先に結論
MFA とは Multi-Factor Authentication の略で、日本語では多要素認証と呼ばれます。
パスワードだけで本人確認するのではなく、複数の種類の確認要素を組み合わせてログインを守る仕組みです。
たとえば、次のようなログインがMFAです。
- パスワードを入力する
- 認証アプリに表示されたコードを入力する
- ログインが許可される
ポイントは、確認を2回することそのものではなく、性質の違う要素を組み合わせることです。
パスワードが漏れても、追加の確認要素がなければログインしにくくする。これがMFAの基本です。
CISA も、MFAはパスワードがフィッシングなどで侵害された場合でも、情報システムへアクセスされにくくする対策として説明しています。
一方で、MFAにも強い方式と弱い方式があります。SMSコードや単純なプッシュ通知だけに頼るより、認証アプリ、番号照合、物理セキュリティキー、Passkeys など、フィッシングに強い方式を優先した方が安全です。
この記事では、2026年4月23日時点で CISA、NIST Digital Identity Guidelines、Microsoft のMFA関連資料を確認しながら整理しています。
MFAとは何か
MFAは、本人確認に複数の要素を使う認証方式です。
認証要素は、ざっくり次の3種類に分けられます。
| 要素 | 例 |
|---|---|
| 知っているもの | パスワード、PIN |
| 持っているもの | スマホ、認証アプリ、物理キー |
| 本人そのもの | 指紋、顔認証 |
パスワードと秘密の質問を組み合わせても、どちらも「知っているもの」に寄りやすいため、強いMFAとは言いにくいです。
実務でよく使われるのは、パスワードに加えて、スマホの認証アプリや物理キーを使う形です。
2FAとの違い
2FA は Two-Factor Authentication の略で、二要素認証のことです。
MFAの中でも、2つの要素を使うものが2FAです。
| 用語 | 意味 |
|---|---|
| 2FA | 2つの要素で本人確認する |
| MFA | 2つ以上の複数要素で本人確認する |
日常的には、2FAとMFAがかなり近い意味で使われることもあります。
ただし、厳密にはMFAの方が広い言葉です。
たとえば、パスワードと認証アプリを使うログインは2FAでもありMFAでもあります。
パスワード、物理キー、端末の生体認証まで組み合わせるような設計は、より広い意味でMFAとして扱えます。
なぜパスワードだけでは危ないのか
パスワードだけのログインは、次のような問題に弱くなります。
パスワードを強くすることは大事です。
ただ、それだけでは「盗まれた後」の被害を止めにくいです。
MFAを入れると、攻撃者がパスワードを知っていても、追加の確認を突破する必要があります。
そのため、メール、クラウド、VPN、管理画面、サーバー、会計、ドメイン管理のような重要アカウントでは、MFAを前提に考える方が安全です。
MFAの主な方式
MFAといっても方式はいろいろあります。
代表的なものを整理すると次の通りです。
| 方式 | 例 | 注意点 |
|---|---|---|
| SMSコード | SMSで届く数字を入力 | SIM乗っ取りや番号移行、盗み見に弱いことがある |
| メールコード | メールに届く数字を入力 | メールアカウントが侵害されると弱い |
| 認証アプリ | Google Authenticator、Microsoft Authenticatorなど | 端末紛失時の復旧手順が必要 |
| プッシュ通知 | スマホに承認通知が出る | 疲労攻撃や誤承認に注意 |
| 番号照合 | 画面の番号をアプリ側で選ぶ | 単純な承認ボタンより誤承認を減らしやすい |
| 物理キー | FIDO2 / WebAuthn対応キー | 紛失時の予備キーや回復手順が必要 |
| Passkeys | 端末の生体認証などでサインイン | 導入範囲、端末移行、回復方法を設計する |
初心者向けには、まず「SMSより認証アプリ、さらに重要な入口は物理キーやPasskeysも検討する」と覚えると分かりやすいです。
フィッシング耐性の違い
MFAを入れても、すべての攻撃を防げるわけではありません。
特に、偽ログイン画面へパスワードとワンタイムコードを入力させる攻撃では、コード式MFAが突破されることがあります。
CISAは、フィッシングに強いMFAとして FIDO/WebAuthn やPKIベースの認証を重視しています。
NISTのDigital Identity Guidelinesでも、AAL2で少なくとも1つのフィッシング耐性のある認証オプションを提供することが求められています。
実務では、すべてをいきなり最強方式にするのは難しいこともあります。
その場合でも、次のように段階を分けると進めやすいです。
導入時に決めること
MFAは「有効にする」だけでは運用が終わりません。
むしろ、導入後の例外や復旧を決めていないと、そこが弱点になります。
最低限、次を決めます。
- 誰に必須化するか
- どのサービスから優先するか
- SMSを許可するか
- 端末を失くしたときにどう復旧するか
- バックアップコードをどう保管するか
- 管理者がMFAを解除できる条件
- 共有アカウントをどう減らすか
- 退職者や外注先アカウントをどう停止するか
特に復旧手順は重要です。
攻撃者がサポート窓口をだましてMFAを解除させる、という攻撃もあります。便利な復旧導線ほど、本人確認と記録を丁寧に設計する必要があります。
SSOやPasskeysとの関係
MFAは、SSO と一緒に語られることが多いです。
SSOでログイン入口をまとめると、その入口にMFAを集約しやすくなります。
ただし、SSOを入れればMFAが自動で強くなるわけではありません。
SSOの入口が弱いままだと、複数サービスへまとめて入られる危険もあります。SSO、MFA、権限管理、ログ、退職者対応はセットで見た方が安全です。
Passkeysは、パスワード前提のログインを減らし、フィッシングに強い認証へ寄せる選択肢です。
すぐに全サービスをPasskeysへ置き換えられない場合でも、MFAの強化先として理解しておくと判断しやすくなります。
よくある誤解
1. MFAを入れれば絶対安全
違います。
MFAは強い対策ですが、権限が広すぎる、端末が侵害されている、復旧手順が甘い、フィッシングに弱い方式だけを使っている、といった状態では事故は起こります。
MFAは入口を強くする対策です。
権限管理、ログ監視、端末管理、レート制限、アカウント棚卸しも別で必要です。
2. SMSでも何もしないより同じ
SMS MFAは万能ではありませんが、何もないよりは強くなる場面が多いです。
ただし、重要アカウントをSMSだけで守るのは心もとないため、認証アプリ、番号照合、物理キー、Passkeysへ寄せる方が安全です。
3. 利用者が面倒がるから入れない方がよい
MFAはたしかに手間が増えます。
ただ、アカウント侵害後の復旧、顧客対応、情報漏えい、送金被害、サービス停止の方がずっと重くなります。
現実的には、全員一律で最初から最強方式にするのではなく、重要アカウントから段階的に始める方が導入しやすいです。
まとめ
MFA は、パスワードだけに頼らず、複数の要素で本人確認する認証方式です。
パスワードが漏れても、それだけではログインされにくくするため、メール、クラウド、VPN、管理画面、開発基盤、会計、ドメイン管理のような重要な入口では特に重要です。
ただし、MFAにも強さの差があります。
SMSだけで安心せず、認証アプリ、番号照合、物理キー、Passkeysなどを段階的に検討し、復旧手順や例外運用まで含めて設計することが大事です。