれらの情報を明らかにするのを支援し、組織全体でのMFAの導入状況を容易に追跡できるようにします。
パスキーも重要な検討事項です。企業がフィッシング耐性のある、より強力な認証へと移行する中、Proton Passのようにパスキーをサポートするパスワードマネージャーは、従来のMFAフローと新しいパスワードレス方式の両方を1か所で管理できるようにチームを支援します。これにより、一部のシステムが依然としてパスワードやTOTPを使用し、別のシステムがパスキーに対応しているような混在環境において、より現実的な導入が可能になります。
ITチームにとって、Proton Pass for Businessは、集中管理、ポリシー、安全な共有、およびレポートとログを通じた可視化をサポートします。これにより、パスワードの乱立を抑えつつ、組織全体でより強力な認証を容易にデプロイしガバナンスを効かせることができるため、MFAの運用がより現実的なものになります。
ビジネス向けパスワードマネージャーは、MFAの代わりになるものではありません。第1要素を強化し、第2要素をサポートすることで、MFAの導入を大幅に容易にし、ビジネス全体において、より強力な認証へと至る管理しやすいパスを提供します。
