株式会社アイネットテクノロジーズ

MFA(多要素認証)有効にする

押さえておくべきMicrosoft 365の推奨セキュリティ設定。MFAを設定する。

<お問い合わせ先>
株式会社アイネットテクノロジーズ
東京都港区六本木7-7-7 Tri-Seven Roppongi8F
TEL:03-6629-3592

アイネットテクノロジーズ
INET-TECHNOLOGY'S

当社はゼロトラストネットワークを基本に、標的型攻撃訓練から内部不正検知をコンサルティングから導入、SOC、サポートまでワンストップでご提供します。

当社はゼロトラストネットワークを基本に、標的型攻撃訓練から内部不正検知をコンサルティングから導入、SOC、サポートまでワンストップでご提供します。

関連記事

多要素認証(MFA)の種類とは?認証要素の違いや代表的な組み合わせをわかりやすく解説

近年、第三者がユーザーになりすましてシステムへ侵入する攻撃が、ますます巧妙になっています。 そのため、IDとパスワードだけに頼る認証方式では、十分なセキュリティを確保することが難しくなってきました。 そこで注目されているのが、多要素認証(MFA)です。 しかし、多要素認証にはいくつもの種類があり、「何がどう違うのか分かりにくい」と感じる方も多いのではないでしょうか。 この記事では、多要素認証の基本を押さえつつ、認証要素の種類と仕組み、それぞれのメリット・特徴をわかりやすく解説します。 多要素認証(MFA)とは まずは、多要素認証の基本的な考え方と、なぜ今必要とされているのかを整理していきましょう。 多要素認証(MFA)の基礎知識 多要素認証(MFA)とは、複数の認証要素を組み合わせて本人確認を行う仕組みです。 「Multi-Factor Authentication」の略で、日本語では「多要素認証」と呼ばれています。 これまで一般的だったIDとパスワードだけでログインする認証方式とは異なり、多要素認証では、「パスワード+ワンタイムパスワード」「パスワード+指紋認証」といった種類の違う2つ以上の要素で認証を行います。 これらを組み合わせることで、仮にパスワードが漏えいしても、不正ログインを防ぎやすくなります。 なぜ多要素認証(MFA)が必要とされているのか 多要素認証が求められる最大の理由は、サイバー攻撃の急増です。 セキュリティ企業の調査によると、2025年に国内で公表されたセキュリティインシデントは1,782件にのぼり、そのうち不正アクセスが782件と約4割を占めたと報告されています。 とくに被害にあいやすいのは、パスワードを使いまわしていたり、推測されやすい文字列にしているケースです。 さらに、パスワードを大量に試して突破を狙うブルートフォース攻撃のような、力任せの手法も後を絶ちません。 加えて、クラウドサービスの普及も大きな要因です。 社外からでも業務データにアクセスできるクラウドサービスは、リモートワークには欠かせない存在となりました。 その一方で、社内の機密情報がインターネット経由で利用できる状態になるため、従来以上に強固な認証対策が求められます。 このように、攻撃手法の高度化と利用環境の変化が重なった結果、パスワードだけに頼らない多要素認証の重要性が高まっているのです。 参考記事:警察庁「不正アクセス行為の発生状況」  多要素認証(MFA)の種類|認証要素 多要素認証は「複数の認証を使う仕組み」とひとくくりにされがちですが、実際には認証に使われる情報の種類が明確に分かれています。 知識情報|本人だけが知っているもの 知識情報は、本人だけが知っている情報を使って認証する方式です。 代表的なものがパスワードやPINコードで、もっとも基本的な認証手段としてWebサービス、業務システムなどで広く利用されています。 特徴は以下のとおりです。 導入が簡単 特別な機器が不要 追加コストがほとんどかからない 一方で、人の記憶力に依存するという弱点があります。 覚えやすさを優先して短い文字列や推測しやすい内容を設定すると、不正アクセスのリスクが高まります。 また、複数のサービスで同じパスワードを使い回してしまうケースも多く、知識情報だけに頼る認証には限界があるといえます。 所持情報|本人が持っているもの 所持情報は、本人が実際に持っている物やデバイスを使って認証する方式です。 スマートフォンやICカード、専用トークンなどが該当し、これらを所持していなければ認証ができません。 とくに、ワンタイムパスワードや、スマートフォンを使った認証アプリが広く普及しています。 特徴は以下のとおりです。 導入のハードルとセキュリティ強度のバランスがよい 現実的な多要素認証として多くの企業で採用 オンライン完結型の攻撃に強い パスワード漏えい時も不正ログインを防ぎやすい 所持情報は、知識情報と組み合わせたMFAの第一歩として、選ばれることが多い認証要素です。 生体情報|本人そのものの特徴 生体情報とは、本人の身体的な特徴を使って認証する方式です。 利便性と安全性のバランスに優れた認証要素として、多くの場面で活用が進んでいます。 指紋や顔、虹彩といった生体情報は本人固有の情報であり、第三者が同じ情報を用意することは困難です。 そのため、不正ログインの抑止に高い効果があります。 特徴は以下のとおりです。 