多要素認証(MFA)ガイド:セキュリティを高めるMFAの種類と設定方法

Security
2025.10.26

突然ですが、Webサイトやサービスにログインする時、「パスワード」だけを使っていませんか?

もしそうなら、今すぐこの記事を読んでください。パスワードだけのセキュリティは、もはや「鍵のかかっていない玄関」と同じくらい危険な状態です。

近年、不正アクセスやアカウント乗っ取りのニュースが後を絶ちません。その多くは、単純なパスワードが破られたり、他のサイトから流出したパスワードが使い回されたりしたことが原因です。

そこで重要になるのが、今回解説する「多要素認証(MFA)」です。

この記事では、MFAがなぜ必要なのか、どのような種類があるのか、そして今すぐ設定できる具体的な方法まで、プロの視点から徹底的に解説します。

この記事の内容
  • 多要素認証(MFA)の概要を解説
  • 多要素認証の具体的な種類を解説

1. そもそもMFA(多要素認証)とは?

MFA (Multi-Factor Authentication) とは、ログイン時に「2つ以上の異なる要素」を組み合わせて本人確認を行う認証方法のことです。「2段階認証(2-Step Verification)」と呼ばれることもありますが、MFAはそれらを包括する、より広い概念です。

認証に使われる「要素」は、大きく以下の3種類に分類されます。

  1. 知識情報 (Knowledge): 本人だけが知っている情報
    • 例:パスワード、PINコード、秘密の質問
  2. 所有情報 (Possession): 本人だけが持っているモノ
    • 例:スマートフォン、物理セキュリティキー、ICカード
  3. 生体情報 (Inherence): 本人固有の身体的特徴
    • 例:指紋、顔、虹彩、静脈

MFAは、これら3種類のうち2種類以上を組み合わせて認証を行います。

例えば、「パスワード(知識情報)」でログインした後、さらに「スマートフォンに届く確認コード(所有情報)」の入力を求めるのが、MFAの典型的な例です。

万が一パスワードが流出しても、攻撃者はあなたのスマートフォンを持っていなければログインできないため、セキュリティが飛躍的に向上するのです。

2. 主なMFAの種類とメリット・デメリット

MFAには様々な方式があり、それぞれ強みと弱みがあります。代表的なものを7つ見ていきましょう。

(a) SMS認証(電話番号)

最も普及している方法の一つ。ログイン時に、登録したスマートフォンの電話番号宛にSMS(ショートメッセージ)で6桁程度の確認コードが送られてきます。

  • 必要なもの:
    • ハードウェア:スマートフォン、またはSMSが受信できる携帯電話
    • サービス:携帯電話キャリアとの契約(SMSが受信できること)
  • 認証時の手間:
    1. ログイン試行
    2. スマートフォンでSMSアプリを開く
    3. 届いたコードを確認し、Webサイトに入力する
    • 手間は中程度。アプリを開くワンクッションがあります。
  • メリット:
    • 特別なアプリが不要で、ほとんどの人が持っているスマートフォンで完結する。
    • 設定が比較的簡単。
  • デメリット:
    • 携帯電話の電波が届かないと使えない。
    • SIMスワップ詐欺(電話番号を乗っ取られる攻撃)やSMSを傍受されるリスクがあるため、セキュリティ強度は低めです。可能であれば認証アプリや物理キーなど、より安全な方式を検討しましょう。
  • 標準化と相互運用性:
    • 標準技術です。 SMSはGSM(移動体通信の国際規格)で定められた標準機能です。
    • 特定のサービス提供者(GoogleやAppleなど)や、特定の携帯キャリアに依存することなく、SMSが受信できる電話番号さえあれば世界中で利用できます。

(b) 認証アプリ(TOTP)

「Google Authenticator」や「Microsoft Authenticator」などの専用アプリを使います。アプリが30秒ごとに新しい6桁の確認コード(ワンタイムパスワード)を自動生成します。

