Contents
MFA ポリシー作成と適用手順
Google Workspace の管理コンソールで MFA を組織単位に強制するには、まず セキュリティポリシー を定義します。以下では、設定画面の具体的な操作フローを示します。
ポリシー作成の全体像
この節では、ポリシー作成から有効化までの主要ステップを順に説明します。
- 管理コンソールへログイン(管理者権限が必要)
- 左メニュー → [セキュリティ] > [基本設定] を選択
- 「二段階認証」項目の 「ポリシーを管理」 ボタンをクリック
- 新規ポリシー作成 を選び、名前・説明を入力
ポイント:ポリシー名は「全社 MFA 強制(2026 年版)」など、後から検索しやすい名称にすると監査時に便利です。
「二段階認証を必須にする」オプションの有効化
以下の手順で対象組織単位 (OU) またはグループへ強制適用します。
- 対象 OU/グループ を選択(例:
/全社OU、MFA_必須グループ) - 「二段階認証を必須にする」スイッチをオンにし、開始日を設定(即時または将来の日付)
- 保存 → ポリシーが有効になると対象ユーザーは次回サインイン時に MFA の登録が求められます
根拠:Google の公式ドキュメント(2026 年版)では、組織単位での強制適用がベストプラクティスとして推奨されています[^1]。
全社導入計画と周知プロセス
技術設定だけでなく、組織横断的なロードマップとコミュニケーションが成功の鍵です。本章では、導入対象・スケジュール・社内教育の3つの観点から具体策を提示します。
対象ユーザーの選定基準
まずは「誰に」MFA を適用するかを明確化し、リスクベースで段階的に拡大します。
- 全社員対象:ISO/IEC 27001・SOC2 の要件で全員が MFA 必須となるケース
- 段階的導入:管理者・営業・開発チームなどリスクの高い部門から先行し、パイロット結果を踏まえて全社展開
例)A 社(従業員180名)は、最初に IT 担当者30名と営業リーダー10名に対して2週間で導入し、合格基準(未登録端末率<5%)を満たした後、残り150名へ拡大しました。
導入スケジュール例とマイルストーン
以下のタイムラインは、プロジェクト管理ツールで可視化しやすい形にしています。
| フェーズ | 期間 | 主なタスク |
|---|---|---|
| 準備 | 1 週間 | プロジェクトチーム編成・ポリシー作成・社内承認 |
| パイロット | 2 週間 | 対象ユーザー10%に MFA 設定・テスト・フィードバック収集 |
| 全社展開 | 3 週間 | 残り全員へ設定依頼・サポート体制強化 |
| 定着支援 | 1 か月 | 再教育セミナー・ログレビュー・改善策実施 |
ポイント:各マイルストーンに「完了基準(例:未登録端末率5%以下)」を設定し、進捗管理ツールでトラッキングすると遅延防止につながります。
社内向けガイド配布と説明会の実施方法
情報提供は多層的に行い、ユーザーが自己完結できるようにします。
- PDF ガイド:QR コード生成手順・バックアップコード保管法を図解で掲載(約5 ページ)
- イントラ動画(5分以内):画面操作を録画し、YouTube 非公開で共有
- ライブ説明会:オンライン/オフラインで30分実施、必ず Q&A 時間を設ける
根拠:社内アンケート(2025 年度)では、視覚的マニュアルとライブ説明の併用により導入完了率が約20%向上したことが報告されています[^2]。
エンドユーザー向け Google Authenticator インストールマニュアル
実務で最も手間がかかるのは、各端末に認証アプリを導入しシークレットを登録する工程です。本章では iOS と Android 両方に対応した具体的な手順を示します。
アプリダウンロードとインストール(OS 別)
以下の表は、公式ストアから取得する際の主要ポイントをまとめたものです。
| OS | ダウンロード先 | 推奨設定 |
|---|---|---|
| iOS | App Store – 「Google Authenticator」 | インストール後に Face ID/Touch ID を有効化 |
| Android | Google Play ストア – 同名アプリ | インストール時にカメラ権限を許可 |
ポイント:企業管理端末の場合は MDM(モバイルデバイス管理)で事前配布すると、個別ダウンロードの手間が省けます。
QR コードによるシークレット登録手順
- 管理コンソールで対象ユーザーの 「二段階認証設定」 ページを開く
- 「QR コード表示」ボタンをクリックし、コードを画面に表示
- Google Authenticator アプリを起動 → 右上の 「+」 → 「バーコードをスキャン」 を選択
- カメラが QR を認識すると自動でアカウントが追加されます
ヒント:画面キャプチャ付きワンページマニュアルを配布すれば、ユーザーは 1 分以内に完了できます。
初回テスト認証の実施ポイント
設定後は必ず以下を確認します。
- Google Workspace に再サインインし、MFA 画面が表示されること
- Authenticator アプリに表示された6桁コードを入力して認証が成功するか
失敗した場合は端末の 「日付と時刻」 が自動同期になっているか確認してください。
リカバリー・緊急時対応フロー
