クラウドサービス、メール、会計ソフト、チャット、オンラインストレージなどで、多要素認証、いわゆるMFAを設定する会社が増えています。

MFAは、不正ログイン対策として有効な手段です。IPAは、各種サービスの不正ログイン対策として、記憶情報、所持情報、生体情報のうち2つ以上を用いる多要素認証を設定することを推奨しており、IDとパスワードを不正に利用されても、それだけではログインできないため、不正ログイン防止に効果があると説明しています。

また、IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」でも、取り扱う情報の重要性に応じて本人認証方法と管理ルールを定め、多要素認証を活用することが示されています。

一方で、MFAは設定して終わりではありません。

次のようなトラブルが起きることがあります。

  • 認証アプリを入れていたスマートフォンを紛失した
  • 機種変更後、認証アプリを移行していなかった
  • 管理者が退職し、クラウド管理画面に入れなくなった
  • 代表者1人だけが管理者で、その人のスマホが壊れた
  • バックアップコードを保存していた場所にもログインできない
  • 予備の管理者アカウントがなく、設定変更もユーザー復旧もできない
  • MFAを強制した結果、従業員や管理者が業務開始時にロックアウトされた

MFAは重要な対策ですが、運用を誤ると、不正ログインを防ぐための仕組みが、業務停止の原因になることがあります。

この記事では、中小企業や小規模事業者が、MFA導入後に確認しておきたい運用ポイントを整理します。

MFAは「入口を強くする対策」だが、「鍵をなくすリスク」もある

MFAでは、パスワードに加えて、スマートフォンの認証アプリ、SMS、メール、セキュリティキー、生体認証、パスキーなどを使います。

つまり、ログインに必要なものが増えます。

これは攻撃者にとっては突破しにくくなる一方で、正規の利用者にとっても、必要な認証手段を失うとログインできなくなる、ということです。

たとえば、次のような状態は危険です。

  • 管理者の認証アプリが1台のスマホだけに入っている
  • バックアップコードを作成していない
  • バックアップコードをクラウド上に保存しているが、そのクラウドにもMFAが必要
  • 管理者が1人しかいない
  • 管理者用の電話番号が退職者の私物スマホになっている
  • 機種変更時の確認手順がない
  • 緊急時に誰がMFAをリセットできるか分からない

MFAは「強い鍵」を増やす対策です。
しかし、鍵をなくしたときの手順がないと、正規の担当者も入れなくなります。

1. まずMFAを使っているサービスを一覧化する

最初に行うべきことは、MFAを設定しているサービスの棚卸しです。

中小企業では、次のようなサービスでMFAが使われていることがあります。

  • Microsoft 365
  • Google Workspace
  • 会計ソフト
  • 給与・勤怠システム
  • オンラインバンキング
  • クラウドストレージ
  • 業務チャット
  • ECサイト管理画面
  • Webサイト、CMS管理画面
  • ドメイン管理サービス
  • サーバー、VPN、リモート接続
  • SNS公式アカウント
  • 予約管理システム
  • 決済サービス

一覧化するときは、単に「MFAあり・なし」だけでは不十分です。

次の項目まで確認しましょう。

項目記入例
サービス名Microsoft 365、Google Workspace、会計ソフトなど
用途メール、ファイル共有、会計、給与、Web管理など
管理者代表者、総務、外部ITベンダーなど
MFA方式認証アプリ、SMS、セキュリティキー、パスキーなど
予備の認証手段バックアップコード、予備スマホ、予備セキュリティキーなど
管理者の人数1名、2名、外部支援ありなど
機種変更時の手順あり、なし、確認中
退職・異動時の確認あり、なし
ロックアウト時の連絡先社内担当、保守会社、クラウド事業者など