  • 必要なもの:
    • ハードウェア:スマートフォン(またはPC)
    • ソフトウェア:認証アプリ(Google Authenticator, Microsoft Authenticatorなど)
  • 認証時の手間:
    1. ログイン試行
    2. スマートフォンで認証アプリを開く
    3. 表示されているコードを確認し、Webサイトに入力する
    • 手間は中程度。SMSと似ていますが、電波は不要です。
  • メリット:
    • セキュリティ強度が高い。 オフラインで動作するため、SIMスワップ詐欺の影響を受けません。
    • 30秒でコードが変わるため、コードが漏洩してもすぐに無効になる。
  • デメリット:
    • 初期設定(QRコードスキャン)が少し手間。
    • スマートフォンを紛失・機種変更する際の移行作業が必要。(※3.5章参照)
  • 標準化と相互運用性:
    • 標準技術です。 この方式は「TOTP (Time-based One-Time Password)」と呼ばれ、RFC 6238という技術文書で標準化されています。
    • 「Google Authenticator」や「Microsoft Authenticator」という名前ですが、技術自体はオープンです。そのため、Authy, 1Password, Bitwardenなど、TOTP規格に対応したサードパーティ製アプリでも全く問題なく利用可能です。特定の企業にロックインされることはありません。

(c) 物理セキュリティキー(FIDO / FIDO2)

USBメモリのような形状の専用キー(YubiKey, Google Titanキーなど)をPCに挿し、キー本体のボタンにタッチして認証します。これはFIDO2規格を使った認証方法の「代表例」です。

ここで言うFIDO(ファイド)とは、安全な認証技術を推進する業界団体(FIDO Alliance)の名前です。この規格には新旧があり、違いを理解することが重要です。

  • U2F (Universal 2nd Factor):FIDOの初期規格で、主に「2要素目」として使用されました。つまり、「パスワード+物理キー」という形で使われることが前提でした。
  • FIDO2(ファイド・ツー):現在の主流である新しい規格です。FIDO2は、ブラウザで認証を行うための「WebAuthn」と、キーとデバイスが通信するための「CTAP」という技術で構成されています。FIDO2は、こうした物理キーだけでなく、スマートフォン本体やPCの生体認証機能((e)や(f)のパスキーで利用)なども含めて「認証器」として利用するための、より広範な標準規格です。
  • U2FとFIDO2の違いは?簡単に言えば、U2Fは「2要素目」としてのみ機能しましたが、FIDO2はパスワードレス(パスワード不要のログイン)に対応できる設計をしています。後に解説する「(f) パスキー」も、このFIDO2の規格に則っています。
  • 必要なもの:
    • ハードウェア:物理セキュリティキー本体(USB-A, USB-C, NFCなど)
    • ソフトウェア:キーに対応したブラウザ(Chrome, Firefox, Edgeなど)
    • サービス:利用するサービス側がFIDO (U2FまたはFIDO2)に対応していること。
  • 認証時の手間:
    1. ログイン試行
    2. キーをPC(またはスマホ)に接続するよう求められる
    3. キーを挿入し、キー本体の物理ボタン(または指紋センサー)に触れる
    • 手間は少なめ。キーを挿して触るだけです。
  • メリット:
    • 最も安全なMFA方式の一つ。 偽サイト(フィッシングサイト)では動作しない仕組みになっており、非常に強力。
    • 認証が速い(コード入力が不要)。
  • デメリット:
    • キーを購入するコストがかかる(数千円程度)。
    • キー自体を持ち運ぶ必要があり、紛失のリスクがある。
  • 標準化と相互運用性:
    • 標準技術です。 FIDO Allianceという業界団体がU2FやFIDO2(WebAuthn)といった規格を策定・公開しています。
    • YubiKey, Google Titanキー, Feitianなど、異なるメーカーが製造したキーであっても、FIDO規格に準拠していれば、どのFIDO対応サービスでも利用可能です。高い相互運用性を持ち、特定の企業に依存しません。

(d) プッシュ通知認証

GoogleアカウントやMicrosoftアカウントなどで利用できる方式です。ログインを試みると、信頼できるデバイスとして登録されているスマートフォンに「ログインしようとしていますか?」という通知が届き、「はい」をタップするだけで認証が完了します。

