業務においてのクラウド利用が定着したことで、社内システムやクラウドストレージへのアクセス経路は以前より複雑になっています。本社オフィスだけでなく、自宅、VPN、外出先、外部パートナーの環境など、さまざまな場所から業務データにアクセスするようになりました。その中で、不正アクセス対策としてよく使われるのが、MFAとIPアドレス制限です。
「MFAを設定しているから安全」
「IP制限をかけているから外部からは入れない」
「どちらか一方を入れていれば十分」
こう考えられることもありますが、実際にはMFAとIP制限は守っている対象が異なります。MFAが確認するのは「本人かどうか」です。一方、IP制限が見ているのは「どこから接続しているか」です。この違いを理解しないまま片方だけに頼ると、不正アクセス対策に思わぬ死角が残ります。
本記事では、MFAとIP制限の違いを整理したうえで、IP制限だけでは防げないリスク、MFAだけでも残るリスク、そして対象別にどのように組み合わせるとよいかを解説します。
Contents
MFAとIP制限は何を守る仕組みなのか
MFAとIP制限は、どちらもアクセス制御に関わる仕組みです。ただし、見ているポイントは違います。MFAは、ログインしようとしている人が正当な利用者である可能性を高める仕組みです。パスワードに加えて、認証アプリのワンタイムパスワード、スマートフォンへのプッシュ通知、SMS認証、物理セキュリティキーなどを使います。
パスワードだけでは、漏洩や使い回しによって第三者にログインされるリスクがあります。MFAを設定しておけば、パスワードが知られても、追加の認証要素がなければログインされにくくなります。一方、IPアドレス制限は、どこから接続しているかを確認する仕組みです。あらかじめ許可したIPアドレス、たとえば本社の固定IPやVPNの出口IPなどからのアクセスだけを許可し、それ以外の接続元を遮断します。つまり、MFAは「本人性」を補強する仕組みであり、IP制限は「接続元」を絞る仕組みです。
この2つは、どちらかがどちらかの代わりになるものではありません。本人性と接続元を別々のレイヤーで確認するからこそ、不正アクセス対策としての強度が上がります。
IP制限だけでは防げない3つの死角
IP制限は有効な対策ですが、万能ではありません。接続元を絞ることはできますが、許可された場所からのアクセスが常に安全とは限らないためです。
死角1:許可済みIP内からの不正アクセス
IP制限は、接続元IPアドレスが許可リストに含まれているかを見ます。裏を返すと、許可済みIPからのアクセスであれば、接続元の条件は通過します。
たとえば、社内ネットワーク上の端末で、第三者が他人のIDとパスワードを使ってログインした場合、IP制限だけでは止められません。接続元は正しいからです。これは内部不正に限った話ではありません。共有端末、退職予定者のアカウント、放置された認証情報、マルウェア感染端末など、許可済みネットワークの内側にもリスクは存在します。
IP制限は、社外からの無差別なログイン試行を減らす効果があります。ただし、許可されたネットワーク内でアカウント情報が悪用された場合、本人かどうかまでは確認できません。ここを補うのがMFAです。接続元が正しくても、追加の認証要素を求めることで、なりすましのリスクを下げやすくなります。
死角2:VPN経由のアクセスが許可済みIPに見える
テレワーク環境では、VPNを経由して社内システムやクラウドストレージに接続する構成がよく使われます。この場合、ユーザーが自宅や外出先からアクセスしていても、システム側からはVPNの出口IPからのアクセスとして見えることがあります。この構成自体は一般的です。ただし、VPNの認証情報が漏えいし、第三者がVPNに接続できてしまうと、その後のアクセスは許可済みIPからのアクセスとして扱われる可能性があります。
IP制限だけを見ると、正しい接続元からのアクセスに見えてしまうわけです。そのため、VPNを使うなら、クラウドストレージ側だけでなく、VPNに入る段階でもMFAを求めたいところです。VPNに入られた後で止めるのではなく、VPNに入る前の本人確認を強くする考え方です。
死角3:退職者・異動者のアカウントが残っている
IP制限をかけていても、退職者や異動者のアカウントが残っていれば、不正利用の余地が残ります。IP制限は、アカウントが現在も利用してよい状態かどうかまでは判断しません。退職者のIDが有効なまま残っており、パスワードも変更されていない場合、許可済みネットワークやVPN経由でログインできる可能性があります。
特に、管理者アカウントや共有アカウント、高権限ユーザーの棚卸しが不十分な場合は注意が必要です。IP制限をしていても、アカウント管理が崩れていれば、アクセス制御全体としては安全と言いにくくなります。
ここでは、IP制限の見直しだけでは足りません。退職・異動時のアカウント無効化、権限変更、MFAの適用状況をセットで確認する必要があります。
MFAだけでも残るリスク
一方で、MFAを設定していればIP制限が不要になるわけでもありません。MFAは本人確認を強化する仕組みですが、認証が成功した後の接続元や操作範囲まですべて制御するものではありません。また、MFAにも運用上の限界があります。
フィッシングでMFAを突破される可能性がある