重要なのは、どのサービスに、誰が、どの認証手段で入れるのかを把握することです。

MFAの設定状況は、アカウント管理の一部です。
「誰かが設定したはず」ではなく、台帳として確認できる状態にしましょう。

2. 管理者アカウントを1人に集中させない

MFA運用で特に注意したいのが、管理者アカウントです。

一般ユーザーがログインできなくなった場合、管理者が復旧できることがあります。
しかし、管理者自身がログインできなくなると、復旧が難しくなります。

次のような状態は避けるべきです。

  • 管理者が代表者1人だけ
  • 管理者が退職予定者1人だけ
  • 管理者MFAが1台の私物スマホに依存している
  • 管理者パスワードを共有している
  • 外部ベンダーしか管理者権限を持っていない
  • 管理者アカウントの連絡先が古い電話番号やメールのまま
  • 管理者ロックアウト時の復旧先が分からない

Microsoftは、Microsoft Entra IDにおいて、通常の管理者アカウントが使えない緊急時に備え、2つ以上の緊急アクセスアカウントを作成することで、管理者アクセスを失う影響を減らせると説明しています。緊急アクセスアカウントは、通常の管理者アカウントが使えない場合だけに利用するものとされています。

Google Cloudのドキュメントでも、Google WorkspaceまたはCloud Identityの特権管理者アカウントについて、特定の個人に依存しない新しいメールアドレスを作成し、MFAで保護したうえで、緊急復旧ツールとして使えるようにする考え方が示されています。

中小企業であっても、少なくとも次の状態を目指したいところです。

  • 管理者を1人だけにしない
  • 共有IDではなく、個人ごとの管理者アカウントを使う
  • 日常利用するアカウントと管理者アカウントを分ける
  • 管理者の退職・異動時には即時に権限を見直す
  • 緊急時に使える予備の管理者手段を用意する
  • 管理者アカウントを使った操作は記録を残す

管理者アカウントは便利な反面、強い権限を持ちます。
増やしすぎるのも危険ですが、1人に集中させるのも危険です。

3. 緊急アクセスアカウントを「弱い抜け道」にしない

管理者ロックアウトに備えて、緊急アクセスアカウント、いわゆる break glass account を用意する考え方があります。

ただし、ここで注意したいのは、
緊急アクセスアカウント=MFAなしの弱いアカウント
ではないということです。

Microsoftは、緊急アクセスアカウントについて、通常の管理者アカウントとは異なる強い認証方式を使うこと、資格情報を安全な場所に保管すること、サインインや監査ログを監視すること、少なくとも90日ごとに機能確認を行うことなどを示しています。

中小企業向けに言い換えると、次のような考え方です。

  • 緊急時だけ使う
  • 日常業務では使わない
  • 誰が使えるかを限定する
  • パスワードを付箋や共有フォルダに置かない
  • 通常の管理者と同じスマホ・同じ認証アプリに依存しない
  • 利用したら必ず記録する
  • 利用後にパスワードや認証手段を見直す
  • 定期的にログイン確認を行う

緊急アクセスアカウントは、普段使わないからこそ、存在を忘れられがちです。
しかし、いざという時に使えなければ意味がありません。

作ったら終わりではなく、保管、利用者、確認頻度、利用記録まで決めておきましょう。

4. バックアップコードは「作る」「保管する」「使ったら更新する」

多くのサービスでは、MFAが使えないときのために、バックアップコードやリカバリーコードを用意できます。

Googleは、管理者がセキュリティキーやスマートフォンを失った場合、バックアップコードでログインできることがあり、管理者は事前にバックアップコードを生成・印刷し、安全な場所に保管すべきだと説明しています。

NIST SP 800-63Bでも、アカウント復旧手段として保存済みリカバリーコードが扱われており、リカバリーコードは印刷や書き留めなどの形でオフラインに保管することが想定されています。また、追加の認証手段を維持することで、アカウント復旧が必要になる場面を減らす考え方も示されています。

