MFA（多要素認証）をクラウドサービスに導入する

パスワードだけのログインは、漏洩した瞬間に不正アクセスを許します。MFA（多要素認証）を設定するだけで、このリスクを大幅に下げられます。ほとんどのクラウドサービスで無料で使える機能です。

MFAとは何か

MFA（Multi-Factor Authentication：多要素認証）は、ログイン時にパスワード以外の確認手段を追加するセキュリティ機能です。2つの手段を使う場合は2FA（二要素認証）とも呼ばれます。

「知っているもの（パスワード）」に加えて、「持っているもの（スマートフォン）」や「自分自身（指紋・顔）」を組み合わせることで、パスワードが流出しても不正ログインを防げます。

MFAの種類

SMS認証：ログイン時に登録した電話番号にSMSで6桁のコードが届きます。最も広く使われている方法で、設定が簡単です。ただし、SIMスワップ（電話番号の乗っ取り）攻撃に対しては弱点があります。

認証アプリ（TOTP）：Google AuthenticatorやMicrosoft Authenticatorなどのアプリが30秒ごとに変わるコードを生成します。SMSより安全で、オフライン環境でも使えます。

プッシュ通知：スマートフォンにログイン承認のプッシュ通知が届き、タップして許可する方法です。Microsoft AuthenticatorやDuoがこれに対応しています。

ハードウェアキー：YubiKeyなどの物理デバイスをUSBポートに挿してログインします。最もセキュリティが高く、フィッシング攻撃に対して強い反面、紛失リスクと費用がかかります。

主要なクラウドサービスでのMFA設定

ほとんどの主要サービスでMFAを設定できます。

• Google Workspace / Gmail：Googleアカウントの設定 → セキュリティ → 2段階認証プロセス
• Microsoft 365：Microsoft アカウントの設定 → セキュリティ → 高度なセキュリティオプション
• Slack：ワークスペース設定 → 認証 → 2要素認証を必須にする（管理者が全メンバーに強制可能）
• Dropbox / Box / Google Drive：各サービスのアカウント設定 → セキュリティ
• GitHub：Settings → Password and authentication → Two-factor authentication
• AWS：IAMコンソール → MFAデバイスの割り当て

企業アカウントの場合、管理者が全メンバーに対してMFAを必須化できるサービスが多くなっています。

実際の使用例

メールアカウントへの不正アクセス防止：会社のGmailやOutlookにMFAを設定することで、パスワードが漏れても不正ログインを防げます。業務メールへの不正アクセスは、顧客情報漏洩やなりすましメール送信につながるため優先度が高いです。

クラウドストレージの保護：Google DriveやDropboxに社内資料を保管している場合、MFAがないとパスワード1つで全データにアクセスされるリスクがあります。

SaaSの管理者アカウント：CRMや会計ツールの管理者権限を持つアカウントは特に重要です。管理者が乗っ取られると全データへのアクセスが可能になります。

注意点

スマートフォンの紛失・機種変更に備える：認証アプリを使っている場合、スマートフォンを紛失すると自分もログインできなくなります。バックアップコードを安全な場所に保存しておくことと、複数の認証方法を登録しておくことが重要です。

SMSは海外ローミング時に使えない場合がある：出張や旅行中にSMS認証が届かないケースがあります。認証アプリを併用しておくと安心です。

全員への展開は段階的に：社員全員に一斉にMFAを義務化すると、設定方法がわからない・スマートフォンを持っていないなどの問題が出ることがあります。管理者・役員など重要アカウントから始めて、段階的に対象を広げる進め方が現実的です。