クラウドSaaSの利用拡大とリモートワークの定着で、ID／パスワードだけの認証では守りきれない時代になりました。フィッシング・パスワードリスト型攻撃・退職者アカウントの悪用といった脅威に対し、最初に打つべき対策がMFA（多要素認証）です。

「MFAを入れたほうがいい」という認識はあっても、要素の組み合わせや製品選定、ユーザー体験への影響が見えず、導入が止まっている情シスも少なくありません。

本記事ではMFAの仕組みを認証要素の3分類から噛み砕き、SSO／IDaaSとの関係、導入手順、ユーザー体験への配慮、製品選定の観点までを情シスがそのまま設計に使える形で整理します。

MFA導入や見直しを検討している情報システム部門・セキュリティ責任者を主な読者として想定しています。

MFA（多要素認証）とは

MFA（Multi-Factor Authentication、多要素認証）は、ログイン時に2つ以上の異なる種類の認証要素を要求する認証方式です。パスワード単独の認証ではなく、スマートフォンの認証アプリや生体認証など複数の要素を組み合わせて本人性を確認します。

認証の3要素

MFAで使われる認証要素は「知識（Something you know）」「所持（Something you have）」「生体（Something you are）」の3種類に分類されます。

知識はパスワード・PIN・秘密の質問など本人だけが知っている情報、所持はスマートフォン・ハードウェアトークン・ICカードなど本人だけが持っている物、生体は指紋・顔・虹彩など本人固有の身体的特徴です。

2段階認証との違い

2段階認証（2SV）は「同じ要素を2回求める」場合も含む広い概念で、たとえばパスワード＋秘密の質問は2段階認証ですがMFAではありません。MFAは異なる種類の要素を組み合わせる点が本質的な違いです。

参考：多要素認証とは - 情報処理推進機構（IPA）

MFAの主な認証方式

MFAで使われる「2つ目の要素」には複数の選択肢があります。セキュリティ強度・ユーザー体験・コストのバランスを見て、組織と用途に合わせて選定します。

SMS認証

携帯電話番号にSMSでワンタイムコードを送る方式。導入が容易な反面、SIMスワップ攻撃やフィッシングに脆弱なため、近年は推奨度が下がっています。NIST SP 800-63Bでも非推奨扱いです。

認証アプリ（TOTP）

Microsoft Authenticator、Google Authenticator、Authyなどのアプリで30秒ごとに変わる6桁コードを生成する方式。SMSより安全でコストも低く、現在の主流です。

プッシュ通知

認証アプリへ「ログインしますか？」のプッシュ通知を送り、タップで承認する方式。ユーザー体験が良好な一方、MFA疲労攻撃（連続プッシュで誤承認を誘う）への対策として番号一致機能が必須です。

FIDO2／パスキー

物理キー（YubiKeyなど）またはデバイス内蔵の生体認証で公開鍵暗号方式の認証を行う方式。フィッシング耐性を持つ最強のMFAで、Microsoft・Google・Appleが大規模に推進しています。

生体認証

Windows Hello、Touch ID、Face IDなどデバイス側の生体認証を使う方式。FIDO2と組み合わせて使われるケースが多く、ユーザー体験を犠牲にせず強度を上げられます。

参考：FIDO2／パスキーとは - FIDOアライアンス

MFAとSSO・IDaaSの関係

MFAはSSOやIDaaSと組み合わせることで真価を発揮します。認証ポイントをIdPに集約し、そこにMFAを必須化することで、全SaaSの強度を一気に底上げできる構造です。

SSOにMFAを必須化する意味

SSOは「1度の認証で複数SaaSを使える」仕組みなので、IdPへの認証が破られると全SaaSが侵入されます。だからこそIdPの認証にMFAを必須化することで、認証ポイントの単一化リスクを補強します。

IDaaS提供のMFA機能

Microsoft Entra ID、Okta、Google Workspace、HENNGE OneなどのIDaaSは標準でMFA機能を提供します。条件付きアクセスと組み合わせて、デバイス・場所・リスクスコアに応じた段階的なMFA要求も実現できます。

条件付きアクセスとリスクベース認証

「未管理デバイスからのアクセス時のみMFA」「海外IPからのアクセス時のみFIDO2」など、リスクスコアに応じてMFA要求を出し分ける運用が現実解です。ユーザー体験とセキュリティのバランスを取れる設計が可能になります。

ジョーシスのプラットフォームを使えば、IDaaSのMFA運用とSaaSアカウント管理を統合できます。資料ダウンロードは5分でわかるJosysからどうぞ。

MFA導入のメリット

MFAは「入れる手間」のコストに対して、セキュリティ・コンプライアンス・運用工数の3軸で大きなリターンが返ってくる施策です。

アカウント乗っ取りリスクの大幅低減

Microsoftの調査によると、MFAを有効化したアカウントの99.9%以上が攻撃で侵害されないと報告されています。パスワード単独の認証と比較して、攻撃成功率を桁違いに下げられます。

