MFAとは、Multi-Factor Authenticationの略で、日本語では「多要素認証」と呼ばれます。
ID・パスワードだけに依存せず、スマートフォン、認証アプリ、ワンタイムパスワード、生体認証、セキュリティキーなど、複数の要素を組み合わせて本人確認を行う仕組みです。
近年、フィッシング、パスワード使い回し、認証情報漏えい、不正ログイン、アカウント乗っ取りが増えており、企業にとってMFAは基本的なセキュリティ対策のひとつになっています。
ただし、MFAを導入すればすべての不正ログインを防げるわけではありません。
SMS認証やワンタイムパスワードは導入しやすい一方で、フィッシングにより突破されるリスクもあります。金融、決済、会員サービス、業務システムでは、認証方式の選び方、導入範囲、ユーザー体験、復旧手順、運用体制まで含めて考えることが重要です。
本記事では、MFAの意味、2FA・二段階認証との違い、主な認証方式、企業が導入時に確認すべき注意点をわかりやすく解説します。
MFAとは
MFAとは、複数の認証要素を使って本人確認を行う仕組みです。
従来のログインでは、IDとパスワードだけで本人確認を行うケースが一般的でした。
しかし、パスワードは以下のような理由で漏えい・悪用される可能性があります。
- フィッシングサイトに入力してしまう
- 複数サービスで使い回している
- 推測されやすい文字列を使っている
- 過去に流出したパスワードを使い続けている
- マルウェアにより入力情報を盗まれる
- 社内や委託先で共有アカウントを使っている
MFAでは、パスワードに加えて、別の要素を確認します。
たとえば、ログイン時にパスワードを入力した後、スマートフォンに届く確認コードを入力したり、認証アプリで承認したり、指紋や顔認証を使ったりします。
これにより、仮にID・パスワードが盗まれても、それだけではログインしにくくなります。
認証の3要素
MFAで使われる認証要素は、大きく3つに分けられます。
| 認証要素 | 意味 | 例 |
|---|---|---|
| 知識情報 | 本人だけが知っているもの | パスワード、PIN、秘密の質問 |
| 所持情報 | 本人だけが持っているもの | スマートフォン、認証アプリ、セキュリティキー、ICカード |
| 生体情報 | 本人の身体的特徴 | 指紋、顔、虹彩、声紋 |
MFAでは、この3つのうち2つ以上を組み合わせます。
たとえば、以下のような組み合わせです。
| 組み合わせ | 例 |
| 知識情報+所持情報 | パスワード+認証アプリ |
| 知識情報+生体情報 | パスワード+顔認証 |
| 所持情報+生体情報 | スマートフォン内のパスキー+指紋認証 |
| 所持情報+知識情報 | セキュリティキー+PIN |
重要なのは、単に確認ステップが2回あることではなく、異なる種類の認証要素を組み合わせることです。
MFA・2FA・二段階認証の違い
MFAと似た言葉に、2FAや二段階認証があります。
混同されやすいですが、意味は少し違います。
| 用語 | 意味 |
| MFA | 2つ以上の異なる認証要素を使う認証 |
| 2FA | 2つの認証要素を使う認証。MFAの一種 |
| 二段階認証 | 認証手順が2段階ある仕組み。必ずしも異なる要素とは限らない |
| 追加認証 | 通常ログインに加えて、特定条件や重要操作時に追加で本人確認する仕組み |
たとえば、パスワード入力後にSMSコードを入力する方式は、一般的には二段階認証や2FAと呼ばれます。
一方で、厳密には「パスワード=知識情報」「SMSを受け取るスマートフォン=所持情報」と考えられるため、多要素認証の一種として扱われることがあります。
ただし、二段階認証という言葉は広く使われており、実務では必ずしも厳密に使い分けられていません。
企業が重要視すべきなのは、呼び方よりも、どの要素を使い、どの攻撃にどこまで耐えられるかです。
MFAが必要とされる理由
MFAが重要になっている理由は、ID・パスワードだけでは不正ログインを防ぎきれないためです。
1. パスワード使い回しによる不正ログインを防ぐため
利用者が複数のサービスで同じパスワードを使い回していると、あるサービスで流出したID・パスワードが、別のサービスへの不正ログインに使われることがあります。
これは、リスト型攻撃やクレデンシャルスタッフィングと呼ばれます。