MFAを導入していても、フィッシングによって認証情報やワンタイムコードを入力させられるリスクは残ります。攻撃者が本物そっくりのログイン画面を用意し、ユーザーがパスワードと認証コードを入力してしまえば、認証を突破される可能性があります。近年は、認証セッションを奪うタイプの攻撃もあり、MFAを設定しているだけで完全に安全とは言えません。
特に、SMS認証やワンタイムパスワードは、何もない状態よりは強固ですが、フィッシング耐性という意味では限界があります。重要なアカウントでは、認証アプリ、プッシュ通知、端末証明書、物理セキュリティキーなど、より強い方式も検討対象になります。
MFA疲れによる承認ミスが起きる
プッシュ通知型のMFAでは、ユーザーのスマートフォンに承認要求が届きます。便利な一方で、何度も通知が届くと、内容を確認せずに承認してしまうことがあります。これを悪用する攻撃では、攻撃者がパスワードを入手したうえで、繰り返しMFA通知を送り、ユーザーが誤って承認するのを狙います。
MFAを設定していても、「自分がログインしていないのに承認通知が来たら拒否する」という基本が浸透していなければ、運用上のリスクは残ります。仕組みを入れるだけでなく、ユーザーが正しく判断できる状態にしておくことも、MFA運用の一部です。
認証後の操作までは制御できない
MFAはログイン時の本人確認を強化しますが、ログイン後に何ができるかは、権限設定やアクセス制御の問題です。たとえば、MFAを突破してログインしたユーザーに広い権限が付与されていれば、機密フォルダの閲覧、ファイルのダウンロード、共有リンクの発行、権限変更などができてしまいます。MFAは入口の対策です。ログイン後の操作範囲を制限するものではありません。
そのため、MFAを導入していても、権限の最小化、ダウンロード制限、共有リンクの期限設定、操作ログの確認などを組み合わせて見る必要があります。
MFAとIP制限をどう組み合わせるか
MFAとIP制限は、どちらか一方を選ぶものではありません。接続元と本人性を別々のレイヤーで確認することで、不正アクセスのリスクを下げる考え方です。ただし、すべてのユーザー、すべてのシステムに同じ強度の制御をかけると、運用負荷が大きくなります。実務では、対象の重要度や利用シーンに応じて組み合わせを変える方が現実的です。
| 対象 | IP制限 | MFA | 設計の考え方 |
| 一般社員 | 必要に応じて適用 | 原則適用 | 社外アクセスがある場合はMFAを基本にする |
| 管理者アカウント | 強く推奨 | 必須 | 高権限IDはIP制限とMFAを組み合わせる |
| VPN利用者 | VPN出口IPを制限対象にする | VPN認証にも適用 | VPNに入る段階で本人確認を強化する |
| 外部パートナー | 案件に応じて限定 | 可能なら適用 | 共有範囲・期限・認証をセットで考える |
| 重要データ利用者 | 強く推奨 | 必須 | 機密度が高い領域は多層防御にする |
この表のポイントは、全員に同じ制御を機械的に当てることではありません。リスクが高い対象から優先的に、IP制限とMFAを組み合わせることです。特に、管理者アカウント、VPN利用者、外部パートナー、機密情報を扱うユーザーは優先度が高くなります。
管理者アカウントは最優先で組み合わせる
MFAとIP制限を組み合わせる対象として、最初に確認したいのは管理者アカウントです。管理者アカウントは、ユーザー追加、権限変更、ログ確認、共有設定の変更など、システム全体に影響する操作ができます。ここが侵害されると、一般ユーザーのアカウント侵害よりも被害範囲が大きくなります。
管理者アカウントでは、IP制限とMFAの両方を適用する設計が基本になります。たとえば、管理画面へのアクセスは社内ネットワークまたはVPN経由に限定し、ログイン時には必ずMFAを求める。さらに、管理者権限を持つユーザー数を絞り、日常業務用のアカウントと管理操作用のアカウントを分ける。こうした設計にしておくと、仮に一般ユーザーの認証情報が漏えいしても、管理画面まで一気に到達されるリスクを下げられます。
管理者アカウントは、便利だから広く付与するものではありません。必要な人に、必要な範囲で、必要な期間だけ付与する運用にしておく方が安全です。
VPN利用では入口のMFAが効いてくる
VPNを使っている企業では、クラウドストレージ側のIP制限だけで安心しないことが大切です。VPN経由のアクセスは、システム側から見ると許可済みIPからのアクセスに見える場合があります。そのため、VPN認証が突破されると、その後のアクセス制御が弱くなる可能性があります。
この構成では、VPNログイン時にMFAを求めることが効果的です。クラウドストレージ側でMFAを設定するだけでなく、VPNに接続する段階でも本人確認を強化します。
また、VPNを利用する全員に同じ範囲のアクセスを許可する設計も注意が必要です。VPNに接続できた時点で社内リソース全体へアクセスできる構成だと、VPN認証を突破されたときの影響範囲が一気に広がります。ユーザーや部門ごとに、アクセスできるシステムやフォルダを分ける設計にしておくと、侵害時の被害範囲を抑えやすくなります。
外部パートナーには共有範囲と期限をセットで考える