  • 必要なもの:
    • ハードウェア:スマートフォン
    • ソフトウェア:各サービス専用のアプリ(Gmailアプリ, Microsoft Authenticatorなど)
    • サービス:インターネット接続(Wi-Fiまたはモバイルデータ通信)
  • 認証時の手間:
    1. ログイン試行
    2. スマートフォンに通知が届く
    3. 通知を開き、「はい、私です」といったボタンをタップする
    • 手間は非常に少ない。最も簡単な方法の一つです。
  • メリット:
    • 非常に簡単で速い。 コード入力が不要で、タップするだけで完了します。
    • ログイン試行があった場所やデバイスの情報が表示されるため、不正アクセスに気づきやすい。
  • デメリット:
    • スマートフォンがインターネットに接続されている必要がある。
    • 内容をよく確認せず「はい」を押してしまう「通知疲れ」による誤承認のリスク。
  • 標準化と相互運用性:
    • 標準技術ではありません。 これは、各サービス提供者(ベンダー)が独自に実装している機能です。
    • Googleアカウントのプッシュ通知はGoogleのアプリ(GmailアプリやAuthenticator)でしか受信できず、Microsoftアカウントのプッシュ通知はMicrosoft Authenticatorアプリでしか受信できません。相互運用性はなく、完全に特定の企業サービスに依存(ロックイン)します。

(e) 生体認証

スマートフォンのロック解除でおなじみの指紋認証や顔認証(Windows Hello, Face ID, Touch IDなど)を、MFA(多要素認証)の2要素目として使用するケースです。つまり、「パスワード+生体認証」という形で、従来の認証を強化する目的で使われます。

  • 必要なもの:
    • ハードウェア:生体認証センサー(指紋リーダー、顔認証カメラ)を搭載したデバイス
    • ソフトウェア:OSレベルの生体認証機能(Windows Hello, Face ID, Touch IDなど)がセットアップされていること。
  • 認証時の手間:
    1. パスワードを入力してログイン試行した後、2要素目として生体認証を求められる。
    2. センサーに指を置く、またはカメラに顔を向ける。
    3. 即座に認証が完了する。
  • メリット:
    • 認証プロセスがほぼ一瞬で完了し、非常に速い。
    • (2要素目として使う場合)パスワード入力後に求められる追加認証が、指を当てるだけなどで完了する。
    • 「あなた自身」を使うため、忘れることがない。
  • デメリット:
    • デバイス(PCやスマホ)が生体認証に対応している必要がある。
    • 認証精度(手荒れやマスク着用時、手荒れ時など)に左右されることがある。
  • 標準化と相互運用性:
    • 技術自体はOS(プラットフォーム)に依存します(例:AppleのFace ID、MicrosoftのWindows Hello)。
    • ただし、Webサービスがこれらの生体認証を利用するための「呼び出し方」は、前述のFIDO2/WebAuthnによって標準化されています。
    • そのため、Webサービス側は「FIDO2で認証」と要求するだけで、デバイス側がWindows Helloを使うか、Face IDを使うかを判断してくれます。この点で、Webサービスとデバイス間の相互運用性は確保されています。

(f) パスキー(Passkeys)

これは、パスワード自体を置き換えることを目指す、次世代の認証方式です。前述のFIDO2(ファイド・ツー)標準に基づき、パスワードの代わりに、指紋や顔などの生体認証、またはデバイスのPIN(暗証番号)を使ってログインします。

(e)との最大の違いは、パスキーがMFAの「2要素目」ではなく、パスワード自体を置き換える(パスワードレス)仕組みである点です。パスキー単独で「所有(PCやスマホ) + 知識情報(PIN)/生体情報(指紋や顔)」などの異種要素を含んでおり、多要素認証 (MFA) の分類にも入ると考えられます。ログイン時には、デバイスに安全に保管された「鍵」を呼び出すために生体認証などが使われます。