バックアップコードで注意したいのは、保管場所です。

避けたい保管方法は次のとおりです。

  • ログインできなくなる可能性があるクラウド内だけに保存する
  • 全社員が見られる共有フォルダに保存する
  • 退職者の個人フォルダに保存する
  • スクリーンショットを私物スマホに保存する
  • チャットに貼り付ける
  • パスワードと同じ場所に無造作に保存する
  • 使ったコードと未使用コードを区別していない

現実的には、次のような保管を検討します。

  • 印刷して封筒に入れ、金庫等で保管する
  • 代表者と管理責任者など、限定された人だけがアクセスできる場所に保管する
  • どのサービスのコードか分かるようにする
  • ただし、外部から見てすぐ使える形で露出させない
  • 使用したコードは記録し、必要に応じて新しいコードを発行する
  • 退職・異動・担当変更時に保管状況を見直す

バックアップコードは、MFAの「非常口」です。
非常口だからこそ、開けっぱなしにせず、必要な人だけが使えるように管理しましょう。

5. 機種変更前に認証アプリを移行する

スマートフォンの機種変更は、MFAトラブルの典型例です。

新しい端末へ写真や連絡先は移行したものの、認証アプリを移行しておらず、業務システムにログインできなくなることがあります。

機種変更前に確認したい項目は次のとおりです。

  • どのサービスで認証アプリを使っているか
  • 認証アプリ以外の予備手段があるか
  • バックアップコードが使える状態か
  • 新端末へ認証アプリを移行できるか
  • 新端末でログイン確認をしたか
  • 旧端末の認証アプリを削除または無効化したか
  • 台帳の端末情報を更新したか
  • 退職者や異動者の端末が残っていないか

安全に進めるためには、次の順番がおすすめです。

  1. MFAを使っているサービスを一覧化する
  2. 旧端末が使える状態で、新端末を準備する
  3. 新端末に認証アプリやパスキー等を設定する
  4. 新端末でログインできることを確認する
  5. 予備の認証手段も確認する
  6. 旧端末の認証手段を削除または無効化する
  7. 端末を初期化する前に管理者が確認する
  8. 台帳を更新する

機種変更時に旧端末をすぐ下取りや初期化に出してしまうと、認証手段を失うことがあります。
業務アカウントを使っている端末では、新端末でログインできることを確認してから旧端末を手放すことが重要です。

6. 認証アプリを入れたスマホを紛失した場合の初動を決める

スマートフォンを紛失した場合、業務データだけでなく、MFAの認証手段も失う可能性があります。

紛失時は、次の順番で確認します。

  1. 利用者が上長または管理担当者へすぐ連絡する
  2. どのサービスの認証アプリが入っていたか確認する
  3. メール、クラウド、チャット、会計など重要サービスを優先する
  4. 管理者が当該端末の認証手段を無効化できるか確認する
  5. セッションのサインアウトやパスワード変更を検討する
  6. バックアップコードや予備認証手段でログインできるか確認する
  7. 端末の遠隔ロック・遠隔消去を実施できるか確認する
  8. 新しい認証手段を登録する
  9. 対応内容を時系列で記録する

ここで重要なのは、紛失してから初めて考えないことです。

どのサービスにどの認証手段が紐づいているか、誰が無効化できるか、どの順番で対応するかを、平時に決めておきましょう。

7. 管理者ロックアウト時の連絡先を紙でも残す

管理者がログインできなくなると、クラウド上の手順書や連絡先にもアクセスできないことがあります。

そのため、最低限の緊急連絡先は、紙またはオフラインでも確認できるようにしておくと安全です。

用意しておきたい情報は次のとおりです。

  • クラウドサービス名
  • 契約名義
  • 管理者アカウント
  • 予備管理者
  • 外部ITベンダーの連絡先
  • サービス事業者のサポート窓口
  • 契約番号や顧客番号
  • 緊急アクセスアカウントの保管場所
  • バックアップコードの保管場所
  • 代表者、総務、経理、情報管理担当者の連絡先