企業側から見ると、自社からパスワードが漏えいしていなくても、他社サービスで流出した認証情報を使われて、自社サービスに不正ログインされる可能性があります。
MFAを導入していれば、ID・パスワードが一致しても、追加の認証要素がなければログインを止められる可能性が高まります。
2. フィッシングによる認証情報窃取に備えるため
フィッシングとは、実在する企業やサービスを装ったメール、SMS、偽サイトなどにより、ID・パスワードや認証コードを入力させる手口です。
フィッシングによりパスワードが盗まれると、不正ログイン、不正送金、不正決済、ポイント不正利用などにつながる可能性があります。
MFAは、パスワードだけを盗まれても不正ログインされにくくするための重要な防御策です。
ただし、SMS認証やワンタイムパスワードもフィッシングサイトに入力させられる場合があります。
そのため、重要なサービスでは、フィッシング耐性のあるMFAを検討する必要があります。
3. 管理者アカウントの乗っ取りを防ぐため
企業にとって特に危険なのが、管理者アカウントの乗っ取りです。
管理者アカウントが不正利用されると、以下のような被害につながる可能性があります。
- 顧客情報の閲覧・出力
- 権限変更
- 不正なアカウント作成
- システム設定変更
- 決済・送金設定の変更
- クラウド環境の改ざん
- ログ削除
- ランサムウェア展開
そのため、一般利用者向けサービスだけでなく、社内システム、クラウド、管理画面、VPN、開発環境にもMFAを導入することが重要です。
4. 金融・決済・会員サービスの不正利用を防ぐため
金融アプリ、決済アプリ、EC、ポイントサービス、会員サービスでは、アカウント乗っ取りが金銭被害に直結します。
たとえば、以下のような被害です。
- 不正送金
- 不正決済
- ポイント不正交換
- 登録メールアドレス変更
- 配送先住所変更
- クレジットカード情報の悪用
- 本人確認情報の閲覧
- アカウント売買
こうしたサービスでは、ログイン時だけでなく、重要操作時にも追加認証を行う設計が必要です。
MFAの主な方式
MFAには複数の方式があります。
それぞれ、導入しやすさ、セキュリティ強度、ユーザー体験、運用負荷が異なります。
1. SMS認証
SMS認証は、ログイン時に登録済みの電話番号へ確認コードを送り、そのコードを入力させる方式です。
多くのユーザーにとってわかりやすく、導入しやすい点がメリットです。
一方で、以下の注意点があります。
- SMSが届かない場合がある
- 電話番号変更時の対応が必要
- 海外利用時に届きにくい場合がある
- フィッシングサイトにコードを入力させられる可能性がある
- SIMスワップなど電話番号を悪用した攻撃リスクがある
- SMS送信コストがかかる
SMS認証は、何も導入しないよりは有効ですが、重要度の高いサービスでは過信しない方が安全です。
2. メール認証
メール認証は、登録済みのメールアドレスへ確認コードや認証リンクを送り、本人確認を行う方式です。
導入しやすい一方で、メールアカウント自体が乗っ取られている場合には突破される可能性があります。
また、メールの遅延、迷惑メール判定、リンクの有効期限切れなど、ユーザー体験上の課題もあります。
メール認証は、低リスクな操作やアカウント確認には使いやすいですが、金融・決済など高リスクな操作では、より強い認証方式と組み合わせることが望ましいです。
3. 認証アプリによるワンタイムパスワード
認証アプリを使う方式では、スマートフォン上のアプリが一定時間ごとにワンタイムパスワードを生成します。
SMSよりも通信経路に依存しにくく、一般的なMFA方式として広く使われています。
ただし、以下の注意点があります。
- 初期設定がユーザーにとって難しい場合がある
- 機種変更時の引き継ぎが課題になる
- バックアップコードの管理が必要
- フィッシングサイトにOTPを入力させられる可能性がある
- 端末紛失時の復旧手順が必要
認証アプリは有効な方式ですが、フィッシング耐性が十分とは限りません。
4. プッシュ通知認証
プッシュ通知認証は、ログイン時にスマートフォンへ通知を送り、ユーザーが承認する方式です。
コード入力が不要なため、ユーザー体験は比較的良好です。
一方で、以下のような課題があります。
- 通知疲れにより誤って承認する可能性がある
- 攻撃者が繰り返し通知を送り承認を誘う可能性がある
