総務省「不正アクセス行為の発生状況」(2025年3月公表)によると、不正アクセスの原因の約80%は「ID・パスワードの窃取・推測」であった。パスワードだけの認証では、もはや企業の情報資産を守ることはできない。
「MFAを導入したいが、方式が多すぎて選べない」「SaaSで十分なのか、自社開発が必要なのか判断がつかない」「稟議を通すための費用感がわからない」。こうした課題を抱える情シス担当者や経営層に向けて、本記事ではMFA(多要素認証)の導入費用を方式別・導入形態別に整理し、自社に最適な認証方式を選定するための判断基準を提供する。
目次
- MFA(多要素認証)とは何か
- なぜ今MFAの導入が急務なのか
- TOTP・FIDO2・SMS認証の3方式比較
- 導入費用の相場(SaaS型 vs カスタム開発型)
- 費用の内訳と見積もりの読み方
- 企業規模別の推奨構成
- 導入事例(匿名2社)
- 導入の進め方(5ステップ)
- よくある質問(FAQ)
- 付録:稟議書に使える費用比較表
MFA(多要素認証)とは何か
MFA(Multi-Factor Authentication:多要素認証)とは、ユーザーの本人確認に2つ以上の「認証要素」を組み合わせる仕組みである。認証要素は以下の3種類に分類される。
| 要素の種類 | 具体例 |
|---|---|
| 知識情報(Something you know) | パスワード、PINコード、秘密の質問 |
| 所持情報(Something you have) | スマートフォン、ハードウェアトークン、ICカード |
| 生体情報(Something you are) | 指紋、顔認証、虹彩認証 |
パスワード(知識情報)にスマートフォンのワンタイムパスワード(所持情報)を組み合わせる場合が「二要素認証(2FA)」であり、MFAの最も一般的な形態だ。なお、パスワードとセキュリティ質問の組み合わせは、どちらも知識情報であるため「多要素」にはならない点に注意が必要である。
なぜ今MFAの導入が急務なのか
法規制と業界ガイドラインの動向
2026年現在、MFA導入を事実上求める規制・ガイドラインが急速に整備されている。
- 改正個人情報保護法(2024年施行):安全管理措置の具体的内容としてアクセス制御の強化が明記。MFAは実質的な標準対策に
- NIST SP 800-63B(デジタルアイデンティティガイドライン):AAL2(Authenticator Assurance Level 2)以上では多要素認証が必須
- PCI DSS v4.0(2025年4月完全移行):カード会員データへのアクセスにMFAを義務化
- サイバーセキュリティ経営ガイドライン v3.0:経営者が取り組むべき「重点10項目」の中で認証強化を明記
パスワード認証の限界
パスワード単体の認証が危険な理由は明確だ。
- フィッシング攻撃の高度化:AIを活用した精巧なフィッシングメールが急増しており、セキュリティ意識の高い従業員でも騙される事例が報告されている
- パスワードリスト攻撃:過去のデータ漏洩で流出したID・パスワードの組み合わせを使い回す攻撃。複数サービスで同じパスワードを使っている場合、一つの漏洩が連鎖的な被害につながる
- ブルートフォース攻撃:計算能力の向上により、8文字以下のパスワードは数時間で突破される
Microsoftの調査(2025年)によれば、MFAを有効にするだけでアカウント侵害の99.9%を防止できるとされている。費用対効果の面で、MFAは最も投資効率の高いセキュリティ対策の一つである。
TOTP・FIDO2・SMS認証の3方式比較
企業がMFAを導入する際に検討すべき主要な3方式を比較する。
SMS認証
ログイン時にSMSで6桁のワンタイムコードを送信する方式。
- 仕組み:サーバーが生成したコードをSMSで携帯電話に送信。ユーザーはコードを入力して認証
- メリット:追加アプリ不要、高齢者やIT非習熟者にも馴染みやすい
- デメリット:SIMスワップ攻撃やSS7プロトコルの脆弱性による傍受リスク。SMS送信ごとに通信コストが発生。NISTは「制限付き認証器(restricted authenticator)」に分類しており、積極的な推奨はしていない
- 安全性:3方式の中で最も低い
TOTP(Time-based One-Time Password)
Google Authenticator、Microsoft Authenticatorなどの認証アプリが生成する時間ベースのワンタイムパスワード。
- 仕組み:サーバーとアプリが同じシークレットキーを共有。現在時刻とシークレットキーから30秒ごとに6桁のコードを生成
- メリット:オフラインでも利用可能。SMS送信コストが不要。認証アプリは無料
- デメリット:初回設定時にQRコードスキャンが必要(ITリテラシーの低い従業員にはサポートが必要)。シークレットキーが漏洩した場合のリスク。フィッシングサイトへのコード入力を完全には防げない