コンプライアンス対応の効率化

ISMS、SOC2、PCI DSS、J-SOX、改正電帳法といった監査要件で、特権アカウントへのMFAは事実上必須化しています。MFA導入はそのまま監査対応の標準化につながります。

ヘルプデスク負荷の削減

MFA導入によりパスワードリセット要求が減るのは直感に反しますが、認証ポイント集約とSSO併用により、ユーザーが「複数SaaSのパスワードを覚える」状況が消えるため問い合わせ総数が下がります。

MFA導入の注意点

メリットの大きさに反して、設計を誤ると業務影響やユーザー反発を招きます。情シスが事前に押さえるべきポイントを3つ紹介します。

MFA疲労攻撃への対策

プッシュ通知MFAでは、攻撃者がパスワードを入手したうえで連続プッシュを送り、ユーザーの誤承認を誘うMFA疲労攻撃が増えています。番号一致機能（Number Matching）を必ず有効化し、可能ならFIDO2への移行を進めます。

バックアップ手段の整備

スマートフォン紛失時、生体認証失敗時の代替手段を用意しておかないと業務が止まります。バックアップコード発行、複数の認証方式登録、情シスへのリセットフロー整備を導入時に必ずセットで設計します。

ユーザー教育と段階展開

MFAは認証ステップが1つ増えるため、初期導入時のユーザー反発が起こりがちです。事前周知・FAQ整備・部署単位の段階展開を組み合わせ、現場の理解を得ながら進めます。

MFA代表製品の比較

国内外で利用される主要なMFA／IDaaS製品を、情シスの選定観点で整理しました。価格や機能は2026年5月時点の公開情報に基づいています。

Microsoft Entra ID（Authenticator）

Microsoft 365契約企業の標準解です。FreeでもMFAは利用可能で、P1で条件付きアクセス、P2でリスクベース認証が解放されます。詳細はMicrosoft Entra ID 公式で確認できます。

Okta Verify

Oktaの主力MFAアプリで、プッシュ通知・TOTP・FIDO2に対応。Okta Adaptive MFAでリスクベース認証も提供します。詳細はOkta Adaptive MFA 公式で確認できます。

Google認証

Google Workspace付属で、認証アプリ・FIDO2セキュリティキー・パスキーに対応。Workspace Premium版で高度な条件付きアクセスを利用可能です。詳細はGoogle認証 公式で確認できます。

Duo Security（Cisco）

エンタープライズ向けMFAの代表格。VPN・オンプレシステム・SaaSの統合認証に強く、Cisco Secure Accessの基盤として利用されます。詳細はDuo Security 公式で確認できます。

YubiKey（Yubico）

FIDO2対応の物理セキュリティキー。フィッシング耐性最強の選択肢で、特権アカウントや経営層向けに導入される傾向があります。詳細はYubico 公式で確認できます。

HENNGE One

国産IDaaSのMFA機能。Microsoft 365／Google Workspaceとの連携が手厚く、日本語サポートと国産プロダクトの安心感を重視する企業に選ばれています。詳細はHENNGE One 公式で確認できます。

参考：MFA製品比較 - ITreview

MFA導入の進め方

「現状把握 → 対象優先度付け → IdPでの一元設定 → パイロット → 全社展開」の5ステップで進めます。最初から100%カバーを目指さず、リスクの高い領域から段階導入します。

ステップ1：現状把握とリスク評価

特権アカウント、経営層、外部公開ポータル、リモートアクセスの4領域を最優先のMFA対象として抽出します。残りはユーザー数・データ機密度・業務影響度で順位付けします。

ステップ2：対象アカウントの優先度付け

特権・経営層へは即時、一般従業員は段階展開、外部委託先には別ポリシーといった切り分けを定義します。「どこを最初にMFA必須化するか」が導入計画の軸になります。

ステップ3：IdPでのMFAポリシー設定

Entra ID／Oktaなど既存IdPでMFAポリシーを定義し、条件付きアクセスでデバイス・場所・リスクに応じた要求条件を設計します。SaaS個別ではなくIdP一元での設定が原則です。

ステップ4：パイロット導入

情シス部門と1部署でMFAを先行導入し、ユーザーからのフィードバック・問い合わせ傾向・障害時のリカバリ手順を検証します。FAQとマニュアルを整備したうえで全社展開に進みます。