デバイス紛失やロックアウトが発生した際に、迅速かつ安全に復旧できる手順を定めておくことは必須です。
バックアップコードの発行と保管方法
管理コンソールから 「バックアップコード」 を生成し、次のように配布します。
- 暗号化 PDF:ユーザー本人へメール送付、パスワードは別チャネルで通知
- 紙媒体:管理者向けに社内金庫で保管し、アクセス権を限定
バックアップコードは 10 個まで生成でき、1 回使用すると無効になるため「再発行手順」を SOP に明記しておきます。
管理者介入によるアカウント復旧フロー
ユーザーからのリクエストを受けた管理者は以下のステップで処理します。
- 本人確認(社内 ID、電話番号、上長承認)
- 管理コンソール → 「ユーザー」 > 該当ユーザー > 「二段階認証」 から 「リセット」 を選択
- 新しい QR コードまたはバックアップコードをユーザーに送付し、再設定を依頼
すべての操作は Admin audit log に自動記録され、監査レポートで確認できます。
パスワードリセットと MFA 再設定の連携
パスワードも忘れたケースでは次の手順で一括対応します。
- パスワードリセット:管理コンソールで一時パスワードを発行
- MFA 再設定:ユーザーは一時パスワードでサインイン後、上記リカバリー手順に従い Authenticator を再登録
参考事例)B 社ではこの連携フローを標準 SOP とし、平均対応時間を 45 分以内に抑えています[^3]。
運用・監査・コンプライアンスのベストプラクティス
導入後も継続的なモニタリングと教育が必要です。ここでは、ログレビュー・再教育・チェックリストの3本柱を紹介します。
認証ログの定期レビューと未登録端末検知
管理コンソールの 「レポート」 > 「認証」 で取得できるデータ活用例です。
- 月次レビュー:MFA 成功率・失敗回数を集計し、異常増加があればアラート設定
- 未登録端末レポート:新規デバイスでの認証が 5 件以上検出されたら通知
ポイント:Google Cloud の Log Analytics と連携すれば、リアルタイムダッシュボード化が可能です。
定期的な MFA 再教育・フィッシング訓練
ユーザーのセキュリティ意識は時間とともに低下します。年2回実施することで効果を維持できます。
- MFA 操作確認テスト:簡易クイズ形式で正答率90%以上を目標に設定
- フィッシング模擬メール:認証コード入力を誘導する疑似メールを送信し、クリック率を測定
2024 年度の業界ベンチマークでは、再教育実施企業は MFA 回避成功率が約30%低減したと報告されています[^4]。
ISO/IEC 27001・SOC2 対応チェックリスト
以下は導入・運用段階で確認すべき項目の抜粋です。
| 項目 | 確認内容 | 現在のステータス |
|---|---|---|
| ポリシー文書化 | MFA 強制ポリシーが公式ドキュメントに記載 | ✅ |
| 管理者権限最小化 | 権限は必要最低人数に限定 | ⬜ |
| ログ保管期間 | 認証ログを最低12か月保存 | ✅ |
| インシデント手順 | リカバリーフローが SOP に沿っているか | ⬜ |
| 教育・訓練記録 | 年2回の再教育実施履歴が残っているか | ✅ |
まとめ:チェックリストを四半期ごとにレビューし、未対応項目は改善計画へ組み込むことでコンプライアンスとセキュリティの両立が実現します。
用語集(Glossary)
| 用語 | 定義 |
|---|---|
| MFA | Multi‑Factor Authentication の略。二段階認証(2FA)を含む、複数要素で本人確認を行う方式。 |
| 二段階認証 | パスワードに加えて、時間ベースのワンタイムパスコード (TOTP) など第2要素を要求する認証手法。MFA の一形態。 |
| OU(組織単位) | Google Workspace における階層的なユーザー管理単位。ポリシーの適用範囲を限定できる。 |
| バックアップコード | MFA 設定時に生成される 10 個の一次的使用可能コード。デバイス紛失時の認証手段。 |
| MDM | Mobile Device Management の略。企業が端末を一括管理・配布する仕組み。 |
次のステップとお問い合わせ
- 管理コンソールで「二段階認証を必須にする」ポリシーを有効化
- 社内向け PDF ガイドと動画を作成し、全員へ配布
- 1か月後にログレビューと再教育テストを実施
導入支援やカスタマイズが必要な場合は、以下のリンクから無料相談をご予約ください。
Google Workspace MFA 導入サポート(お問い合わせ)
参考文献
[^1]: Google Workspace Admin Help, Enforce two‑step verification for your organization, 更新日2026年3月.
[^2]: 社内アンケート結果 (2025年度), 「MFA 導入支援ツールの効果測定」.
[^3]: B 社内部監査レポート, 「MFA 緊急復旧フロー実績」, 2024年12月.
[^4]: Verizon Data Breach Investigations Report (DBIR) 2024, Impact of multi‑factor authentication on breach rates.