- 安全性:SMS認証より高いが、フィッシング耐性は完全ではない
FIDO2(WebAuthn + CTAP2)
パスワードレス認証の国際標準規格。ハードウェアセキュリティキー(YubiKeyなど)やデバイス内蔵の生体認証を利用する。
- 仕組み:公開鍵暗号方式に基づく。秘密鍵はデバイス内に保持され、サーバーには公開鍵のみが保管される。認証時はデバイス上での生体認証またはPIN入力で秘密鍵を使用
- メリット:フィッシング完全耐性(認証情報がオリジン(ドメイン)に紐づくため、偽サイトでは認証が成立しない)。秘密鍵がネットワーク上を流れないため、中間者攻撃にも耐性がある。パスワードレス運用が可能
- デメリット:ハードウェアキーの場合は1本あたり5,000〜10,000円の物理コスト。紛失・破損時のリカバリー手順の整備が必要。対応サービスの確認が必要
- 安全性:3方式の中で最も高い
3方式比較一覧表
| 比較項目 | SMS認証 | TOTP | FIDO2 |
|---|---|---|---|
| 安全性 | △ 低〜中 | ○ 中〜高 | ◎ 最高 |
| フィッシング耐性 | × なし | △ 限定的 | ◎ 完全 |
| 導入の容易さ | ◎ 最も簡単 | ○ アプリ導入が必要 | △ デバイス配布が必要 |
| ユーザー体験 | ○ 馴染みがある | ○ 慣れれば快適 | ◎ 生体認証で最速 |
| 運用コスト | △ SMS送信料が継続発生 | ◎ ほぼゼロ | ○ キー紛失時の交換費用 |
| オフライン利用 | × 電波が必要 | ◎ 可能 | ◎ 可能 |
| NISTの推奨度 | △ 制限付き | ○ 推奨 | ◎ 最推奨 |
導入費用の相場(SaaS型 vs カスタム開発型)
MFAの導入費用は、SaaS型の認証サービスを利用するか、自社システムにカスタム開発で組み込むかによって大きく異なる。
SaaS型(IDaaS:Identity as a Service)
既存の認証基盤サービスにMFA機能を追加する方式。Okta、Microsoft Entra ID(旧Azure AD)、Auth0、OneLogin、Duo Securityなどが代表的なサービスである。
| 費用項目 | 金額の目安 |
|---|---|
| 初期設定費用 | 0〜50万円(SIer支援の有無による) |
| 月額ライセンス費用 | 月額2〜10万円(ユーザー数・プランによる) |
| ユーザー単価 | 300〜1,500円/人/月 |
| SSO(シングルサインオン)連携設定 | 10万〜50万円/アプリ |
| 導入支援・設定代行 | 30万〜100万円 |
月額費用の具体例
| サービス名 | 月額ユーザー単価(税別) | MFA対応プラン | 特徴 |
|---|---|---|---|
| Microsoft Entra ID P1 | 750円/人 | Business Premium以上 | Microsoft 365との統合が容易 |
| Okta | 400〜900円/人 | MFA付きプラン | 7,000以上のアプリとSSO連携 |
| Duo Security(Cisco) | 400〜600円/人 | Duo MFA以上 | プッシュ通知型で操作が簡単 |
| Auth0(Okta) | 300〜800円/人 | Professional以上 | 開発者向けAPIが充実 |
| OneLogin | 500〜800円/人 | Advanced以上 | ディレクトリ統合が強み |
SaaS型の総費用シミュレーション(従業員100名の場合)
- 月額ライセンス:500円/人 × 100名 = 月額5万円
- 初期設定・導入支援:50万円
- SSO連携(3アプリ):60万円
- 初年度総額:約170万円
- 2年目以降:約60万円/年
カスタム開発型
自社の既存システム(業務アプリケーション、社内ポータル、顧客向けWebサービスなど)にMFA機能を直接実装する方式。
| 費用項目 | 金額の目安 |
|---|---|
| 要件定義・設計 | 50万〜150万円 |
| TOTP認証の実装 | 80万〜200万円 |
| FIDO2認証の実装 | 150万〜300万円 |
| SMS認証の実装 | 50万〜150万円 |
| バックアップ認証・リカバリー機能 | 30万〜80万円 |
| テスト・セキュリティ診断 | 50万〜100万円 |
| 運用マニュアル作成 | 20万〜50万円 |
| 合計 | 200万〜800万円 |
カスタム開発の費用変動要因
- 対象システム数:1システムなら200万〜、複数システム横断なら500万〜
- 認証方式の組み合わせ:TOTP単体なら低コスト、FIDO2+TOTPの併用は高コスト
- 既存システムの改修範囲:認証基盤が整理されていれば低コスト。レガシーシステムの場合は認証基盤そのものの刷新が必要になり、費用が膨らむ
