多要素認証（MFA）導入方法｜M365・Google設定ガイドMicrosoft 365とGoogle Workspaceへの設定手順をわかりやすく解説

パスワードだけでは守れない時代のセキュリティ対策

「IDとパスワードをしっかり管理していれば大丈夫」——そう考えている企業は少なくありません。しかし、サイバー攻撃の手口は年々巧妙化しており、パスワードだけでは企業の情報資産を守りきれない時代になっています。本記事では、Microsoft 365やGoogle Workspaceへの多要素認証（MFA）導入方法を解説します。設定手順だけでなく、導入時によくある失敗とその対策、運用を定着させるポイントまでお伝えしますので、自社のセキュリティ強化にお役立てください。

多要素認証（MFA）とは何か

多要素認証とは、ログイン時に2つ以上の認証要素を組み合わせて本人確認を行う仕組みです。認証要素は大きく3つに分類されます。1つ目は「知識情報」で、パスワードやPINコードなど本人だけが知っている情報です。2つ目は「所持情報」で、スマートフォンやセキュリティキーなど本人だけが持っているものです。3つ目は「生体情報」で、指紋や顔認証など本人固有の身体的特徴です。

従来のID・パスワード認証は「知識情報」のみに依存しているため、パスワードが漏洩すれば誰でもログインできてしまいます。MFAを導入すれば、仮にパスワードが流出しても、スマートフォンへの認証コード入力や生体認証という追加のハードルがあるため、不正アクセスを防ぐことができます。

総務省の「テレワークセキュリティガイドライン」でも、クラウドサービス利用時にはMFAの導入が推奨されています。特にMicrosoft 365やGoogle Workspaceのような業務の中核を担うサービスでは、MFAは必須のセキュリティ対策といえるでしょう。

なぜ今MFA導入が急務なのか

MFA導入の緊急性を示すデータがあります。IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2024」によると、「ランサムウェアによる被害」が4年連続で1位となっています。ランサムウェア攻撃の多くは、不正に入手した認証情報を使ってシステムに侵入することから始まります。

Microsoftの調査では、MFAを有効にすることで、アカウント侵害攻撃の99.9%以上をブロックできると報告されています。これは、攻撃者がパスワードを入手しても、追加の認証要素を突破することが極めて困難であることを示しています。

中小企業がサイバー攻撃のターゲットになるケースも増えています。大企業に比べてセキュリティ対策が手薄な中小企業を踏み台にして、取引先の大企業を攻撃する「サプライチェーン攻撃」が増加しているためです。取引先から「セキュリティ対策の強化」を求められ、MFA導入を検討し始める企業も少なくありません。

Microsoft 365でのMFA設定手順

Microsoft 365でMFAを有効化する手順を解説します。管理者権限を持つアカウントでの操作が必要です。

まず、Microsoft 365管理センターにサインインします。左側のメニューから「ユーザー」を選択し、「アクティブなユーザー」をクリックします。画面上部に表示される「多要素認証」というリンクをクリックすると、MFA設定画面が開きます。

MFAを有効にしたいユーザーを選択し、右側に表示される「クイック操作」から「多要素認証を有効にする」をクリックします。確認画面が表示されたら「multi-factor authを有効にする」ボタンを押して設定完了です。

ユーザー側では、次回ログイン時にMFAの設定を求められます。Microsoft Authenticatorアプリのインストール、電話番号の登録、認証方法の選択という流れで設定を進めます。多くの企業ではMicrosoft Authenticatorアプリでの認証を標準としていますが、SMSや電話での認証も選択できます。

全社一斉にMFAを有効化すると混乱が生じる可能性があるため、まずはIT部門や管理職から段階的に導入し、問い合わせ対応のノウハウを蓄積してから全社展開することをお勧めします。

Google WorkspaceでのMFA設定手順

Google Workspaceでは「2段階認証プロセス」という名称でMFAが提供されています。管理コンソールから設定を行います。

Google管理コンソールにログインし、「セキュリティ」メニューから「認証」を選択します。「2段階認証プロセス」をクリックし、「ユーザーが2段階認証プロセスを有効にできるようにする」にチェックを入れます。

強制的にMFAを適用したい場合は、「適用」セクションで「今すぐ適用」を選択します。「新規ユーザーの登録期間」を設定すると、新しく作成されたアカウントに対してMFA設定までの猶予期間を設けることができます。通常は1週間から2週間程度の猶予期間を設定する企業が多いです。

組織部門ごとに異なる設定を適用することも可能です。たとえば、経営層や経理部門など機密情報を扱う部署には即時適用し、他の部門には猶予期間を設けるといった運用ができます。