  • 必要なもの:
    • ハードウェア:生体認証センサー(またはPIN入力)が可能なデバイス
    • ソフトウェア:対応OS(Windows, macOS, iOS, Androidの最新版)
    • サービス:パスキーを同期するためのクラウドサービス(Googleアカウント, Apple ID, パスワードマネージャーなど)
  • 認証時の手間:
    1. ログイン画面でユーザー名を入力(または選択)
    2. デバイス側で生体認証(またはPIN入力)が求められる
    3. 指を置く、または顔を向けるだけでログインが完了する
    • 手間は最少。パスワード入力が一切不要になります。
  • メリット:
    • パスワードが不要になる。 パスワードの記憶、使い回し、流出といった根本的な問題がすべて解決されます。
    • 最強レベルのセキュリティ。 FIDO2ベースであり、フィッシング耐性が非常に高い。
    • 認証が非常に簡単で速い。
  • デメリット:
    • まだ普及の途上。 すべてのサービスがパスキーに完全対応しているわけではありません。
    • デバイスへの依存。同期しているすべてのデバイスを失うと、回復が複雑になる可能性があります。(そのための回復手段も用意されつつあります)
  • 標準化と相互運用性:
    • 技術自体は標準(FIDO2ベース)です。 認証の仕組みはFIDO Allianceによって標準化されており、特定の企業に独占されてはいません。
    • ただし、パスキーをデバイス間で「同期」する仕組みについては、現状、Apple (iCloudキーチェーン), Google (Googleパスワードマネージャー), Microsoft (Windows Hello) といったプラットフォーム提供元の機能に依存する側面が強いです。
    • 1Passwordなどのサードパーティ製パスワードマネージャーもパスキー同期に対応しており、これらを利用することで特定のプラットフォームへのロックインを避ける選択肢も存在します。

参考までに、Windowsのパスキーの保管場所をご紹介します。
「設定>アカウント>パスキー 」でローカルPCに保存したパスキーが参照できます。ここに保存してあるのは、PINではなく各サイトの「秘密鍵」です。なお、「秘密鍵」に対応する「公開鍵」は、外部の各サイトに保管されています。

(g) Eメール認証(確認コード)

パスワードリセット時などによく使われる方式ですが、MFA(2段階認証)として利用されることもあります。ログイン時に、登録したEメールアドレス宛に確認コードが送信されます。

  • 必要なもの:
    • ハードウェア:メールが受信できるデバイス(PC、スマホなど)
    • サービス:登録済みのEメールアカウント
  • 認証時の手間:
    1. ログイン試行
    2. メールソフト(またはWebメール)を開く
    3. 受信したメールからコードを確認し、Webサイトに入力する
    • 手間は多め。メールを確認しにいく必要があります。
  • メリット:
    • (SMSと異なり)携帯電話の電波がなくても、Wi-Fi環境さえあれば受信できる。
    • 設定が簡単。
  • デメリット:
    • セキュリティ強度は低い。 もしメールアカウント自体が(パスワードの使い回しなどで)乗っ取られていた場合、攻撃者はパスワードと確認コードの両方を簡単に入手できてしまいます。
  • MFAと呼べるか?
    • 技術的には「知識情報(メールのパスワード)」と「知識情報(サービスのパスワード)」の組み合わせになりがちで、厳密なMFAの定義(異なる要素の組み合わせ)から外れる、という見方もあります。
    • しかし、サービスのアカウントとメールのアカウントが「分離されている」ことを前提に、実質的な2段階認証(2SV)として広く利用されています。
    • 結論: 何もしないよりは安全ですが、認証アプリや物理キー、パスキーと比べるとセキュリティ強度は大きく劣るため、他の方法が選べるならそちらを優先すべきです。

おさらい:用語集

この記事の様々な箇所で「FIDO」や「FIDO2」という言葉が登場しましたので、用語で整理しておきます。

FIDO関連の用語を理解する鍵は、「団体名」「技術規格の名前」「道具の名前」を区別することです。

以下に、主要な用語とその関係性を1つの表にまとめます。

用語正体解説と具体例
FIDO Alliance団体名(組織)Google, Apple, Microsoftなどが加盟し、パスワードレス認証の標準規格を策定する業界団体。
FIDO (1.0)古い技術規格(第1世代)Fast Identity Online”の略。パスワードを補強する対応方式である以下の2つの規格の総称。
・U2F
・UAF(Universal Authentication Framework: サービスごとに生体認証でログインできる仕組みだが普及せず。)
U2F古い技術規格(第1世代)Universal 2nd Factor”の略。パスワード入力後に、追加で物理キーを挿して触る「2要素目」専用の規格。FIDOの認証方式。
FIDO2新しい技術規格(第2世代)GoogleとYubicoがU2Fを発展させ、パスワードレスにも対応した現在の主流規格。以下の2つの技術の総称。
WebAuthn: ブラウザやサービスが認証を「会話」するための言語(API)。
CTAP: PC/スマホが認証器と「通信」するための言語(プロトコル)。