- セキュリティ要件:金融・医療など高セキュリティ要件の業種では、第三者によるセキュリティ診断やペネトレーションテストの費用が追加される
SaaS型 vs カスタム開発型の判断基準
| 判断軸 | SaaS型が適する | カスタム開発が適する |
|---|---|---|
| 対象システム | SaaS・クラウドサービス中心 | 自社開発の業務システム・顧客向けWebサービス |
| 導入スピード | 早い(1〜3か月) | 遅い(3〜6か月) |
| 初期費用 | 低い | 高い |
| 長期運用コスト(5年) | ライセンス費用が累積 | 保守費用のみ |
| カスタマイズ性 | 限定的 | 自由 |
| 社内にIT人材がいるか | いなくても運用可能 | 必要 |
費用の内訳と見積もりの読み方
MFA導入の見積もりを取得した際に確認すべきポイントを整理する。
見落としがちな費用項目
- ハードウェアトークン費用:FIDO2対応のセキュリティキー(YubiKey等)を全従業員に配布する場合、1本5,000〜10,000円 × 人数。100名なら50万〜100万円。紛失・破損に備え、予備(全体の10〜15%)の確保も必要
- SMS送信料:SMS認証を選択した場合、1通あたり3〜15円の送信料が継続的に発生する。100名が月20回ログインする場合、月額6,000〜30,000円
- ユーザーサポート費用:導入初期にはパスワードリセット、認証アプリの再設定、デバイス紛失時の対応など、問い合わせが急増する。ヘルプデスク体制の一時的な強化コストを見込んでおく必要がある
- 教育研修費用:全従業員向けの操作説明会、マニュアル作成、eラーニングコンテンツの制作。外部講師への委託なら1回10万〜30万円
- 既存システムとの連携費用:SAML/OIDC非対応のレガシーシステムがある場合、アダプタの開発や認証プロキシの構築が必要になる
見積もり比較時のチェックリスト
- ライセンス体系は「ユーザー数課金」か「デバイス数課金」か
- 最低契約期間と解約条件
- 年間契約と月契約の価格差
- SLA(サービスレベルアグリーメント)の可用性保証
- データの保管場所(国内リージョンか海外か)
- サポートの対応時間と日本語対応の有無
企業規模別の推奨構成
小規模企業(従業員30名以下)
- 推奨方式:TOTP(Google Authenticator / Microsoft Authenticator)
- 導入形態:SaaS型(Microsoft Entra ID P1 または Duo Security)
- 年間費用目安:30万〜60万円
- 理由:追加ハードウェア不要、認証アプリは無料、運用負荷が低い。Microsoft 365を利用中であればEntra IDのMFA機能を追加ライセンスなしで一部利用可能
中小企業(従業員100〜300名)
- 推奨方式:TOTP + FIDO2(管理者・特権アカウント向け)
- 導入形態:SaaS型(Okta または Microsoft Entra ID P2)
- 年間費用目安:80万〜250万円
- 理由:一般従業員はTOTPで十分。システム管理者やCxOなど、高権限アカウントにはFIDO2セキュリティキーを配布してフィッシング耐性を確保する。条件付きアクセスポリシー(リスクベース認証)を併用すれば、利便性とセキュリティを両立できる
中堅〜大企業(従業員500名以上)
- 推奨方式:FIDO2(全社展開)+ TOTP(フォールバック)
- 導入形態:SaaS型 + カスタム開発(自社システム向け)
- 年間費用目安:300万〜1,000万円以上
- 理由:攻撃対象となるリスクが高く、フィッシング完全耐性のあるFIDO2を全社標準とすべき。既存の社内システムへの組み込みにはカスタム開発が必要になるケースが多い。ゼロトラストアーキテクチャの一環として認証基盤を整備する
導入事例(匿名2社)
事例1:製造業A社(従業員150名)── SaaS型TOTP導入
導入前の課題
- VPN経由での社内システムアクセスにパスワード認証のみを使用
- 2025年にフィッシングメール経由でVPN認証情報が漏洩し、社内ファイルサーバーへの不正アクセスが発生
- 取引先から認証強化を求められた
導入内容
- Microsoft Entra ID P1のMFA機能(TOTP方式)を導入
- Microsoft 365、VPN、社内ポータルにSSO + MFAを適用
- 全従業員にMicrosoft Authenticatorを設定
費用
| 項目 | 金額 |
|---|---|
| Microsoft Entra ID P1ライセンス(年額) | 135万円(750円 × 150名 × 12か月) |
| 導入支援(SIer) | 80万円 |
| 従業員向け研修(2回) | 20万円 |
| 初年度合計 | 235万円 |