ただし、これらは非常に重要な情報です。
保管場所、閲覧できる人、持ち出し可否、更新頻度を決める必要があります。

「誰でも見られる紙に全部書く」のではなく、
緊急時に必要な人が、必要な手順で参照できる
状態を目指しましょう。

8. MFAを強制する前に「猶予期間」と「対象者」を決める

MFAを全社で有効化する場合、いきなり全員に強制すると混乱することがあります。

特に、次のような従業員には事前案内が必要です。

  • スマートフォンを持っていない
  • 私物スマホを業務に使いたくない
  • 社用スマホが支給されていない
  • 店舗や現場で共有端末を使っている
  • 外出先からログインすることが多い
  • 認証アプリの設定に不慣れ
  • 休職中、出張中、長期休暇中

IPAの「5分でできる!情報セキュリティ自社診断」では、特にVPNや重要なシステムを利用する場合に、強固なパスワードを設定し、可能な場合は多段階認証、多要素認証、パスキーなどの認証強化機能を利用することが対策例として示されています。

実務では、次のような順番で進めると混乱を減らせます。

  1. 管理者アカウントから優先してMFAを設定する
  2. 経営者、経理、総務、人事など重要情報を扱う人を優先する
  3. 対象サービスを決める
  4. 設定手順を配布する
  5. 問い合わせ窓口を決める
  6. 設定期限を決める
  7. 期限後に未設定者へ個別対応する
  8. 最終的に強制設定を行う

MFAは「全員一斉に明日から」よりも、重要アカウントから段階的に進めた方が定着しやすくなります。

9. 退職・異動時にMFAも見直す

退職者や異動者のアカウント削除では、パスワードや権限だけでなく、MFAの認証手段も確認する必要があります。

特に注意したいのは、次のようなケースです。

  • 退職者のスマホが管理者MFAに使われている
  • 退職者の電話番号が復旧先になっている
  • 退職者の個人メールアドレスが予備メールに登録されている
  • 退職者がバックアップコードを保管している
  • 異動前の部署の管理者権限が残っている
  • 外部ベンダー担当者のアカウントが残っている
  • 共有アカウントのMFAを誰が持っているか分からない

IPAの自社診断でも、従業員の異動や退職時には速やかに設定を変更・削除することが対策例として示されています。

退職・異動時のチェックリストには、次の項目を入れましょう。

  • 業務アカウントの無効化
  • 管理者権限の削除
  • MFA認証手段の削除
  • 予備メール、電話番号、復旧先の確認
  • バックアップコード保管状況の確認
  • 認証アプリ、パスキー、セキュリティキーの確認
  • 外部サービスの個別管理画面の確認
  • 共有アカウントのパスワード・MFA見直し

退職者本人に悪意がなくても、認証手段が残っていると、後からトラブルになります。
人の変更とMFAの変更は、セットで確認しましょう。

10. MFA方式は「使えるか」だけでなく「復旧できるか」で選ぶ

MFAにはさまざまな方式があります。

  • SMS
  • メール認証
  • 認証アプリ
  • プッシュ通知
  • セキュリティキー
  • パスキー
  • 生体認証
  • バックアップコード

どれを選ぶかは、サービスの対応状況、業務内容、従業員の端末環境、管理体制によって変わります。

ここで大切なのは、単に「導入しやすいか」だけでなく、
紛失・故障・退職・災害時に復旧できるか
を考えることです。

たとえば、次のように確認します。

  • スマートフォンを紛失したらどうするか
  • 電話番号が変わったらどうするか
  • 認証アプリを移行できるか
  • 予備のセキュリティキーを登録できるか
  • 管理者がユーザーのMFAをリセットできるか
  • 予備管理者がいるか
  • バックアップコードを安全に保管できるか
  • 外部ベンダーに依存しすぎていないか

Google Workspaceの管理者向けベストプラクティスでは、管理者アカウントに複数のセキュリティキーを登録し、予備を安全な場所に保管すること、バックアップコードを事前に生成・印刷して安全な場所に保管することが示されています。

