多要素認証(MFA)設定ガイド【ビジネス版】
Microsoft 365とGoogle Workspaceを5分で完了する手順
MFAはパスワード漏洩時でもアカウント侵害を99.9%防ぐ最優先対策。Microsoft 365とGoogle Workspace両方の設定手順を非エンジニアのビジネスパーソン向けに5分で完了できるよう解説します。
「会社のアカウントにMFAを設定してください」と急に言われて、何から始めればいいか分からなかった経験はありませんか?
多要素認証(MFA)はパスワードだけでは防げない不正アクセスを99.9%ブロックできる、最優先のセキュリティ対策です。Microsoft社の調査では、MFAを有効にしているアカウントはほぼすべての自動化された攻撃を防いでいると報告されています。2026年以降はMicrosoft 365でも義務化が段階的に拡大しており、まだ設定していない方は今すぐ対応が必要です。
この記事では、IT知識がなくても5分でできるMFA設定手順を、Microsoft 365とGoogle Workspaceそれぞれについて丁寧に解説します。
MFAとは?なぜパスワードだけでは足りないのか
MFA(Multi-Factor Authentication:多要素認証)とは、ログイン時に「パスワード」に加えてもう1つの確認を行う仕組みです。
たとえばATMでのお金の引き出しと同じ構造です。キャッシュカード(持っているもの)と暗証番号(知っているもの)の両方が必要ですよね。MFAはこれをオンラインアカウントに適用します。
なぜパスワードだけでは危ないのか?
パスワードは次のような方法で漏れます:
- 他のサービスで使い回したパスワードが流出する(リスト型攻撃)
- フィッシングメールでだまされて入力してしまう
- 推測されやすいパスワードをブルートフォースで試される
MFAを有効にすると、仮にパスワードが漏れても、スマートフォンがなければログインできません。これが「99.9%防げる」と言われる理由です。
このガイドの前提条件
設定を始める前に次の点を確認してください。
- スマートフォンを手元に用意する(iPhoneまたはAndroid)
- 会社から付与されたMicrosoft 365またはGoogle Workspaceのアカウント
- 認証アプリをインストールしておく(推奨):Microsoft AuthenticatorまたはGoogle Authenticator
SMS認証でもOKです。認証アプリがより安全ですが、まず設定することが最優先です。認証アプリがない場合はSMSで始めて後から切り替えられます。
ステップ1:Microsoft 365のMFA設定手順
ユーザー自身が設定する場合
管理者からMFAの設定を求められた場合、以下の手順で自分のアカウントに設定できます。
1. セキュリティ情報の設定ページへアクセスする
ブラウザで https://mysignins.microsoft.com/security-info を開きます。Microsoft 365アカウントでサインインしてください。
2. 「サインイン方法を追加する」をクリック
「+ サインイン方法を追加する」または「+ 方法を追加」ボタンをクリックします。
3. 認証方法を選択する
- 推奨:「認証アプリ」→ Microsoft AuthenticatorをスマートフォンにインストールしてQRコードをスキャン
- 代替:「電話」→ SMSで確認コードを受け取る携帯番号を登録
4. 画面の案内に従って設定を完了する
認証アプリの場合は表示されたQRコードをスキャンし、アプリに表示される6桁のコードを入力して確認します。
5. 動作確認
ブラウザのシークレットモードでもう一度サインインし、MFAの通知が届くことを確認してください。
【設定確認用プロンプト(IT担当者への質問テンプレート)】
件名:MFA設定の確認について
お世話になっております。
MFAの設定が完了しましたので確認をお願いします。
・設定したアカウント:[メールアドレス]
・設定した認証方法:Microsoft Authenticator / SMS(どちらか)
・設定日:[日付]
設定が正しく完了しているか、管理センター側からも確認いただけますでしょうか。
よろしくお願いいたします。管理者が全ユーザーに有効化する場合
Microsoft 365管理センター(https://admin.microsoft.com)から「ユーザー」→「アクティブなユーザー」→「多要素認証」で一括設定できます。詳細な管理者向け手順はMicrosoft Learn の公式ガイドを参照してください。
ステップ2:Google WorkspaceのMFA設定手順
Google WorkspaceのMFAは「2段階認証プロセス」という名称です。
ユーザー自身が設定する場合
1. Googleアカウントのセキュリティページへアクセス
https://myaccount.google.com/security を開き、会社のGoogle Workspaceアカウントでサインインします。
2.「2段階認証プロセス」をクリック
「Googleへのログイン方法」セクションの中に「2段階認証プロセス」があります。「設定を開始」ボタンをクリックします。
3. 認証方法を選択する
Googleは複数の方法を提供しています:
| 方法 | 安全性 | 手軽さ |
|---|---|---|
| Google Authenticator(アプリ) | 高 | やや手間 |
| Googleプロンプト(スマートフォン通知) | 高 | 簡単 |
| SMS / 音声電話 | 中 | 簡単 |
| セキュリティキー | 最高 | 機器が必要 |
初めての設定には「Googleプロンプト」が最も手軽です。Googleアカウントにサインイン済みのスマートフォンに通知が届き、タップするだけで認証できます。
4. バックアップコードを保存する
設定完了前に「バックアップコード」を必ず表示してダウンロードまたは印刷してください。スマートフォンを紛失した際に使用します。
5. 2段階認証を有効にする
「有効にする」ボタンをクリックして完了です。次回ログイン時から2段階認証が求められます。
実務での使い方
MFAを設定した後、日常業務ではどう使うのかを整理します。
毎日の使い方はシンプル
- メールアドレスとパスワードを入力する
- スマートフォンに通知が届く(またはアプリで確認コードを確認)
- 通知をタップ、またはコードを入力する
慣れると30秒以内で完了します。
会社支給スマホと個人スマホ、どちらを使う?
