「ログインするとき、スマホにコードが届くのは何で？」「MFAって設定した方がいいの？」

最近、様々なサービスで多要素認証（MFA）の設定を求められることが増えました。「面倒だな…」と思うかもしれませんが、これには重要な理由があります。

この記事では、多要素認証とは何か、なぜパスワードだけでは危険なのかを解説します。

パスワードだけでは危険な理由

パスワードは破られる

「自分のパスワードは複雑だから大丈夫」と思っていませんか？残念ながら、パスワードは様々な方法で突破されてしまいます。

パスワードの使い回しは特に危険

多くの人が複数のサービスで同じパスワードを使い回しています。1つのサービスからパスワードが漏洩すると、他のサービスにも不正アクセスされるリスクがあります。

多要素認証（MFA）とは？

「複数の要素」で本人確認

MFA（Multi-Factor Authentication）は、2つ以上の異なる「要素」を組み合わせて本人確認を行う仕組みです。

パスワードだけでなく、別の方法でも「本当にあなたですか？」と確認することで、セキュリティを高めます。

認証の3つの要素

MFAでは、これらの異なる種類の要素を2つ以上組み合わせます。

MFAと2段階認証の違い

よく混同されますが、厳密には異なります。

• MFA（多要素認証）：異なる「種類」の要素を組み合わせる
• 2段階認証：2回の認証ステップがある（同じ種類でもOK）

例えば「パスワード＋秘密の質問」は2段階ですが、どちらも「知識情報」なので厳密にはMFAではありません。ただし、一般的には同じ意味で使われることも多いです。

MFAの種類

よく使われるMFAの方式を紹介します。

1. SMSコード

スマートフォンのSMSに届く認証コードを入力する方式。

• メリット：導入が簡単、特別なアプリ不要
• デメリット：SIMスワップ攻撃のリスク、海外では使いにくい

2. 認証アプリ（TOTP）

Google AuthenticatorやMicrosoft Authenticatorなどのアプリで生成されるコードを入力する方式。

• メリット：SMSより安全、オフラインでも使える
• デメリット：アプリのインストールが必要

3. ハードウェアキー

YubiKeyなどの物理デバイスを使う方式。USBポートに挿したり、NFCでタッチしたりして認証します。

• メリット：非常に安全、フィッシングに強い
• デメリット：デバイスの購入が必要、紛失リスク

4. プッシュ通知

スマートフォンに届く通知で「承認」をタップする方式。

• メリット：コード入力不要で簡単
• デメリット：専用アプリが必要

5. 生体認証

指紋、顔認証、虹彩認証などを使う方式。

• メリット：利便性が高い、忘れることがない
• デメリット：対応デバイスが必要

MFAの導入が必須な場面

特に以下のサービスでは、MFAを必ず設定しましょう。

個人として

• メールアカウント（Gmail、Outlookなど）
• SNS（Twitter、Facebook、Instagramなど）
• 金融サービス（銀行、証券口座など）
• クラウドストレージ（Google Drive、Dropboxなど）
• パスワードマネージャー

業務として

• クラウドサービス（AWS、Azure、GCPなど）
• 社内システムへのリモートアクセス
• VPN接続
• コード管理（GitHub、GitLabなど）
• 管理者アカウント全般

インフラエンジニアとMFA

インフラエンジニアにとって、MFAは特に重要です。

なぜ重要か？

• 強い権限を持つ：管理者アカウントへのアクセス
• 影響範囲が大きい：不正アクセスされると被害が甚大
• 規制・監査要件：多くのセキュリティ基準でMFAが必須

よくある実装

• AWSのルートアカウント・IAMユーザーへのMFA設定
• SSHログインへの2段階認証追加
• VPN接続時のMFA
• 特権アクセス管理（PAM）との連携

まとめ

この記事のポイントを整理します。

MFAは、「面倒だけど、やる価値がある」セキュリティ対策です。特に重要なアカウントには必ず設定しておきましょう。

一度設定してしまえば、普段の操作はそれほど手間ではありません。自分の資産と情報を守るために、ぜひMFAを活用してください！