次の認証はFIDO2規格で対応可能:
・Windows Hello(顔・指紋・PIN)
・Android / iPhoneの生体認証(Touch ID, Face ID)
・ChromeやEdgeがサポートするパスキー
・物理キー(YubiKey, Feitian Key)
WebAuthn技術規格(FIDO2の一部)Web Authentication“の略。ブラウザやWebサービスがFIDO2認証(パスキーや物理キー)を呼び出すための標準的な「言語」(API)。
パスキーFIDO2規格の最新の利用形態FIDO2の規格で作られた「秘密鍵」のこと。生体認証などで解錠され、クラウドで同期できる仕組みを指すブランド名・愛称。
物理キーFIDO規格を使う「道具」FIDO規格における「認証器」の一形態。例:YubiKey, Google Titanキーなど。
生体認証認証器を解錠する「手段」FIDO2規格の認証器(スマホやPC)に保存された鍵を使うための「解錠手段」。例:指紋認証、顔認証(Face ID)など。

このように、FIDO Alliance(団体)がFIDO2(技術規格)を作り、その規格をWebで使うための言語がWebAuthnであり、その技術を使った最新の利用形態がパスキーである、と整理するとスッキリするかと思います。

3. 【実践】認証アプリ(TOTP)の設定方法

概要がわかったところで、実際に設定してみましょう。

ここでは、推奨される方式の一つである「(b) 認証アプリ(TOTP)」を、Googleアカウントで設定する手順を解説します。

ステップ1:Googleアカウントのセキュリティ設定を開く

Googleアカウント(myaccount.google.com)にアクセスし、「セキュリティ」タブを開きます。

ステップ2:「2段階認証プロセス」を選択

「Google へのログイン」セクションにある「2段階認証プロセス」をクリックし、「開始」ボタンを押します。ログインを求められたら、再度パスワードを入力します。

ステップ3:電話番号の確認(初回のみ)

多くの場合、まずはバックアップとして「(a) SMS認証」の設定を求められます。画面の指示に従い、電話番号を入力してSMSで届いたコードを入力し、設定を有効にしてください。

ステップ4:「認証システム アプリ」を追加する

2段階認証が有効になったら、MFAの方式を追加できます。

下にスクロールし、「認証システム アプリ」(または Authenticator アプリ)という項目を探して「設定」または「+」をクリックします。

ステップ5:QRコードをスキャンする

  1. PCの画面にQRコードが表示されます。
  2. スマートフォンで「Google Authenticator」などの認証アプリを開きます。
  3. アプリの「+」ボタンをタップし、「QRコードをスキャン」を選択します。
  4. PC画面のQRコードをカメラで読み取ります。
  5. アプリに「Google (あなたのアカウント名)」という6桁のコードが表示されれば成功です。
  6. PCの画面で「次へ」進み、アプリに表示されている6桁のコードを入力して「確認」を押します。

ステップ6:完了です!

これで、次回からGoogleにログインする際、パスワード入力後に認証アプリのコードを求められるようになります。

【発展】MFA/パスキーと「Googleでログイン(OIDC)」の関係

この記事を読んでいると、「MFA/パスキー」と、「Googleでログイン」や「Appleでサインイン」といった機能(これらは OAuth 2.0OIDC (OpenID Connect) と呼ばれる技術に基づいています)との違いが気になるかもしれません。

これらはセキュリティの「異なる層(レイヤー)」で機能する、関連し合った技術です。

  • MFA / パスキー(この記事の主題):
    • 役割: 認証の「具体的な手段」です。
    • 目的: サービスにログインしようとしているのが「本当に本人か?」を確認する方法(例:認証コード、指紋、顔認証)そのものを指します。
  • OAuth 2.0 / OIDC (「Googleでログイン」など):
    • 役割: 認証の「枠組み(プロトコル)」です。ID連携やSSO(シングルサインオン)とも呼ばれます。
    • 目的: あるサービス(例:ブログサービスA)が、ユーザーの認証を、別の信頼できるサービス(例:Google)に「委任(おまかせ)」するための標準的な手順を定めます。

