本文へスキップ
Convey

技術コラム

中小企業こそ多要素認証(MFA)を——コストをかけずに始める現実解

約4分で読めます

不正アクセスの多くは、パスワードの突破から始まります。少人数の組織でも今日から始められる、多要素認証(MFA)導入の実践的な手順をまとめました。

パスワードだけでは守れない

漏えいしたパスワードのリストを使った自動ログイン試行(リスト型攻撃)や、フィッシングによる詐取は、企業規模を問わず機械的に行われます。「うちは小さいから狙われない」は残念ながら成立しません——攻撃は人間ではなくボットが行うからです。

多要素認証(MFA)は、パスワードが破られても「本人しか持っていないもの」による第二の関門で不正ログインを止める仕組みです。導入コストに対する防御効果は、あらゆるセキュリティ施策の中でも群を抜いています。

まず守るべき3つのアカウント

全アカウントに一斉導入する必要はありません。優先順位をつけて、影響の大きいところから始めます。

  • メール(Microsoft 365 / Google Workspace)——他のあらゆるサービスのパスワードリセットに使われる「マスターキー」
  • クラウドの管理コンソール(AWS / Azure / GCPなど)——乗っ取られると事業基盤そのものが危険に
  • ネットバンキング・決済サービス——金銭被害に直結する経路

方式の選び方

SMSによるコード送信は、ないよりは遥かに良いものの、SIMスワップ等のリスクがあるため、可能であれば認証アプリ(TOTP)を推奨します。さらに一歩進めるなら、フィッシング耐性を持つパスキー(FIDO2)が第一候補です。認証アプリのコードは偽サイトに入力してしまうと突破されますが、パスキーは正規のドメインでしか動作しないため、この攻撃が原理的に成立しません。

定着させるための運用

導入して終わりではなく、リカバリーコードの安全な保管、退職者アカウントの棚卸し、管理者アカウントと日常アカウントの分離、といった運用ルールをセットで整えることが定着の鍵です。Conveyでは、ID基盤の設計からこうした運用ルールづくりまでを含めてご支援しています。