覚える必要がなく、日常の操作の延長で認証できる 短時間で認証が完了し、利便性が高い 紛失や盗難といったリスクも、パスワードやカードに比べて低い 一方で、専用の認証機器が必要になるため、導入コストがかかります。 また、多くのサービスでは生体認証が使えない場合に備えてパスワードを併用するため、知識情報が漏えいするリスクが完全になくなるわけではありません。 さらに、生体情報は変更できない個人情報であるため、プライバシー保護の観点から慎重な管理が求められます。 近年では、声紋やキーストロークの癖などを使う行動バイオメトリクスも注目されています。 行動・環境要素|普段どおりの使い方をしているか 行動・環境要素は、ユーザーの操作のクセや利用環境をもとに本人かどうかを判断する、比較的新しい認証の考え方です。 単発の認証情報ではなく、「いつもと同じ使い方かどうか」を継続的に確認します。 特徴は以下のとおりです。 ユーザーに特別な操作を求めずに、セキュリティを高められる 普段と違う挙動が検知された場合のみ、追加認証を求められる この要素では、本人特有の傾向が表れやすい、タイピングの速度やリズム、マウスの動かし方、歩行パターンなどの行動データを分析します。 さらに、ログイン元のIPアドレスや端末の種類、位置情報といった環境データを組み合わせることで、「いつもと違う状況」だけを検知し、必要に応じて認証を強化することも可能です。 ユーザー体験を大きく損なわずに不正アクセスの兆候を検知できるため、今後さらにMFAの重要な構成要素として広がっていくと考えられています。 なお、行動・環境要素は単独で使うのではなく、他の認証要素を補完する役割を担っています。 多要素認証(MFA)の組み合わせ種類と利用場面 多要素認証は、どの認証要素を組み合わせるかによって、セキュリティの強さだけでなく、ユーザーの使いやすさや運用負荷も大きく変わります。 ここでは、現在多くの企業やサービスで実際に採用されている代表的な多要素認証の組み合わせと、それぞれがどのような場面で使われているのかを紹介します。 パスワード+ワンタイムパスワード(OTP) パスワードとワンタイムパスワードを組み合わせる方式は、もっとも広く普及している多要素認証です。 認証方法 IDとパスワードを入力したあとに、その場限りで有効な数字コードを追加入力。 特徴 ・パスワードが漏えいしても不正ログインを防ぎやすい ・導入しやすく、ユーザーも理解しやすい 主に使われているサービス ・ネットバンキング ・ECサイトの決済時 ・Webメール ・企業のVPNや社内システム  …など 考えられるリスク ・SMSを悪用した不正転送など ・スマホがウイルス感染した場合、情報が盗まれる   パスワード+スマホ認証アプリのプッシュ通知 パスワード入力後に、スマートフォンの認証アプリへ承認通知が届く方式は、利便性とセキュリティを両立しやすい組み合わせです。 認証方法 パスワード入力後に、承認アプリで「承認」または「拒否」を選ぶ。 特徴 ・コード入力が不要で操作が直感的 ・ユーザーの利便性が高い ・フィッシング攻撃に対する耐性が比較的高い ・身に覚えのない通知が届いた場合は拒否できる 主に使われているサービス ・Microsoft 365 ・Google Workspace ・企業向けのID管理 ・シングルサインオンの仕組み ・クラウド管理コンソール  …など 考えられるリスク ・スマホが必要 ・間違って「承認」をタップすると不正アクセスにつながる   パスワード+生体認証 パスワードと生体認証の組み合わせは、使いやすさと一定のセキュリティ強度を両立できる方式です。 認証方法 最初にパスワードを入力し、その後に指紋や顔認証を行う。 特徴 ・第三者によるなりすましを防ぎやすくなる ・ユーザーの利便性が上がる 主に使われているサービス ・スマートフォンやPCのロック解除 ・パスワード管理ツール ・社内PCやVDI環境 ・一部の業務アプリ  …など 考えられるリスク ・ケガなどで体に変化があると、ロックされる可能性がある ・身体情報は重要な個人情報であり、盗まれる可能性もある   セキュリティキー(FIDO2)+生体認証またはPIN セキュリティキーと生体認証、またはPIN(短い暗証番号)を組み合わせる方式は、現時点で非常に高い安全性を持つ多要素認証です。 認証方法 USBやNFC対応のセキュリティキーを端末に接続し、指紋認証やPINで本人確認を行う。 特徴 ・パスワードがいらない ・フィッシング攻撃に対する耐性が非常に高い ・サーバーからの漏えいリスクが低い ・運用にはキーの管理が必要 主に使われているサービス ・Microsoft 365やGoogleアカウント ・金融・証券サービス ・大企業や官公庁の業務システム ・特権IDやクラウド管理者のログイン  …など 考えられるリスク ・セキュリティキーの紛失や盗難、破損するとアクセス不可となる ・対応デバイスが限定的 多要素認証(MFA)のメリットデメリット 多要素認証は、導入によって得られるメリットがある一方で、コストや使い勝手といった注意点も存在します。 ここでは、多要素認証を導入する際に知っておきたい代表的なメリットとデメリットを整理して解説します。 メリット セキュリティ強度を大幅に高められる 不正ログインやサイバー攻撃のリスクを低減できる パスワード管理の負担を軽減できる 多要素認証の最大のメリットは、認証の安全性を大きく向上できる点です。 