【ログイン時の流れ】

  1. あなたが「ブログサービスA」の「Googleでログイン」ボタンを押します。
  2. ブログサービスAは、OIDCの仕組みに基づき、Googleに「この人の本人確認をお願いします」と認証を委任します。
  3. Googleは、あなたに対し「本当に本人ですか?」と確認を求めます。ここでMFA(パスワード+認証コード)やパスキー(生体認証)が使われます。
  4. MFA/パスキーで本人確認が成功すると、GoogleはブログサービスAに「本人確認OKです」という許可証(トークン)を発行します。
  5. ブログサービスAは許可証を受け取り、あなたをログインさせます。

つまり、「Googleでログイン(OIDC)」という認証の枠組みの中で、本人確認の具体的な手段として「MFA」や「パスキー」が使われている、という関係です。

4.【重要】スマホを失くしたら?必ずやるべき対策

MFA(特に認証アプリやSMS)をスマートフォンに依存させると、そのスマートフォンを紛失・故障・機種変更した際にログインできなくなるという最大のリスクが発生します。

その対策として、MFAを設定したら「必ず」以下の作業を同時に行ってください。

対策1:バックアップコード(回復コード)を保存する

ほとんどのサービスでは、MFA設定時に「バックアップコード」と呼ばれる8桁や10桁の数字(または英数字)のリストが発行されます。

  • これは、スマホが使えない時の「最後の砦」となるマスターキーです。
  • 必ず印刷してください。 そして、自宅の安全な場所(例:金庫、施錠できる引き出し、パスポートと一緒に)に保管してください。
  • スクリーンショットやPCのテキストファイルでの保存は、そのデバイスが盗まれたら意味がないため非推奨です。物理的な紙でのオフライン保存が最強です。

対策2:予備の認証方法を複数設定する

  • (b) 認証アプリ をメインにしつつ、予備として (c) 物理セキュリティキー も登録しておくのが理想です。(例:メインPCに挿しっぱなしにしておくキーと、持ち歩き用のキーなど)
  • 最低でも、予備として「(a) SMS認証」や、別のデバイスの「(d) プッシュ通知」を有効にしておきましょう。

スマホはいつか必ず壊れるか、機種変更するものです。MFAを設定した瞬間に、「もしスマホが明日動かなくなったら?」を想像し、必ずバックアップコードを保存してください。

5. 採用すべきMFA

これだけ種類があると迷ってしまいますが、以下を基準に選ぶことをお勧めします。

  1. 最優先(パスキー対応サービスの場合):
    • (f) パスキー を設定する。これが使えるなら、パスワードから解放され、最も安全かつ簡単です。
  2. 次点(セキュリティと利便性の両立):
    • (b) 認証アプリ (TOTP) または (d) プッシュ通知 を設定する。
    • これらはスマートフォンさえあれば完結し、十分なセキュリティ強度があります。
  3. 最高レベルのセキュリティを求める場合:
    • (c) 物理セキュリティキー (FIDO2) を使う。特に暗号資産(仮想通貨)取引所や、企業の機密情報など、絶対に守りたいアカウントには最適です。
  4. 上記が難しい場合(最低限の防衛ライン):
    • (a) SMS認証 を設定する。設定しないよりは遥かに安全です。
  5. 非推奨(それしか選べない場合のみ):
    • (g) Eメール認証

理想は、「(f) パスキー」をメインに設定し、それが使えないサービスでは「(b) 認証アプリ」と「(c) 物理キー」を両方登録しておくことです。

6. まとめ

パスワードだけの時代は終わりました。MFAとパスキーは、もはや「セキュリティ意識の高い人」だけのものではなく、インターネットを安全に使うための「標準装備」です。

設定は最初の5分こそ面倒に感じるかもしれませんが、その5分が、あなたの大切な資産や個人情報を未来永劫守ることにつながります。

まずはこの記事を参考に、一番大事なGoogleアカウントやApple ID、X (旧Twitter) アカウントからでも、今すぐMFA(またはパスキー)を設定してみてください!

タイトルとURLをコピーしました