「二要素認証を全社に入れたいが、全社員に設定させる手順が分からない」「費用がかかるんじゃないかと思って踏み出せていない」「社員に面倒くさいと言われたらどう対応すればいいか読めなくて手が止まっている」——そういう状態の総務・経営者の方に向けて書いた。
この記事で分かることは3点だ。(1) Google WorkspaceまたはMicrosoft 365での全社導入の具体的な手順、(2) 費用の実態(大半の中小企業は追加費用ゼロ)、(3) 社員の抵抗やスマホ紛失といった現場の問題への対処法。読み終わった後には、今週中に動ける状態になっているはずだ。
業務効率化の支援をしている中で、「まだ二要素認証を入れていない」という会社に繰り返し出会う。やる気はある。ただ、手順の全体像が見えないから止まっている。それだけのことが多い。
二要素認証を全社に入れる前に確認すること
二要素認証(Two-Factor Authentication / 2FA)と二段階認証はほぼ同義で使われることが多い。厳密には「二要素」は「知識・所持・生体」の異なる種類の情報を組み合わせるもの、「二段階」は認証のステップが2回あるものを指すが、実務上の違いはほぼない。本記事では「二要素認証」に統一して説明する。
重要なのは「どちらを使うか」の区別より、「自社がどのツールを使っているか」だ。Google WorkspaceとMicrosoft 365では設定画面も手順も異なる。まず自社の環境を確認することから始める。
まず自社の認証環境を確認する
以下の3点をチェックする。
- [ ] メインで使っているツールは何か:Google Workspace / Microsoft 365 / どちらでもない(kintone・freee・Slackのみ等)
- [ ] 管理者アカウント(Admin)を持っているか:設定変更には管理者権限が必要。「自分のアカウントがあるだけ」という場合は、まず権限を確認する
- [ ] 社員全員がスマートフォンを持っているか:持っていない社員がいる場合の対応は後述する。事前に人数を把握しておくと展開がスムーズになる
1つ目と2つ目が確認できれば、次のセクションの手順に進める。3つ目に「No」がある場合は、後述の「スマートフォンを持っていない社員への対応」を先に読んでほしい。
ツール別・全社導入の手順
Google Workspaceを使っている場合
Google Workspaceの管理コンソールから、組織全体に二要素認証を強制適用できる。以下の手順で設定する。
admin.google.comにアクセスし、管理者アカウントでログインする- 左メニューの「セキュリティ」→「認証」→「2段階認証プロセス」を開く
- 「ユーザーに2段階認証プロセスを許可する」をONにする
- 「2段階認証プロセスの適用」の項目で「適用を有効化」を選択する
- 適用開始日を2週間後に設定する(「今すぐ有効化」ではなく猶予期間を設ける)
適用日を過ぎると、二要素認証を設定していない社員はGoogleアカウントにログインするたびに設定を求める画面が表示される。自分で設定を完了しない限りメールやGoogle Driveにアクセスできなくなるため、強制力がある。
猶予期間の2週間中に、社員全員に設定手順を案内しておくことが定着率を上げる。Googleアカウントの「セキュリティ」→「2段階認証プロセス」から、認証アプリ(Google AuthenticatorまたはMicrosoft Authenticator)を登録するだけだ。
なお、この機能はGoogle Workspace Business Starterを含む有料プランであれば追加費用なしで使える。旧G Suiteの無料プランは現在新規登録できないが、有料プランに移行済みであれば全て利用可能だ。
Microsoft 365(Entra ID)を使っている場合
Microsoft 365の場合、最速で全社に適用するには「セキュリティの既定値」を有効にする方法が最も簡単だ。従業員が50名以下であれば、この方法で十分な場合がほとんどだ。
entra.microsoft.comにアクセスし、管理者アカウントでサインインする- 左メニューの「概要」→「プロパティ」を開く
- 画面下部の「セキュリティの既定値の管理」をクリックする
- 「セキュリティの既定値を有効にする」を「はい」に切り替えて保存する
設定が有効になると、全ユーザーが次回サインイン時にMFA(多要素認証)の設定を求められる。Microsoft Authenticatorアプリをスマートフォンにインストールし、QRコードを読み込むだけで設定は完了する。
重要な制約: Microsoft 365のセキュリティの既定値では、SMS(ショートメッセージ)による認証コード送受信はサポートされていない。認証方法はMicrosoft Authenticatorアプリが前提となる。SMS認証を使いたい場合や、部門ごとに条件を細かく設定したい場合は、Entra ID P1プランが必要になる(別途費用発生)。
費用の整理は後述するが、M365 Basic以上のプランを契約していれば、セキュリティの既定値を使ったMFA適用は追加費用ゼロだ。
