Microsoft 365のMFA認証手段を比較 ― セキュリティ強度が高いのはどれか、何を選ぶべきか
Microsoft 365のセキュリティにおいて、MFA(多要素認証)の導入は最も効果の高い対策の一つです。Microsoftは2024年以降、すべてのEntra IDテナントでMFAの有効化を段階的に必須化しています。
しかし、MFAといっても認証手段は複数あり、セキュリティ強度には大きな差があります。SMS(ショートメッセージ)による認証コードと、FIDO2セキュリティキーによる認証では、フィッシング攻撃に対する耐性がまったく異なります。
この記事では、Entra IDで利用できるMFA認証手段をセキュリティ強度順に整理し、中小企業が何を選ぶべきかを解説します。
参考: Microsoft Entra 認証の概要 - Microsoft Learn
認証手段の3つのカテゴリ
MFAの認証手段は、セキュリティ強度に応じて大きく3つのカテゴリに分類できます。
カテゴリ1:フィッシング耐性あり(最高強度)
攻撃者がフィッシングサイトで認証情報を中継しても、認証が成立しない仕組みを持つ認証手段です。Microsoftが最も強く推奨しているカテゴリです。
カテゴリ2:フィッシング耐性なし(中程度)
正当なサービスに対する認証であることをユーザーが判断する必要がある認証手段です。巧妙なフィッシングサイトに対しては突破される可能性があります。
カテゴリ3:レガシー(低強度)
MFAの最低限の要件は満たすものの、既知の攻撃手法に対して脆弱な認証手段です。
認証手段のセキュリティ強度ランキング
Tier 1:フィッシング耐性あり(推奨)
パスキー / FIDO2セキュリティキー
USBキーやNFCキー(YubiKey、Feitian等)を使った認証です。デバイスとサービスの間で暗号的なチャレンジ・レスポンスを行うため、フィッシングサイトに認証情報を中継されても認証が成立しません。
セキュリティ強度は最高レベルです。パスワードそのものが不要になる「パスワードレス認証」の一つであり、フィッシング、中間者攻撃(AiTM)、SIMスワッピングのいずれにも耐性があります。
導入コストとして、1本あたり5,000〜10,000円程度のセキュリティキーの購入が必要です。紛失時の予備キーも含め、1人あたり2本の運用が推奨されます。
Windows Hello for Business
Windows PCの生体認証(顔認証 / 指紋認証)またはPINを使った認証です。認証情報はデバイスのTPM(Trusted Platform Module)に保存され、デバイスとEntra IDの間で公開鍵暗号方式による認証が行われます。
フィッシング耐性があり、認証情報がデバイス外に出ないため、リモートからの窃取が不可能です。Windows PCをEntra ID参加またはHybrid Joinで運用している企業では、追加コストなしで導入できます。
Microsoft Authenticatorのパスキー
スマートフォンのMicrosoft Authenticatorアプリにパスキーを登録し、生体認証(顔 / 指紋)で認証する方式です。FIDO2セキュリティキーと同等のフィッシング耐性を、ハードウェアキーなしで実現できます。
証明書ベースの認証(CBA)
X.509証明書を使った認証です。スマートカードやデバイス証明書によるクライアント認証で、フィッシング耐性があります。PKI(公開鍵基盤)の構築・運用が必要なため、導入のハードルは高いです。大企業や官公庁向け。
Tier 2:フィッシング耐性なし(標準的なMFA)
Microsoft Authenticatorプッシュ通知
サインイン時にスマートフォンのAuthenticatorアプリにプッシュ通知が届き、「承認」をタップして認証する方式です。番号一致(Number Matching)が既定で有効になっており、サインイン画面に表示される2桁の数字をアプリ上で入力する必要があります。
フィッシング耐性はありません。攻撃者がリアルタイムでフィッシングサイトを中継する攻撃(AiTM攻撃)では、ユーザーが正規のサインインだと信じて承認してしまう可能性があります。ただし、番号一致機能により、単純な「承認疲れ攻撃(MFA Fatigue Attack)」には耐性があります。
中小企業にとっては、コストゼロ(スマートフォンのアプリのみ)で導入でき、利便性も高いバランスの良い選択肢です。
ソフトウェアOATHトークン(TOTP)
Microsoft AuthenticatorやGoogle Authenticator等のアプリが生成する6桁の時間ベースワンタイムパスワード(TOTP)を入力する方式です。
フィッシング耐性はありません。攻撃者がリアルタイムでコードを中継するAiTM攻撃に対して脆弱です。ただし、プッシュ通知に比べてユーザーが能動的にコードを入力する分、無意識の承認は発生しにくいです。
ハードウェアOATHトークン
物理的なトークンデバイス(RSA SecurID等)が生成するワンタイムパスワードを入力する方式です。スマートフォンを持たない社員への代替手段として使われます。
Tier 3:レガシー(可能な限り避けるべき)
SMS(ショートメッセージ)認証
携帯電話番号宛にSMSで送信される6桁のコードを入力する方式です。
MFAの中では最も弱い認証手段です。SIMスワッピング攻撃(攻撃者が通信会社に連絡してSIMカードを乗っ取る手口)やSSN7プロトコルの脆弱性を突いたSMSの傍受が報告されています。Microsoftは公式に「SMSはMFAの中で最もセキュリティが低い」と述べており、可能な限り他の手段への移行を推奨しています。