ユーザー側の設定は、Googleアカウントのセキュリティ設定画面から行います。「2段階認証プロセス」を選択し、電話番号の登録またはGoogle認証システムアプリの設定を行います。セキュリティキーを使用した認証も設定できますが、追加のハードウェア購入が必要となります。

MFA導入でよくある失敗と対策

MFA導入時によくある失敗として、まず「従業員への周知不足」が挙げられます。突然MFAが有効化され、ログインできなくなって業務が止まるというケースは珍しくありません。導入の1〜2週間前には全従業員に通知し、設定手順を記載したマニュアルを配布しておくことが重要です。

次に「認証アプリをインストールできない従業員への対応漏れ」があります。会社支給のスマートフォンがない、個人スマートフォンへのアプリインストールを拒否するといったケースに備え、SMS認証やハードウェアトークンなどの代替手段を用意しておく必要があります。

「スマートフォンの機種変更・紛失時の対応手順が未整備」という問題もよく発生します。機種変更時には事前に認証アプリの移行が必要ですが、これを知らずに旧端末を初期化してしまい、ログインできなくなるトラブルが起きます。緊急時のアカウント復旧手順を事前に整備し、従業員に周知しておくことが大切です。

また、「例外を認めすぎる」という失敗もあります。「あの部署は業務が特殊だから」「あの役員はITが苦手だから」と例外を増やしていくと、セキュリティホールが生まれます。例外を設ける場合は、別の補完的なセキュリティ対策を講じることが必要です。

MFAを定着させる運用のポイント

MFAを導入して終わりではなく、継続的に運用していくことが重要です。定着させるためのポイントをいくつかお伝えします。

経営層から「なぜMFAが必要なのか」を明確に発信することが効果的です。セキュリティ対策は面倒なものと捉えられがちですが、「会社と従業員を守るための施策」として位置づけ、経営方針として示すことで従業員の理解が得られやすくなります。

ヘルプデスク体制の整備も欠かせません。導入直後は「ログインできない」「認証コードが届かない」といった問い合わせが集中します。IT部門だけでは対応しきれない場合は、各部署に「セキュリティサポーター」を配置し、一次対応を担ってもらう体制も有効です。

定期的な設定状況の監査も重要です。MFAが有効になっていないアカウントがないか、不審なログイン試行がないかを定期的にチェックします。Microsoft 365であればMicrosoft Entra管理センター、Google Workspaceであれば管理コンソールのレポート機能で確認できます。

退職者のアカウント処理も忘れてはなりません。退職時にはアカウントの無効化だけでなく、そのアカウントに紐づいていた認証デバイスの情報も削除する必要があります。

自社のセキュリティ強化に向けて今すぐできること

MFA導入は、自社のセキュリティを強化するための第一歩です。以下のステップで検討を進めてみてください。

まず、現状把握として、自社で利用しているクラウドサービスの一覧を作成し、MFAの設定状況を確認します。Microsoft 365やGoogle Workspace以外にも、SalesforceやSlack、会計ソフトなど、業務で利用しているサービスをリストアップしましょう。

次に、優先順位の決定です。すべてのサービスに一度にMFAを導入するのは現実的ではありません。機密情報を扱うサービス、外部からアクセス可能なサービスから優先的に対応します。

導入計画の策定では、誰が、いつまでに、どの範囲で導入するかを明確にします。パイロット導入する部署、全社展開のスケジュール、従業員への周知方法、サポート体制を具体的に決めていきます。

運用ルールの整備として、機種変更時の手順、紛失時の対応フロー、例外申請の基準などを文書化しておきます。

最後に、定期的な見直しを行います。MFAの設定状況、ログイン失敗の傾向、新たな脅威への対応など、四半期に一度は見直しの機会を設けましょう。

まとめ

多要素認証（MFA）は、パスワード漏洩による不正アクセスを防ぐ効果的なセキュリティ対策です。Microsoft 365やGoogle Workspaceでは管理画面から比較的容易に設定できますが、従業員への周知や例外対応、運用ルールの整備など、技術面以外の準備も重要です。サイバー攻撃が巧妙化する中、MFAの導入は中小企業にとっても避けて通れない課題となっています。まずは自社の現状を把握し、計画的にMFA導入を進めていきましょう。

MFA導入をはじめとするセキュリティ対策でお悩みでしたら、GXOにご相談ください。180社以上の支援実績をもとに、御社の状況に合わせた最適なセキュリティ対策をご提案いたします。

お問い合わせはこちら：https://gxo.co.jp/contact-form