- 通知内容が不十分だと本人が判断しにくい
- 端末紛失時の対応が必要
プッシュ通知を使う場合は、ログイン元、端末、場所、操作内容を表示するなど、ユーザーが正しく判断できる設計が重要です。
また、番号照合などを組み合わせることで、誤承認リスクを下げられます。
5. 生体認証
生体認証は、指紋や顔などの身体的特徴を使って本人確認を行う方式です。
スマートフォンアプリでは、Face IDやTouch ID、Androidの生体認証などを使うケースがあります。
ただし、生体認証は単独で万能な認証ではありません。
多くの場合、端末内の秘密鍵や認証情報を利用するためのロック解除、つまり「認証器を使うための本人確認」として使われます。
企業側では、次の点を確認する必要があります。
- 生体情報をサーバ側に保存しない設計になっているか
- 端末側の安全な領域を利用しているか
- 失敗回数制限があるか
- PINやパスコードへのフォールバックをどう扱うか
- 端末紛失時の再登録手順があるか
生体認証はUXに優れていますが、設計を誤ると過信につながります。
6. セキュリティキー
セキュリティキーは、USB、NFC、Bluetoothなどで利用する物理的な認証器です。
FIDO2やWebAuthnに対応したセキュリティキーは、フィッシング耐性のある認証方式として注目されています。
メリットは以下です。
- フィッシングに強い
- 認証情報を使い回しにくい
- 管理者や高権限ユーザーに向いている
- 企業の業務システム保護に使いやすい
一方で、以下の課題もあります。
- 物理キーの配布・管理が必要
- 紛失時の復旧手順が必要
- ユーザー教育が必要
- 端末やブラウザの対応確認が必要
- 予備キーの運用が必要
一般ユーザー全員に配布するよりも、まずは管理者、開発者、経理、カスタマーサポート、委託先など、高リスクな利用者から導入するのが現実的です。
7. パスキー
パスキーは、FIDO2/WebAuthnをベースにしたパスワードレス認証の仕組みです。
ユーザーは、パスワードを入力する代わりに、スマートフォンやPCに保存された秘密鍵を使い、指紋、顔認証、PINなどで本人確認を行います。
パスキーの特徴は、サービスごとに異なる鍵ペアを使うため、パスワードのように使い回しや漏えいによる被害が起きにくい点です。
また、正規サイトのドメインと結びついて認証するため、フィッシング耐性が高い方式とされています。
一方で、導入時には以下を確認する必要があります。
- ユーザーの端末・ブラウザ対応状況
- 既存パスワードログインとの併用期間
- アカウント復旧手順
- 端末紛失時の対応
- 複数端末利用時のUX
- カスタマーサポート対応
- 既存MFAとの関係整理
パスキーは有力な方式ですが、すべてのユーザーがすぐに使えるわけではありません。
企業では、段階的な導入と丁寧な案内が重要です。
MFA導入時の注意点
MFAは有効な対策ですが、導入すれば終わりではありません。
企業が導入時に確認すべきポイントを整理します。
1. 何を守るためにMFAを導入するのかを明確にする
まず、MFAの目的を明確にする必要があります。
目的が曖昧なまま導入すると、必要な場所に導入されなかったり、不要な場所でユーザー負担だけが増えたりします。
たとえば、以下のように目的を整理します。
| 目的 | MFAを優先すべき対象 |
| 管理者乗っ取り防止 | 管理画面、クラウド、VPN、開発環境 |
| 顧客アカウント保護 | 会員ログイン、登録情報変更、決済操作 |
| 不正送金防止 | 送金、出金、振込先変更、限度額変更 |
| 情報漏えい防止 | 個人情報閲覧、CSV出力、本人確認データ閲覧 |
| ランサムウェア対策 | VPN、RDP、特権アカウント、委託先接続 |
MFAは「全ユーザーに一律で導入するか」だけでなく、「どの操作で、どの強度の認証を求めるか」を考えることが重要です。
2. ログイン時だけでなく重要操作時にも使う
MFAはログイン時だけに使うものではありません。
ログイン後の重要操作時に追加認証を求めることも重要です。
たとえば、以下の操作です。
- 送金
- 出金
- 決済
- 登録メールアドレス変更
- 電話番号変更
- 配送先住所変更
- パスワード変更
- MFA設定変更
- 本人確認情報の閲覧
- 個人情報のCSV出力
- 管理者権限の付与
