25人規模の会社を経営しているなら、「二要素認証が必要だ」と言われたことがあるでしょう。たいていその助言には値札が付いています。セキュリティコンサルを雇う、SIEMを買う、ハードウェアトークンを配る——。あなたの「ITチーム」が給与計算も兼ねる総務担当者である場合、どれも現実的ではありません。
ここ数年で2つのことが変わり、2FAは「30日のプロジェクト」ではなく「30分の設定」になりました。
- TOTP(時刻ベースのワンタイムパスワード) が共通標準になりました。最新の認証アプリ——Google Authenticator、Microsoft Authenticator、Authy、1Password——はすべて同じプロトコル(RFC 6238)に対応します。独自のものをインストールする必要はありません。
- セルフサービス登録 が当たり前になりました。管理者が誰かの2FAを「プロビジョニング」する必要はありません。本人が認証アプリでQRコードを読み取り、6桁のコードを入力して確認すれば完了です。リカバリーコード(10個の使い切りコード)でスマホ紛失にも対応できます。
本記事では、小規模な会社での実際の展開手順を紹介します。今週やることと来四半期に回すことを、具体的に分けて説明します。
なぜ中小企業に2FAが重要なのか
データは明確です。Microsoftの脅威インテリジェンスチームは、MFAを有効にすると、自動化されたアカウント乗っ取りの試みの99.2%を阻止できると報告しています。残りの0.8%は、リアルタイム中継型のフィッシングキットやSIMスワップなど、高度な標的型攻撃を要します。主にパスワードスプレー型のボットや、流出DBからの認証情報の使い回し攻撃に立ち向かう25人の会社にとって、2FAは導入できる中で最も費用対効果の高いセキュリティ対策です。
コスト面も逆転しました。SaaSアプリ(会計、人事、CRM、給与)はいずれも2FAに対応済みで、利用は無料。スマホの認証アプリも無料です。実質的な唯一のコストは、従業員1人あたり登録にかかる30分だけです。
30分で済む展開(今週)
プロジェクト計画は不要です。必要なのは次の3つです。
-
業務に不可欠なアプリの一覧。まずは、メール(Google Workspace / Microsoft 365)、会計、人事・給与、ファイル共有、パスワード管理ツール(お持ちですよね?)、そして顧客データベースから。25人の会社なら通常5〜8システムです。
-
短いドキュメント(3つのセクション):
- なぜ実施するのか(1段落。例:「メールが侵害されると、攻撃者は他のすべてのパスワードをリセットし、会社になりすませます。2FAはそれを防ぎます」)
- 従業員がすべきこと(認証アプリをダウンロード——主要な4つを挙げる——し、次回サインイン時に各アプリの案内に従う)
- スマホを紛失したら(リカバリーコードを使う。使い切ったら総務担当者に連絡し、2FAをリセットしてもらう)
-
15分の全社ミーティング で説明します。展開成功の最大の予測因子は、経営層が全員より先に、目に見える形で2FAを有効にしているかどうかです。
ミーティング後、全員に2週間の猶予を与えます。その後に点検を。必須アプリでまだ2FAを設定していない従業員は誰か。さらに2週間の猶予を置き、それから必須化を始めます。
スマホを紛失したときに想定されること
答えはリカバリーコードです。2FA設定時に一度だけ表示される、10個の使い切りコードです。利用者はそれを印刷したり、パスワード管理ツールにスクリーンショットとして保存したり、あるいはその両方をします。
スマホが壊れたり紛失したりした場合:
- 利用者はメールとパスワードでサインインします。
- 認証アプリのコードの代わりに、リカバリーコードの1つを入力します。
- フルアクセスを得られます。使ったリカバリーコードは無効になります。
- 新しいスマホで2FAを再登録します(サインイン後にシステムが再登録を許可します)。
リカバリーコードも尽きた場合は、管理者が利用者アカウントの2FAを手動で無効化し、利用者はパスワードのみでサインインして、改めて2FAを登録します。25人のチームなら、四半期に1件程度を想定しておきましょう。
避けるべきこと
- SMSによる2FA。SMSは何もないよりはましですが、SIMスワップ攻撃により信頼できなくなりました。可能な限りTOTP(認証アプリ)を使いましょう。両対応のアプリも多いので、TOTPを選んでください。
- 2FAトークンの共有。3人で1つのGoogle Workspace管理者アカウントを共有していると、2FAトークンも共有したくなります。やめましょう。管理者アカウントは個別に作成してください。
- 特定の認証アプリの強制。各自が好きなものを使えるようにしましょう——Google、Microsoft、Authy、1Passwordはどれも使えます。1つを強制すると反発を招きます。
- 個別アカウントの2FAを好意で無効化すること。中小企業で最も多い侵害の入り口は、出張中だからと2FAを「一時的に無効化」され、そのまま再有効化されなかった役員です。これはやめましょう。
このやり方では足りなくなるとき
従業員が50〜100人ほどになると、「総務担当者がIT兼任」のモデルは破綻します。兆候は次のとおりです。
- スマホ紛失に関する問い合わせが週に複数件
- チームごとに運用が不統一
- 入退社対応が、誰も実行しないチェックリスト化する
そうなったら、専任のIT担当者か、登録・復旧・監査を一元管理するツールが必要です。一般にアイデンティティプロバイダー(IdP)と呼ばれ、Okta、Microsoft Entra、JumpCloudなどがあります。費用はおおむね従業員1人あたり月5〜10ドルです。
SVDYをお使いなら、IdPの機能は最初から組み込まれています。SCIMベースのプロビジョニング、SAML SSO、2FAの一元管理が、Pro以上のプランでプラットフォームに付属します。2つのシステムに料金を払うことなく、一元的なアイデンティティ基盤を手にできます。
まとめ
2026年の25人規模の会社にとって——TOTPベースの2FAは30分で展開でき、認証情報を狙う攻撃の99%を阻止し、ソフトウェア費用はゼロ。唯一の実質的な手間はスマホ紛失のケースですが、それはリカバリーコードで対応できます。やらない理由は、ほぼありません。
今後2週間のうちで日付を決めましょう。全社ミーティングの招待は、今日送ってください。