IDとパスワードだけの認証では、防ぎきれなかった不正アクセスやサイバー攻撃に対しても、追加の認証要素が壁となり、侵入を阻止できる可能性が高まります。 また、パスワードは定期的な変更が求められる一方で、覚え直す手間から簡単な文字列や使い回しが発生しやすいという課題があります。 その点、多要素認証を導入すれば、パスワードへの依存を減らし、管理の手間を軽減できます。 とくにクラウドサービスを利用する企業にとっては、現実的かつ有効なセキュリティ対策といえるでしょう。 社員IDカードなどの所持情報と、顔認証などの生体情報を組み合わせた多要素認証を採用すれば、知識情報に頼らずに高いセキュリティを確保できます。 このように、多要素認証は安全性と運用負荷のバランスを取りやすい仕組みである点も大きな魅力です。 デメリット 導入・運用にコストがかかる システム改修や専用デバイスが必要になる場合がある 利便性が下がる可能性がある まず、導入面ではコスト負担が挙げられます。 利用する認証要素によっては、専用デバイスの購入や既存システムの改修が必要となり、初期費用だけでなく継続的な運用コストが発生します。 また、複数の認証要素を使うことで、ログインにかかる時間が長くなる点にも注意が必要です。 通信状況によっては認証待ちが発生し、ストレスを感じる場面もあるでしょう。 とくに生体認証では、精度を高めるほど認証エラーが起きやすくなる傾向があり、業務効率に影響する可能性もあります。 パスワード管理の負担が軽減されても、日常業務で「使いにくい」と感じる状態では本末転倒です。 そのため、多要素認証を導入する際は、セキュリティ強度だけで判断するのではなく、導入後の使いやすさや運用面まで含めて検討することが重要です。 よくある質問(FAQ) 多要素認証について調べていると、「二要素認証」や「二段階認証」との違いがわからなくなったり、「本当に安全なのか」と疑問を感じたりする方も多いのではないでしょうか。 ここでは、多要素認証に関してよく寄せられる質問をわかりやすく解説します。 Q1:二要素認証とはなにが違う? 二要素認証とは、知識情報・所持情報・生体情報の認証要素から、異なる2種類の要素を組み合わせて本人確認を行う方式です。 一方、多要素認証は、2つ以上の認証要素を用いる認証方式全般を指します。 つまり、二要素認証は多要素認証の一形態と考えることができます。 多くの企業やサービスでは二要素認証を多要素認証として運用しており、両者はほぼ同じ意味で使われることが多いです。 Q2:二段階認証との違いは? 二段階認証とは、認証を2回のステップに分けて行う方式を指します。 ここで重要なのは、使われる認証要素の種類は問われないという点です。 たとえば、パスワードを入力したあとに秘密の質問に答える場合、2回の認証を行っているため二段階認証に該当します。 しかし、この場合はどちらも知識情報であり、認証要素は1種類だけです。 ステップが増えることで単純なパスワード認証よりは安全性が高まりますが、同じ要素に依存している限り、突破されるリスクは残ります。 2つ以上の認証要素を組み合わせて安全性を高める多要素認証とは、考え方そのものが異なります。 Q3:多要素認証(MFA)でサイバー攻撃は完全に防げる? 多要素認証は、不正アクセスを防ぐ強力な対策ですが、サイバー攻撃を完全に防げる万能な仕組みではありません。 認証を強化することで突破されにくくはなりますが、それだけに頼った運用では十分な安全性を確保できない場合があります。 たとえば、マルウェアと呼ばれる悪意あるソフトウェアは、メールの添付ファイルや不正なWi-Fi経由で侵入し、ログイン認証を経ずに端末内の情報に被害を与えることがあります。 多要素認証はログイン時に効果を発揮する仕組みのため、こうした攻撃には直接対応できません。 そのため、多要素認証は単独で使うのではなく、マルウェア対策や端末管理、ネットワークの監視といった他のセキュリティ対策と組み合わせて活用することが重要です。 こちらの記事も参考にしてください。 >>あなたの会社は大丈夫?データセキュリティの基本と7つの対策 まとめ 多要素認証(MFA)は、パスワードだけに依存せず、複数の認証要素を組み合わせることで不正アクセスのリスクを大きく下げられる、非常に有効なセキュリティ対策です。 知識情報・所持情報・生体情報・行動/環境要素といったそれぞれの特徴を理解し、自社の利用環境や業務内容に合った組み合わせを選ぶことが、効果的な運用につながります。 一方で、設計や運用を誤ると、コスト増加や利便性の低下といった課題が生じる可能性もあります。 そのため、多要素認証は「強ければよい」という視点だけでなく、現場で無理なく使い続けられるかまで含めて検討することが重要です。 「自社だけで最適な対策を考えるのは難しそう」と感じた場合は、ぜひアイネットテクノロジーズにご相談ください。 当社にはMicrosoft 365のセキュリティ機能に精通したスタッフが在籍しており、お客様の環境やニーズに合わせた多要素認証の導入・設定**をご提案しています。 最新のセキュリティ動向を踏まえた実践的なアドバイスも行っておりますので、安心してお任せください。  >>お問い合わせはこちらから