- APIキーの発行
攻撃者が一度ログインに成功した場合でも、重要操作時に追加認証があれば、被害を止められる可能性があります。
3. SMS認証だけに依存しない
SMS認証は導入しやすく、ユーザーにも理解されやすい方式です。
しかし、SMS認証だけに依存するのは危険です。
理由は以下です。
- フィッシングでコードを入力させられる可能性がある
- SIMスワップのリスクがある
- 電話番号変更や解約時の管理が難しい
- 海外利用や通信障害の影響を受ける
- SMS送信コストが高くなる場合がある
SMS認証は、低リスクなサービスや初期導入には使いやすい方式です。
ただし、金融・決済・高額取引・個人情報閲覧などでは、認証アプリ、セキュリティキー、パスキー、リスクベース認証などと組み合わせることを検討すべきです。
4. フィッシング耐性を考える
MFAにも強度の差があります。
特に注意したいのは、OTPやSMSコードは、フィッシングサイトに入力させられる可能性があることです。
つまり、MFAを導入していても、フィッシングで突破されるケースがあります。
フィッシング耐性を高めるには、以下のような方式が有効です。
- FIDO2/WebAuthn
- セキュリティキー
- パスキー
- デバイス証明書
- 端末バインディング
- リスクベース認証
- 重要操作時の追加確認
特に、金融・決済・証券・管理者アカウントでは、フィッシング耐性のある認証方式を優先的に検討したいところです。
5. アカウント復旧手順を設計する
MFA導入で見落とされやすいのが、アカウント復旧です。
ユーザーは、スマートフォンの紛失、機種変更、認証アプリ削除、電話番号変更、セキュリティキー紛失などにより、ログインできなくなることがあります。
復旧手順が弱いと、攻撃者がそこを悪用します。
たとえば、以下のようなリスクがあります。
- サポート窓口をだましてMFAを解除させる
- 本人確認が甘く、攻撃者にアカウントを渡してしまう
- 電話番号変更手続きを悪用される
- バックアップコードを盗まれる
- 委託先サポートが不正操作される
MFAを導入する際は、ログイン時の強化だけでなく、復旧時の本人確認も同じくらい重要です。
6. ユーザー体験を悪化させすぎない
MFAはセキュリティを高める一方で、ユーザーの手間も増えます。
毎回厳しい認証を求めると、ログイン離脱、問い合わせ増加、アプリ評価低下につながる可能性があります。
そのため、以下のような設計が重要です。
- 低リスク時は簡単にログインできる
- 高リスク時だけ追加認証する
- 重要操作時に認証を強める
- 信頼済み端末を活用する
- 認証手段を複数用意する
- エラー時の案内をわかりやすくする
- 機種変更時の導線を用意する
セキュリティとUXは対立するものではありません。
適切に設計すれば、不正を防ぎながら、正規ユーザーの負担を抑えることができます。
7. 端末リスクも確認する
MFAを使っていても、ユーザー端末や業務端末が侵害されている場合は注意が必要です。
たとえば、以下のような状態です。
- マルウェア感染端末
- Root化・Jailbreak端末
- エミュレーター
- 改ざんアプリ
- 不正な画面オーバーレイ
- キーロガー
- 盗まれたセッション
- 遠隔操作ツールが入った端末
特にモバイルアプリでは、認証だけでなく、端末状態やアプリの正当性を確認することも重要です。
金融・決済アプリでは、MFAに加えて、端末リスク検知、アプリ改ざん検知、Root化・Jailbreak検知、リスクベース認証などを組み合わせる必要があります。
8. 委託先・管理者・サポート担当にも適用する
MFAは、顧客向けログインだけに導入すればよいわけではありません。
むしろ、企業側の管理者、サポート担当、委託先、開発者、運用担当にこそ優先的に導入すべきです。
特に以下は重要です。
- 管理画面
- CRM
- MAツール
- クラウドストレージ
- VPN
- リモートアクセス
- 開発環境
- 本番環境
- 問い合わせ管理システム
- 本人確認審査システム
- 決済管理画面
利用者向けサービスを守るには、裏側の運用環境も守る必要があります。
MFAを導入すべき優先順位
すべてのシステムに一度にMFAを導入するのが難しい場合は、リスクの高い場所から始めます。
| 優先度 | 対象 | 理由 |
| 高 | 管理者アカウント | 乗っ取られると被害範囲が大きい |