「強い認証」と「復旧できる運用」は、両方必要です。

11. 四半期に1回、MFAの点検を行う

MFA設定は、一度整えても時間とともに古くなります。

次のような変化が起きるためです。

  • スマートフォンを機種変更する
  • 従業員が入退社する
  • 管理者が異動する
  • 外部ベンダーの担当者が変わる
  • 新しいクラウドサービスを導入する
  • 使わなくなったサービスが残る
  • パスキーやセキュリティキーを追加する
  • バックアップコードの保管場所が変わる

少なくとも四半期に1回、次の項目を確認しましょう。

  • 管理者アカウントの人数
  • 管理者MFAの方式
  • 予備管理者の有無
  • 緊急アクセスアカウントの利用可否
  • バックアップコードの保管状況
  • 退職者・異動者の認証手段
  • 外部ベンダーの管理者権限
  • 新しいサービスのMFA設定状況
  • 不要な管理者権限
  • ログイン履歴や不審な通知

Microsoftの緊急アクセスアカウントに関するガイドラインでは、緊急アクセスアカウントの機能確認を少なくとも90日ごとに行うこと、サインインや監査ログを監視して不必要または不正な利用を検知することが示されています。

中小企業では、まずは「四半期に1回、管理者アカウントとMFAを確認する」だけでも、属人化を減らしやすくなります。

MFA運用チェックリスト

最後に、中小企業向けの確認項目をまとめます。

  • MFAを設定しているサービスを一覧化している
  • 管理者アカウントを1人に集中させていない
  • 日常利用アカウントと管理者アカウントを分けている
  • 管理者のMFA方式を把握している
  • 認証アプリを入れている端末を把握している
  • 機種変更時のMFA移行手順を決めている
  • スマホ紛失時の連絡先を決めている
  • バックアップコードを作成している
  • バックアップコードを安全な場所に保管している
  • バックアップコードをクラウド内だけに保存していない
  • 予備の認証手段を登録している
  • 予備管理者または緊急アクセス手段を用意している
  • 緊急アクセスアカウントを日常業務に使っていない
  • 緊急アクセスアカウントの利用記録を残すルールがある
  • 退職者・異動者のMFA認証手段を削除している
  • 外部ベンダーの管理者権限を定期的に確認している
  • MFA強制前に従業員向け手順と猶予期間を用意している
  • 四半期に1回、管理者アカウントとMFA設定を見直している

すべてを一度に完璧にする必要はありません。

まずは、管理者アカウント、認証アプリの端末、バックアップコード、機種変更時の手順の4つから確認しましょう。

まとめ

MFAは、不正ログイン対策として重要です。
しかし、MFAは導入して終わりではありません。

特に中小企業では、次の5点を確認しておくことが大切です。

  1. MFAを使っているサービスを一覧化する
  2. 管理者アカウントを1人に集中させない
  3. 認証アプリ紛失・スマホ機種変更時の手順を決める
  4. バックアップコードと緊急アクセス手段を安全に管理する
  5. 退職・異動・外部ベンダー変更時にMFAも見直す

MFAは、会社の入口を守るための対策です。
同時に、正規の担当者が締め出されないようにするための運用設計も必要です。

ライトハウスコンサルタントでは、福岡・九州の中小企業、個人事業主、小規模事業者を対象に、情報セキュリティの現状診断を行っています。同診断では、アカウント管理、管理者権限、多要素認証、退職者対応、クラウドサービス、メール、ファイル共有、バックアップ、インシデント対応体制などを確認し、今すぐ対応すべきことやITベンダーに確認すべきことを整理します。

自社のMFA設定や管理者アカウントに不安がある場合は、まずは「どのサービスに、誰が、どの認証手段でログインできるか」を確認するところから始めてみてください。

投稿タグ
, , , , , , , , , , , , ,