ただし、「MFAなし」よりは圧倒的に安全です。SMSしか利用できないユーザーがいる場合は、SMSでのMFAを有効にした上で、段階的にAuthenticatorアプリへ移行する計画を立ててください。
音声通話認証
登録した電話番号に自動音声で着信し、「#」キーを押して認証する方式です。SMSと同等のリスク(電話番号の乗っ取り)があり、推奨されません。
セキュリティ強度の比較表
| 認証手段 | フィッシング耐性 | AiTM耐性 | SIMスワップ耐性 | 追加コスト | 利便性 |
|---|---|---|---|---|---|
| パスキー / FIDO2キー | ○ | ○ | ○ | キー購入費 | ◎ |
| Windows Hello for Business | ○ | ○ | ○ | なし | ◎ |
| Authenticatorパスキー | ○ | ○ | ○ | なし | ◎ |
| 証明書ベース(CBA) | ○ | ○ | ○ | PKI構築費 | △ |
| Authenticatorプッシュ通知 | × | × | ○ | なし | ○ |
| TOTP(ソフトウェアOATH) | × | × | ○ | なし | ○ |
| ハードウェアOATHトークン | × | × | ○ | トークン購入費 | △ |
| SMS | × | × | × | なし | ○ |
| 音声通話 | × | × | × | なし | △ |
中小企業におすすめの認証手段
まず導入すべき:Microsoft Authenticatorプッシュ通知
コストゼロ、導入の容易さ、利便性のバランスが最も優れています。スマートフォンを持っている社員全員にMicrosoft Authenticatorアプリをインストールし、プッシュ通知+番号一致でMFAを運用するのが、中小企業の第一歩として最適です。
フィッシング耐性はありませんが、パスワードのみの認証と比較してアカウント侵害のリスクを99.9%低減できるとMicrosoftは述べています。
次のステップ:Windows Hello for Business
Windows PCをEntra ID参加またはHybrid Joinで運用している場合、Windows Hello for Businessを有効化することで、追加コストなしでフィッシング耐性のある認証に移行できます。
Windows Hello for Businessは、PCへのサインインとMicrosoft 365への認証を同時にカバーするため、ユーザーの利便性も向上します。PCの前に座って顔認証(または指紋認証)でサインインするだけで、MFAの要件を満たします。
管理者アカウント向け:FIDO2セキュリティキー
グローバル管理者やセキュリティ管理者など、高い権限を持つアカウントには、FIDO2セキュリティキーの導入を強く推奨します。管理者アカウントの侵害はテナント全体に影響するため、最高レベルのフィッシング耐性を確保すべきです。
1人あたり2本(メイン+バックアップ)のキーを用意し、バックアップキーは安全な場所に保管します。管理者が2〜3名であれば、合計4〜6本(3〜6万円程度)の投資でテナントの最も重要なアカウントを保護できます。
スマートフォンを持たない社員向け:ハードウェアOATHトークンまたはFIDO2キー
工場の作業員や店舗スタッフなど、業務中にスマートフォンを使えない社員には、ハードウェアOATHトークンまたはFIDO2セキュリティキーを配布します。
SMS認証からの移行計画
現在SMSでMFAを運用している場合、以下のステップで段階的に移行します。
ステップ1: Microsoft Authenticatorアプリを全社員にインストールしてもらい、Authenticatorをデフォルトの認証方法として設定するよう案内する。
ステップ2: 移行期間(2〜3ヶ月)を設け、SMSとAuthenticatorの両方を有効にした状態で運用する。社員がAuthenticatorに慣れたことを確認する。
ステップ3: SMSをMFAの認証方法から無効化する。Entra管理センターの「認証方法」からSMSを無効にできます。
ステップ4: 管理者アカウントにFIDO2セキュリティキーを導入する。
条件付きアクセスポリシーで認証強度を制御する
Entra IDの条件付きアクセスポリシーでは、「認証強度」を条件として指定できます。たとえば「管理者ロールを持つアカウントのサインインにはフィッシング耐性のある認証が必須」「社外からのサインインにはMFAが必須」といったポリシーを設定できます。
Microsoftが定義する認証強度のプリセットは以下の3つです。
- MFA強度: すべてのMFA方式を許可(SMS含む)
- パスワードレスMFA強度: パスワードレスの認証方式のみ許可
- フィッシング耐性のあるMFA強度: フィッシング耐性のある認証方式のみ許可
管理者アカウントに「フィッシング耐性のあるMFA強度」を、一般ユーザーに「MFA強度」を適用するという使い分けが現実的です。
まとめ
MFAの認証手段は「何でも同じ」ではありません。SMSとFIDO2セキュリティキーでは、フィッシング攻撃に対する耐性に天地の差があります。
中小企業のロードマップとしては、まずMicrosoft Authenticatorプッシュ通知を全社展開し、次にWindows Hello for Businessでフィッシング耐性を追加し、管理者アカウントにはFIDO2セキュリティキーを導入する、という3段階が最もバランスの良いアプローチです。
情シス365では、MFA認証方法の選定・展開、条件付きアクセスポリシーの設計、SMSからの移行支援を行っています。「MFAをまだ導入していない」「SMS認証から移行したい」「管理者アカウントのセキュリティを強化したい」という方は、お気軽にご相談ください。