Azure MFA に関する仕様変更のお知らせ(認証用電話番号について)

アイネットテクノロジーズ 上口 裕樹です。 本日の投稿は以下のお客様が対象となっております。 該当する場合、非常に重要な内容となりますので是非一読ください。 ■Azure AD Connect でハイブリッド環境を構成済み■オンプレADの携帯電話属性に携帯電話以外の値を設定している■Azure AD の電話番号属性を多要素認証の電話番号として設定している Azure AD ユーザーが利用している電話番号は以下の通りです。・パブリックな電話番号:プロファイルに登録されている連絡先電話番号・認証用電話番号:認証時のみ利用する非公開電話番号 仕様変更に伴う動作イメージはこんな感じです。 これによって何が困るのか? 例えば・・・。・認証用電話番号を登録していないユーザーにMFAが構成される・外線を登録している場合、外線番号にMFAが要求される 仕様変更に伴って必要となる対策方法はコチラ Azure Portal から認証方法を追加する Graph API /authentication/methods を使用する Graph.Identity.Signins PowerShell を使用する ユーザーがマイアカウントから設定する 更に詳細な情報を確認したい方は以下のURLをご参考ください。Azure AD Connect をご利用のお客様へAzure Active Directory Identity Blog 株式会社アイネットテクノロジーズinfo@inet-tech.jp お問い合わせ窓口:050-8881-5770システムコンサルティング事業部

CONTACT

TELEPHONE