ステップ5：全社展開と継続改善

優先度の高い対象から順にMFA必須化し、定期的にMFA方式の見直し（SMS→TOTP→FIDO2）と棚卸しを実施します。フィッシング耐性のあるFIDO2／パスキーへの移行が中期的な目標です。

MFA用語集

MFA関連で頻出する技術用語を簡潔にまとめました。検討資料の作成や社内説明にもそのまま使えます。

TOTP（Time-based One-Time Password）

時刻ベースで30秒ごとに生成される6桁ワンタイムコード。RFC 6238で標準化されており、認証アプリのほぼすべてが対応しています。

FIDO2／WebAuthn

パスワードレス認証の業界標準。公開鍵暗号方式を使い、サーバ側に秘密鍵を保存しないためフィッシング・サーバ侵害耐性が極めて高い特徴があります。

パスキー

FIDO2をクラウド同期可能にした実装で、Apple／Google／Microsoftが大規模推進中。スマートフォン紛失時もクラウド復元できる利便性とFIDO2のセキュリティを両立します。

MFA疲労攻撃

攻撃者がパスワードを入手したうえで連続プッシュ通知を送り、ユーザーの誤承認を誘う攻撃手法。Number Matching対策が必須です。

Number Matching（番号一致）

プッシュ通知MFAで、画面とアプリに表示される数字を入力して一致を確認する機能。MFA疲労攻撃を防ぐ標準対策です。

バックアップコード

スマートフォン紛失や認証アプリ障害時に使う一回限りの予備コード。導入時に必ず発行・保管ルールを設計します。

MFAだけでは解決しないSaaS管理の課題

MFAは認証強度を上げる強力な仕組みですが、SaaS全体のライフサイクル（誰がどのSaaSをどう使っているか、ライセンス利用率、契約・更新管理）までは守備範囲外です。SaaS数が30を超える組織では、MFAとSaaS管理プラットフォーム（SMP）の組み合わせが現実解になります。

未管理SaaSのMFA設定漏れ

部署が情シス無断で契約したシャドーITは、IdP連携されていないためMFAが適用されません。SaaS購買データやクレジットカード明細を横断的に取得する仕組みでなければ、こうした抜け穴は塞げません。

ライセンス利用率の可視化

MFAはログイン可否を判定しますが、有償ライセンスの利用率や過剰契約までは追跡しません。年間SaaSコストを最適化するには、ライセンス単位の利用実態データが必要です。

退職者アカウントの完全削除

IdP側でアカウント無効化しても、SaaS側に残ったアカウント情報やAPIトークンが完全に削除されないケースがあります。SaaS横断での削除プロセスとしてはSCIM自動化＋管理プラットフォームでの監査が必要です。

SaaS管理プラットフォームが補う領域

ジョーシスのプラットフォームは350以上のSaaS連携と31カテゴリの管理機能を備え、MFA基盤がカバーしないSaaSライフサイクル全体を統合管理できる設計です。国内外700社以上の導入実績があり、IT工数を最大50%、ITコストを最大75%削減した事例も報告されています。

無料デモはJosys デモ予約から日程を選べます。

MFAについてよくある質問

検討フェーズで担当者から多く寄せられる質問を整理しました。

MFAとSSOはどちらを先に入れるべきですか

可能ならSSO先行＋MFA同時が理想ですが、リソースが限られる場合は特権アカウントへのMFAを最優先します。SSOがないとSaaSごとに個別MFA設定が必要になり、運用負荷が高まります。

SMS認証はもう使ってはいけませんか

「MFAなし」よりは確実に良いですが、可能な限りTOTP・プッシュ通知・FIDO2への移行が推奨されます。特権アカウント・経営層・財務系SaaSにはSMS禁止が望ましい運用です。

パスキーは企業利用できますか

Microsoft Entra ID、Okta、Google Workspaceなど主要IDaaSがパスキーに対応しています。スマートフォン紛失時のクラウド復元や、デバイス間の認証情報同期が可能で企業利用に適します。

MFA導入で業務効率が落ちませんか

導入直後の慣れの期間を除けば、SSO併用とリスクベース認証で「毎回MFA要求」を回避できます。条件付きアクセスを使えば信頼済み環境ではMFA要求を省略でき、ユーザー体験はほぼ変わりません。

まとめ

MFAは知識・所持・生体の3要素から異なる2つ以上を組み合わせる認証方式で、アカウント乗っ取りリスクを99.9%以上低減できる強力な対策です。SSO／IDaaSと組み合わせ、認証ポイントを集約したうえでMFAを必須化するのが基本設計になります。

ただしMFA単体ではSaaS全体のライフサイクル管理までは届かないため、SaaS管理プラットフォームとの組み合わせ運用が現実解になります。自社のSaaS環境を統合的に整備したい場合は、5分でわかるJosysから検討を始めるのが近道です。