Business Premiumプランを契約している場合は「条件付きアクセス」が使える。「社外ネットワークからのアクセス時のみMFAを求める」「特定のアプリにアクセスするときだけMFAを要求する」といった細かい制御が可能になる。月額2,998円/ユーザー(税抜・2026年5月時点)と割高だが、管理を精緻にしたい場合の選択肢だ。
その他のクラウドサービス(kintone・freee・Slack等)
Google WorkspaceやMicrosoft 365以外のサービスは、各サービスのアカウント設定から個別に設定する必要がある。一括で管理する仕組みはないため、手作業で一つずつ対応することになる。
優先順位をつけて段階的に進めるのが現実的だ。以下の順序を目安にする。
- 会計ソフト(freee・マネーフォワード等):資金情報にアクセスできるため最優先
- メール・グループウェア:すでにGoogle WorkspaceまたはM365で対応済みならここはスキップ
- チャットツール(Slack・Teams等):社内情報が集まるため早めに対応する
- その他のクラウドサービス:利用頻度と重要度に応じて順次対応
各サービスのアカウント設定の「セキュリティ」または「プロフィール設定」から、二要素認証または多要素認証の項目を探して有効化する。手順はサービスによって異なるが、いずれも「設定 → セキュリティ → 二要素認証を有効化 → 認証アプリでQRコードを読み取る」という流れが大半だ。
費用はいくらかかるか
「二要素認証の導入にいくらかかるか」という疑問には、まず「ほぼかからない」と答えられる。
| 環境 | 追加費用 | 備考 |
|---|---|---|
| Google Workspace(有料プラン) | 0円 | 管理コンソールで設定するだけ |
| Microsoft 365(M365 Basic以上) | 0円 | セキュリティの既定値を有効化するだけ |
| SMS認証を使いたい・条件付きアクセスが必要 | ユーザーあたり月額899円(税抜) | Entra ID P1スタンドアロン契約の場合 |
| 専用MFAツール(TrustLogin等) | ユーザーあたり月額300円〜(税抜) | 複数サービスをまとめて管理したい場合 |
Google WorkspaceかMicrosoft 365を使っている中小企業であれば、追加費用なしで全社導入できる。費用が発生するのは「SMS認証を使いたい」「kintone・freeeなど複数のサービスをひとつの管理画面でまとめて管理したい」という場合に限られる。
専用のMFAツール(TrustLoginやIDAasなど)は、複数のクラウドサービスをまとめてシングルサインオンで管理したい場合に便利だが、Google Workspaceだけを使っている10〜25人規模の会社には過剰な投資になることが多い。まずはツールに内蔵された機能で始めて、管理負担が増えてから専用ツールの導入を検討する順序が妥当だ。
社員への展開で起きやすい問題と対処
「面倒くさい」という抵抗をどう扱うか
「ログインするたびにスマホを取り出すのが手間」という声は必ず出る。この抵抗に対しては、感情論ではなく事実で返す。
IPAの調査によると、ランサムウェア被害を受けた組織のうち復旧費用が500万円を超えるケースが多く、1,000万円以上に達した組織も半数を超えると報告されている。データの復旧作業費、業務停止中の機会損失、外部への情報漏洩時の対応費用を合算すると、中小企業にとって致命的なダメージになるケースがある。
一方、認証アプリの操作は慣れると30秒以下だ。「月に1件のフィッシング被害で数百万円失うリスク」と「毎回30秒の追加操作」を天秤にかければ、答えは明確だ。
定着率を上げるために、設定の手順書を全員に配布することを推奨する。「スマートフォンで認証アプリをインストールして、QRコードを読み取るだけ」という内容をスクリーンショット付きで1枚にまとめれば、サポートの問い合わせも減る。
強制適用は猶予期間を設けてから行う。いきなり強制するとログインできない社員が続出して混乱するため、2週間を目安に「この日以降は必須になります」と事前に周知した上で切り替える。
スマートフォンを持っていない社員への対応
スマートフォンを持っていない社員に対しては、以下の3つの選択肢がある。
選択肢1:社用スマートフォンを1台用意する(格安SIM、月数千円)
最もスムーズな方法だ。認証専用の端末として使い、部署の共有物にしておく。格安SIMでデータ通信のみの契約にすれば月額1,000円台から維持できる。
選択肢2:ハードウェアトークン(YubiKey等)を購入する(1本10,000〜22,000円程度)
スマートフォンが不要なUSB型の認証デバイスだ。PCのUSBポートに差し込むだけで認証できる。スマートフォンを持ちたくない社員には最も実用的な選択肢だ。費用は買い切りで、ランニングコストは発生しない。
選択肢3:メール認証またはSMS認証に切り替える