会社の方針によりますが、一般的には:
- 会社支給スマホがある場合:そちらに認証アプリを入れることが推奨されます
- 個人スマホしかない場合:IT部門に確認のうえ、個人スマホで設定するケースが多いです
IT担当者に確認する際は「会社方針でMFA用のデバイスはどうすればよいですか?」と一言聞いてみてください。
出張・スマホを忘れた場合
- Microsoft 365:登録した別の電話番号やメールアドレスで認証可能
- Google Workspace:バックアップコードを使って緊急ログインできます
注意点
MFAを設定する際に気をつけるべきポイントをまとめます。
- バックアップの確保:Google WorkspaceのバックアップコードはパスワードマネージャーやUSBに保存しておく
- SMSは完璧ではない:SIMスワップ詐欺という手口でSMSを傍受される攻撃が存在します。可能であれば認証アプリを使う
- 共用PCでの「信頼済みデバイス」設定に注意:他の人が使うPCを「信頼済み」に設定してしまうとMFAの意味がなくなります
トラブルシューティング
Q: 認証アプリのコードを入力しても「無効なコード」と表示される
スマートフォンの時刻設定がずれているのが原因の大半です。スマートフォンの設定で「日時を自動的に設定」をオンにして、再度試してください。
Q: スマートフォンを紛失して認証できなくなった
- Microsoft 365:IT管理者に連絡してMFAをリセットしてもらう
- Google Workspace:バックアップコードを使う。ない場合はIT管理者に連絡
Q: MFAの通知が届かない
- スマートフォンのインターネット接続を確認する
- Microsoft Authenticatorの通知が「通知をオフ」になっていないか確認する
- アプリを最新版にアップデートする
よくある質問
MFA設定に関するよくある疑問をまとめました
MFAを設定すると毎回スマートフォンが必要になりますか?
使用するデバイスやアプリによって「信頼済みデバイス」として登録することで、一定期間(数日〜数週間)はMFAを省略できます。ただし、会社の設定によっては毎回求められる場合もあります。IT部門のポリシーを確認してください。
SMSと認証アプリ、どちらが安全ですか?
認証アプリの方が安全です。SMSはSIMスワップ攻撃と呼ばれる手法で傍受される可能性があります。ただし、どちらもパスワードのみよりはるかに安全です。まずSMSで始めて、後から認証アプリに切り替えることをおすすめします。
海外出張中にスマートフォンが使えない場合はどうすればよいですか?
事前にバックアップコード(Google Workspaceの場合)またはサブの認証方法(Microsoft 365の場合は別のメールアドレスや電話番号)を登録しておきましょう。出張前に確認しておくと安心です。
Microsoft 365の義務化は中小企業にも適用されますか?
はい、テナントの規模に関わらず段階的に適用されます。Microsoftからの通知メールやメッセージセンターを定期的に確認してください。Microsoft公式情報に最新状況が掲載されています。
個人のMicrosoftアカウントとは別に設定が必要ですか?
会社のMicrosoft 365アカウント(yourname@company.com)と個人のMicrosoftアカウントは別管理です。会社アカウントの設定は会社のポリシーに従い、個人アカウントは個人の判断で設定できます。
まとめ
MFA(多要素認証)の設定は、5分でできる最もコストパフォーマンスの高いセキュリティ対策です。
- Microsoft 365:
https://mysignins.microsoft.com/security-infoから設定 - Google Workspace:
https://myaccount.google.com/securityから「2段階認証プロセス」を有効化 - 認証方法の優先順位:認証アプリ > Googleプロンプト > SMS
- 機種変更前にバックアップ設定を忘れずに
パスワードを強化するより、MFAを有効にする方が圧倒的に効果的です。まだ設定していない方は今日中に対応することをおすすめします。
関連記事
- 【2026年4月】Microsoftが167件の脆弱性修正:悪用確認のゼロデイ2件を含む月例パッチ — パッチ適用で侵害リスクを下げる
- AgentDojo論文解説:AIエージェントのプロンプトインジェクション対策 — AIエージェント導入時の安全性評価