【第7回】パスワードだけでは足りない～多要素認証（MFA）のすすめ～

2026-05-13ウィンバード　教育DX準備室

DX 校務DX ゼロトラスト

「パスワードさえ管理していれば大丈夫」——そう思っていませんか？残念ながら、現代のサイバー攻撃の前では、パスワードだけによる認証はほぼ「無効」と考えるべき状況になっています。

「パスワードは定期的に変えているから問題ない」
「複雑なパスワードを設定している。これで安全では？」
「MFAって不便そう。先生から苦情が来そうで導入に踏み切れない」

パスワードが「複雑」「定期変更」されていても、フィッシングで一瞬で盗まれます。多要素認証（MFA）はその「盗まれた後」の最後の防衛線です。

パスワードが「効かない」3つの理由

なぜパスワードだけでは不十分なのか。攻撃者の視点から見ると、パスワードを盗む手段はいくらでもあります。

1. フィッシング

「文部科学省からのお知らせ」など本物そっくりの偽メール・偽サイトで、先生自身にパスワードを入力させる。
複雑なパスワードでも一瞬で盗まれます。

2. 使い回し攻撃

別のサービスで流出したIDとパスワードを使って、学校のシステムに侵入を試みる。
「校務と個人は同じパスワード」という先生が狙われます。

3. のぞき見・付箋

モニターの横に貼られた付箋、職員室でのパスワード入力の肩越し確認。
技術的な攻撃より、こちらの方が実は多いケースもあります。

玄関の「鍵」が一本だけの家

鍵が一本だけの家は、その鍵を複製されたら終わりです。最近の家では「ドアロック＋チェーン錠」「スマートロック＋暗証番号」など二重・三重の仕組みが当たり前になっています。パスワードだけのログインは「鍵一本の家」です。
MFAは「もう一本の鍵」を加えることに相当します。

多要素認証（MFA）とは何か

MFA （Multi-Factor Authentication）は、ログイン時に「2つ以上の異なる種類の証明」を求める仕組みです。

「不便」を乗り越えるMFA導入の現実解

MFA導入の最大の障壁は「不便になる」という現場の懸念です。しかし、導入方法次第で不便さは大幅に軽減できます。

シングルサインオン（SSO）と組み合わせる

シングルサインオン（SSO）と組み合わせると、例えば1日1回MFAを通過すれば、その後は一定時間複数のシステムを自由に使えます。「毎回スマホを確認する」という手間が最小化されます。

「信頼済み端末」を登録する

同じ端末・同じネットワークからのアクセスは「信頼済み」として扱い、MFAをスキップできる設定が多くのサービスで可能です。校内からのアクセスは毎回通知が来ない、という運用が実現できます。

顔認証・指紋認証を活用する

Windows Helloや指紋認証に対応した端末では、生体認証がMFAの第二要素になります。スマホを出す必要もなく、端末に指を当てるだけでログインが完了します。

まとめ

MFAは「不便にするためのセキュリティ」ではなく
「盗まれた後の最後の砦」

パスワードが漏れることを「ゼロにする」のは不可能です。しかし漏れた後の被害を最小化することはできます。MFAはその最も確実な手段です。導入コストより、インシデント発生時の損失の方が圧倒的に大きいことを忘れずに。

今日の「5分でチェック！」

確認してみましょう

校務システム・メール・クラウドサービスへのログインに多要素認証（MFA）が適用されていますか？

先生が複数のシステムで同じパスワードを使い回していないか確認しましたか？

フィッシングメールを受け取った場合の対応手順が職員に周知されていますか？

攻撃者にパスワードを盗まれることは、もう「起こりえること」として想定すべきです。

その前提に立って、MFAで「盗まれても入れない」仕組みを作る。

それが今の学校に必要なセキュリティの最低ラインです。

この記事の著者

ウィンバード　教育DX準備室

教育DXパッケージ推進担当。これまで全国の学校で数百回におよぶ設定支援や講習会講師を務めた経験を持ち、現場目線での課題解決が得意。「導入して終わり」にさせない、運用定着までを見据えた実務的なアドバイスを心がけている。保有資格：・Google 認定教育者 Level 1 & 2 ・Professional ChromeOS Administrator ・Professional Chrome Enterprise Administrator

あわせて読みたい

教育DXのこと、ユーザー管理のこと…お気軽にご相談ください！

まずは相談してみる