認証コードをメールまたはSMSで受け取る方法だ。設定の手間は最も少ないが、メールアカウント自体が乗っ取られた場合に機能しなくなるため、セキュリティ強度は最も低い。あくまでも暫定対応として位置づけるべきだ。また前述の通り、Microsoft 365のセキュリティの既定値ではSMS認証はサポートされていないため、M365環境ではこの選択肢が使えない点に注意する。
スマホを紛失・機種変更したときの対応手順
二要素認証の最大の運用リスクが「スマホを紛失した」「機種変更したら認証アプリのデータが引き継がれなかった」という事態だ。これを事前に準備しておく。
事前対策:バックアップコードを印刷して保管する
Google WorkspaceとMicrosoft Authenticatorはいずれも「バックアップコード」(リカバリーコード)を発行できる。これはスマートフォンがなくてもログインできる一時的なコードで、1回使い切りのものが10件前後発行される。設定完了時に印刷して金庫や鍵のかかるキャビネットに保管しておく。
発生時の対応:管理コンソールでMFA設定をリセットする
社員がスマホを紛失した場合、管理者が管理コンソールから当該ユーザーのMFA設定をリセットする。リセット後、社員は次回ログイン時に新しいデバイスで認証アプリを再設定できる。
- Google Workspaceの場合:管理コンソール → ユーザー → 該当ユーザーを選択 → 「2段階認証をオフにする」または「認証コードのリセット」
- Microsoft 365の場合:Microsoft Entra 管理センター → ユーザー → 該当ユーザーを選択 → 「MFA再登録を要求する」
社内規程に1行追加する
「機種変更前に必ず管理者(○○)に申告し、MFA設定の引き継ぎを完了させてから機種変更を行う」という一文を社内規程に追加しておく。これだけで機種変更後のロックアウトはほぼ防げる。
導入後の運用ルールを決める
設定を終えた後に、最低限以下の3点をルールとして決めておく。
- [ ] スマホ紛失・機種変更時の報告先と対応手順(誰に連絡するか、何をするか)
- [ ] 退職者のアカウント削除タイミング(退職日当日に管理者がアカウントを無効化・削除する)
- [ ] 新入社員のMFA設定を入社初日のオンボーディングチェックリストに組み込む
特に退職者対応は、抜け落ちやすいが重要だ。退職後もアカウントが有効なままだと、元社員によるアクセスリスクが残り続ける。退職日に「アカウントの無効化」を人事手続きと紐づけてチェックリスト化しておく。
新入社員の設定は、入社手続きの一部として組み込むのが最も確実だ。「入社初日に○○(担当者)と一緒にGoogle Authenticatorを設定する」とオンボーディングシートに明記しておけば、設定漏れがなくなる。
よくある質問
Q: 二要素認証を設定したら、パスワードは不要になるか
不要にはならない。二要素認証はパスワードに加えてスマートフォンによる認証を追加するものだ。パスワードの代わりになるのは「パスキー」と呼ばれる別の技術で、二要素認証とは異なる。パスワードは引き続き必要なため、強度の低いパスワードや使い回しは改善しておく必要がある。
Q: 認証アプリはGoogle Authenticatorでもいいか
技術的には問題なく使える。ただし、Microsoft Authenticatorをすすめる理由がある。Microsoft Authenticatorは認証コードの表示に加えて、プッシュ通知(「このサインインを承認しますか?」という確認ダイアログ)に対応している。コードを打ち込む手間がなく、ボタンを1回タップするだけで認証が完了するため、社員の操作が簡単になる。
また、Microsoft 365環境ではMicrosoft Authenticatorが公式推奨アプリのため、設定時のサポートドキュメントも充実している。特にこだわりがなければMicrosoft Authenticatorを統一アプリとして選定するほうが運用しやすい。
Q: シングルサインオン(SSO)との違いは何か
概念が異なる。シングルサインオン(SSO)は「1回のログインで複数のサービスにアクセスできる仕組み」だ。例えばGoogleアカウントでログインすると、GmailもGoogle DriveもGoogle Meetも追加のログインなしに使えるのがSSOの状態だ。
二要素認証は「ログイン時の本人確認を強化する方法」だ。SSOと二要素認証は相反するものではなく、「Googleアカウントに二要素認証を設定した上でSSOを使う」という組み合わせが一般的だ。
まとめ
IT担当がいない中小企業でも、Google WorkspaceかMicrosoft 365を使っていれば、今週中に全社導入できる。費用は追加でかからない。社員への展開も、2週間の猶予期間を設けて手順書を配れば、大きな混乱なく完了できる。
次の一歩は1つだけだ。まず管理コンソール(admin.google.com または entra.microsoft.com)を開いて、現在の二要素認証の設定状態を確認する。「有効・適用済み」なら完了。「未設定」なら今日の業務後に30分で設定できる。
確認するだけなら2分かからない。そこから動ける。