外部パートナーや業務委託先にアクセスを許可する場合は、MFAとIP制限だけでなく、共有範囲と期限もセットで設計します。外部パートナーに対しては、IP制限を使って接続元を限定できる場合があります。ただし、相手先のネットワーク環境や働き方によっては、固定IPでの制限が難しいこともあります。
その場合は、MFA、ゲストユーザー権限、共有リンクの有効期限、ダウンロード制限などを組み合わせてリスクを下げます。ここで避けたいのは、外部パートナーを社内ユーザーと同じ前提で扱ってしまうことです。
外部パートナーには、必要なフォルダだけを見せる、編集権限を限定する、契約終了時にアクセスを失効する、操作ログを確認できるようにする、といった運用が欠かせません。IP制限やMFAは、外部パートナー管理全体の中で、接続元と本人確認を補強するための要素として整理すると分かりやすくなります。
重要データには多層防御で対応する
個人情報、契約書、設計情報、顧客情報、財務情報など、漏えい時の影響が大きいデータでは、単一の対策に依存しない設計が求められます。
MFAで本人性を確認し、IP制限で接続元を絞る。さらに、権限設定で閲覧・編集できる範囲を限定し、共有リンクには有効期限を設定し、操作ログでアクセス状況を確認する。こうした複数の制御を組み合わせることで、どれか一つが破られても被害を広げにくくできます。特に、重要データでは「ログインできるか」だけでなく、「ログイン後に何ができるか」まで確認することが欠かせません。
MFAを入れているからダウンロードし放題でよい、IP制限をしているから共有リンクを無期限にしてよい、という判断は危険です。重要データでは、認証、接続元、権限、操作ログをセットで確認する方が安全です。
運用時に確認したいポイント
MFAとIP制限を組み合わせる際は、細かい設定項目を増やすよりも、まず重要なポイントを押さえることが大切です。確認したいのは、管理者アカウントにMFAが必須になっているか、VPN認証にもMFAを適用しているか、許可済みIPからのアクセスでもユーザー単位の権限管理ができているか、外部パートナーのアクセス範囲と期限が決まっているか、重要データへのアクセスログを確認できるか、という点です。
この5点が曖昧な場合、MFAやIP制限を導入していても、運用上の抜け穴が残っている可能性があります。逆に、これらを整理できていれば、MFAとIP制限を単なる設定ではなく、不正アクセス対策の設計として説明しやすくなります。
クラウドストレージ選定時に確認したいこと
クラウドストレージを選定・見直しする際は、MFAとIP制限をそれぞれ単独の機能として見るのではなく、組み合わせて運用できるかを確認します。たとえば、ユーザーやグループ単位でMFAを適用できるか、管理者アカウントに強制できるか、IPアドレス制限を全社・ユーザー・グループ単位で設定できるか、アクセスログで接続元IPや操作内容を確認できるか、といった点です。
また、外部共有やゲストユーザーに対して、どこまで認証・権限・期限を設定できるかも確認しておきたいところです。社内ユーザーには強い制御をかけていても、外部共有リンクが無期限で誰でもアクセスできる状態では、全体としての安全性は下がります。
たとえばFleekdriveのような法人向けクラウドストレージでは、ユーザー権限、IPアドレス制限、操作ログ、外部共有の設定を組み合わせた運用を検討できます。機能があるかどうかだけでなく、自社の業務ルールに合わせて運用できるかを確認しておくと、導入後の管理もしやすくなります。
MFA×IP制限の簡易チェックリスト
現在のアクセス制御が十分か、まずは以下を確認してください。
- 管理者アカウントにMFAを必須化している
- 管理画面へのアクセス元を制限している
- VPN認証にもMFAを適用している
- 許可済みIPからのアクセスでも、ユーザーごとの権限を分けている
- 外部パートナーのアクセス範囲と期限を設定している
- 重要データへのアクセスログを確認できる
- MFAやIP制限の例外を定期的に見直している
「IP制限をしているから大丈夫」「MFAを入れているから大丈夫」と片方だけで判断するのではなく、本人性、接続元、権限、ログを組み合わせて確認することが大切です。
まとめ
MFAとIPアドレス制限は、どちらも不正アクセス対策に有効な仕組みです。ただし、守っている対象は異なります。MFAは、ログインしようとしている人が正当な利用者である可能性を高めます。IP制限は、接続元を許可されたネットワークに絞ります。
IP制限だけでは、許可済みIP内からの不正アクセスや、VPN経由でのなりすましを防ぎきれません。一方で、MFAだけでも、フィッシング、認証後の過剰権限、外部共有の設定ミスまでは防げません。大切なのは、どちらか一方を選ぶことではなく、リスクの高い対象から組み合わせることです。
管理者アカウント、VPN利用者、外部パートナー、重要データへのアクセスでは、MFAとIP制限を組み合わせ、さらに権限管理や操作ログ確認も含めて設計する必要があります。
アクセス制御は、「設定しているか」ではなく、「どのリスクに対して、どの制御を組み合わせているか」で評価したい領域です。MFAとIP制限を正しく組み合わせることで、単なるログイン制限ではなく、実態に合った不正アクセス対策として運用しやすくなります。