| 高 | VPN・リモートアクセス | 社内ネットワーク侵入の入口になりやすい |
| 高 | クラウド管理画面 | データ・設定・権限に影響する |
| 高 | 個人情報閲覧・出力画面 | 情報漏えいに直結する |
| 高 | 決済・送金・出金操作 | 金銭被害に直結する |
| 中 | 会員ログイン | アカウント乗っ取りを防ぐ |
| 中 | 登録情報変更 | 二次被害防止に有効 |
| 中 | パスワード変更・MFA解除 | 乗っ取り後の固定化を防ぐ |
| 中 | 開発・検証環境 | ソースコードやAPIキー保護に重要 |
| 中 | 委託先アカウント | サプライチェーンリスク対策になる |
モバイル不正対策ラボの見解
MFAは、不正ログイン対策の基本です。
ただし、MFAを導入していることと、不正ログインに強いことは同じではありません。
重要なのは、どの認証方式を、どの場面で、どのリスクに対して使っているかです。
特に金融アプリ、決済アプリ、会員アプリでは、次のように分けて考える必要があります。
- ログイン時の本人確認
- 重要操作時の追加認証
- 新規端末利用時の確認
- 端末変更時の確認
- パスワード変更時の確認
- 送金・決済・出金時の確認
- 不審な挙動がある場合の追加認証
- 管理画面やサポート環境の認証強化
ID・パスワードにSMS認証を追加するだけでは、現在のフィッシングや不正送金リスクに十分対応できないケースがあります。
これからの認証設計では、MFA、フィッシング耐性、端末リスク、アプリ改ざん対策、リスクベース認証を組み合わせて考えることが重要です。
企業向けMFA導入チェックリスト
最後に、MFA導入時に確認すべき項目をまとめます。
| 項目 | 確認ポイント |
| 導入目的 | 何を守るためにMFAを導入するか明確か |
| 対象範囲 | 顧客、従業員、管理者、委託先のどこに適用するか |
| 優先順位 | 管理画面、VPN、重要操作を優先しているか |
| 認証方式 | SMS、OTP、プッシュ、パスキーなどの違いを理解しているか |
| フィッシング耐性 | OTP入力型だけに依存していないか |
| 重要操作 | ログイン後の決済・送金・情報変更にも追加認証しているか |
| 復旧手順 | 機種変更・紛失・番号変更時の本人確認が安全か |
| UX | 正規ユーザーの離脱や問い合わせ増加に配慮しているか |
| 端末リスク | Root化、Jailbreak、マルウェア、改ざんアプリを考慮しているか |
| 管理者保護 | 管理画面、クラウド、VPNにMFAを必須化しているか |
| 委託先管理 | 外部パートナーのアカウントにも適用しているか |
| ログ監視 | MFA失敗、解除、再設定、端末変更を監視しているか |
| 教育 | ユーザーや従業員にMFAの意味と注意点を説明しているか |
まとめ
MFAとは、多要素認証のことで、パスワードだけに依存せず、知識情報、所持情報、生体情報など複数の要素を組み合わせて本人確認を行う仕組みです。
ID・パスワードが盗まれても、それだけではログインされにくくなるため、不正ログイン対策として非常に重要です。
ただし、MFAにも方式ごとの強度差があります。
SMS認証やワンタイムパスワードは導入しやすい一方で、フィッシングによって突破されるリスクがあります。金融、決済、証券、会員サービス、管理者アカウントでは、セキュリティキー、パスキー、FIDO2/WebAuthn、リスクベース認証など、より強い方式も検討すべきです。
また、MFAはログイン時だけでなく、重要操作時、端末変更時、管理画面、VPN、委託先アカウントにも適用することが重要です。
MFAは不正ログイン対策の出発点です。
企業は、MFAを単なる追加認証としてではなく、認証情報窃取、フィッシング、不正送金、端末リスク、アプリ改ざんまで含めた多層防御の一部として設計する必要があります。
参考情報
- IPA「インターネットサービスへの不正ログインによる被害が増加中」
- NIST Special Publication 800-63B Digital Identity Guidelines
- CISA「More than a Password」
- FIDO Alliance「Passkeys」
- FIDO Alliance「Passkey Central」