| 2年目以降 | 135万円/年 |
導入後の効果
- 不正ログイン試行の検知件数:月平均200件 → 認証突破はゼロ
- パスワードリセット依頼:月30件 → 15件に減少(認証アプリによるセルフサービスリカバリー)
- 取引先のセキュリティ監査を合格
事例2:SaaS企業B社(従業員80名)── カスタム開発FIDO2導入
導入前の課題
- 自社開発のBtoB SaaSプロダクトにMFA機能がなく、顧客企業から要望が多数
- 競合サービスがMFA対応を進めており、営業上の差別化が必要
- 社内システムのセキュリティも同時に強化したい
導入内容
- 自社SaaSプロダクトにFIDO2 + TOTP認証をカスタム実装(WebAuthn API利用)
- 社内システムにはOktaを導入してSSO + MFAを適用
費用
| 項目 | 金額 |
|---|---|
| カスタム開発(FIDO2 + TOTP実装) | 450万円 |
| セキュリティ診断(第三者) | 80万円 |
| Oktaライセンス(年額) | 58万円(600円 × 80名 × 12か月) |
| Okta導入支援 | 40万円 |
| 初年度合計 | 628万円 |
| 2年目以降 | 58万円/年(Oktaライセンス) + 保守30万円/年 |
導入後の効果
- 顧客企業のセキュリティ要件を充足し、大手企業3社との新規契約を獲得
- 社内システムへの不正アクセスリスクを大幅に低減
- 「セキュリティが強い」というブランドイメージが営業上の武器に
導入の進め方(5ステップ)
ステップ1:現状把握と要件整理(2週間)
- 自社で利用しているシステム・サービスの棚卸し
- 各システムのMFA対応状況の確認(SAML/OIDC対応可否)
- 保護すべき情報資産の重要度分類
- 法規制・業界ガイドラインの要件確認
ステップ2:認証方式と導入形態の選定(2週間)
- TOTP / FIDO2 / SMS認証の方式選定(本記事の比較表を参照)
- SaaS型 / カスタム開発型の判断
- 予算の概算と稟議書の作成
ステップ3:製品選定と概念実証(1〜2か月)
- SaaS型の場合:候補2〜3社からトライアル版を取得し、自社環境での動作検証
- カスタム開発の場合:開発会社の選定と要件定義
- パイロット部門(IT部門など)での先行導入
ステップ4:全社展開(1〜2か月)
- 部門ごとの段階的ロールアウト(一斉導入は避ける)
- 従業員向け操作研修の実施
- ヘルプデスク体制の強化
- リカバリー手順(デバイス紛失・故障時)の周知
ステップ5:運用定着と継続改善(継続)
- ログイン成功率・失敗率のモニタリング
- ユーザーからのフィードバック収集
- 認証ポリシーの定期見直し(年1回以上)
- 新規導入システムへのMFA適用ルールの策定
よくある質問(FAQ)
Q1. MFA(多要素認証)と2FA(二要素認証)の違いは何ですか?
2FAは「2つの要素」を使う認証、MFAは「2つ以上の要素」を使う認証の総称である。2FAはMFAの一形態だ。実務上はほぼ同義で使われることが多い。
Q2. SMS認証はもう使うべきではないのですか?
NISTは「制限付き認証器」に分類しており、積極的な推奨はしていない。しかし、パスワードのみの認証と比べれば安全性は大幅に向上する。TOTPやFIDO2への移行が望ましいが、「まずSMS認証を入れて、段階的にTOTPに移行する」というアプローチも現実的な選択肢である。
Q3. FIDO2のセキュリティキーを全従業員に配る必要がありますか?
必ずしも全員に必要ではない。最もコスト効率の良い構成は「一般従業員はTOTP、管理者・特権アカウントはFIDO2」というハイブリッド方式である。リスクの高いアカウントから優先的にFIDO2を適用するのが合理的だ。
Q4. 従業員がスマートフォンを持っていない場合はどうすればよいですか?
ハードウェアトークン(TOTP対応のディスプレイ付きトークン)を支給する方法がある。1台3,000〜8,000円程度。また、FIDO2対応のセキュリティキー(USB接続)であればスマートフォンは不要だ。
Q5. MFA導入で従業員の業務効率は下がりませんか?
認証に追加で10〜30秒かかるのは事実である。しかし、SSO(シングルサインオン)と組み合わせれば、一度の認証で複数のシステムにアクセスできるため、トータルのログイン回数は減少する。導入初期に抵抗感がある場合は、パイロット部門で先行導入し、「思ったほど面倒ではない」という実感を社内に広めることが有効である。
Q6. 既存のActive Directoryとの連携は可能ですか?
主要なIDaaS製品(Microsoft Entra ID、Okta、OneLoginなど)はいずれもActive Directoryとのディレクトリ同期に対応している。オンプレミスのADとクラウドのIDaaSをハイブリッドで運用することが一般的だ。