MFA（多要素認証）

多要素認証（MFA）は、アカウントやシステムへのアクセスを許可する前に、ユーザーに2つ以上の独立した認証要素の提示を求めるセキュリティ手法です。パスワードだけに頼るのではなく、MFAは異なるカテゴリの要素を組み合わせます。知識要素（パスワードやPIN）、所持要素（電話、ハードウェアトークン、メールの受信トレイ）、または生体要素（指紋や顔認識）です。攻撃者が複数の無関係な要素を同時に侵害する必要があるため、MFAは不正アクセスのリスクを劇的に低減します。たとえパスワードが弱かったり、使い回されていたり、データ漏洩で流出していたりしても同様です。

パスワードはアカウントセキュリティにおける最も脆弱なポイントです。サービス間で使い回され、フィッシング攻撃で捕捉され、データベース侵害で漏洩します。機密コンテンツ、クライアント文書、有料パブリケーション、[リードデータ](/glossary/lead-capture)を管理するデジタルパブリッシャーにとって、アカウントの侵害はアクセス喪失だけを意味しません。クライアント情報の流出、パブリケーションの改ざん、信頼の毀損につながりかねません。MFAはアカウント乗っ取りの試みの大多数をブロックするバリアを追加します。複数の[チームメンバー](/features/team-collaboration)がパブリッシングプラットフォームへのアクセスを共有している場合は特に重要です。一人の侵害された認証情報が組織全体のコンテンツを危険にさらすべきではないからです。

FlipLinkは、アカウントMFAの設定でダッシュボードをゲートする代わりに、多要素の原則をパブリケーションレベルで適用します。機密コンテンツについては、FlipLinkは[OTP認証](/glossary/otp)を提供し、特定のドキュメントへのアクセスを許可する前に、承認されたメールアドレスにワンタイムコードを送信します。これはリンクそのものの上に重ねられる認証要素です。個別パブリケーションの[パスワード保護](/features/password-protection)や[メール許可リスト](/glossary/email-allowlist)と組み合わせることで、公開コンテンツの周囲に独立した複数のアクセス制御層が構築されます。このように、MFAという用語は通常アカウントのログインを指しますが、FlipLinkにおける実質的な相当機能は、各ドキュメントを誰が開けるかを検証するパブリケーションレベルのコントロール群です。

- **フィッシング耐性。** SMSやメールコードを使用する標準的なMFAは自動化されたクレデンシャルスタッフィングを阻止しますが、巧妙な攻撃者はSMSメッセージを傍受したり、ユーザーを騙してコードを転送させたりする可能性があります。認証アプリ（Google AuthenticatorやAuthyなど）はコードがネットワーク上を移動しないため、フィッシングに対してより耐性があります。 - **復旧計画。** 認証要素がデバイスや受信トレイに依存する場合は常に、アクセスが失われたときにどうするかを計画しておきましょう。FlipLinkの[OTP認証](/glossary/otp)では、承認済みメールアドレスのリストを最新に保ち、アドレスを変更した受信者にも引き続き届くようにし、機密性の高いパブリケーションには代替の連絡先を用意してください。 - **セッション管理。** MFAはセッションが適切な間隔で期限切れになる場合に最も効果的です。無期限にアクティブなセッションはMFAの利点を減少させます。盗まれたセッショントークンが第二要素をバイパスするためです。 - **保護範囲。** アカウントレベルのMFAはパブリッシャーのダッシュボードを保護します。しかし、パブリックリンク経由で共有されるコンテンツは、[パスワード保護](/features/password-protection)や[OTP](/glossary/otp)などのパブリケーションレベルのコントロールに依存します。機密資料には両方の層を有効にすべきです。

1. **強力で一意なアカウントパスワードを使用する。** FlipLinkのログインはダッシュボードへの入り口なので、パスワードマネージャーに保存した長く一意なパスワードで保護してください。他のサービスのパスワードを使い回さないでください。 2. **パブリケーションレベルの認証を有効にする。** 機密ドキュメントには[OTP認証](/glossary/otp)を有効にし、ドキュメントが開く前に、承認されたメールに送信されたワンタイムコードを閲覧者が入力する必要があるようにします。これはリンクの上に重ねられる第二の要素です。 3. **必要な場所にパスワード保護を追加する。** すでにパスワードを持つ人だけに届けるべき個別パブリケーションには、[パスワード保護](/features/password-protection)を適用してください。 4. **許可リストでアクセスを制限する。** [メール許可リスト](/glossary/email-allowlist)を使用してパブリケーションを既知のメールアドレスの集合に限定し、検証された受信者だけが開けるようにします。 5. **機密資料ではコントロールを重ねる。** 最も機密性の高いドキュメントには、OTP、パスワード保護、許可リストを組み合わせてください。各要素は独立しているため、攻撃者はそのすべてを突破しなければなりません。 6. **定期的にアクセスを見直す。** アクセスが不要になった[チームメンバー](/features/team-collaboration)を削除し、共有しなくなったパブリケーションを取り下げてください。アクティブな認証情報を持つ未使用のアクセスは、よくある攻撃ベクトルです。

**「MFAは大企業にしか必要ない。」** アカウント乗っ取り攻撃は、企業と同じ頻度で個人や小規模チームも標的にします。FlipLinkアカウントに有料パブリケーション、クライアントデータ、またはリード情報が含まれている場合、チームの規模に関係なくMFAを有効にする価値があります。 **「強力なパスワードがあればMFAは不要。」** 強力でユニークなパスワードでも、フィッシング、他のサービスでのデータ漏洩、マルウェアによって侵害される可能性があります。MFAは保険として機能します。パスワードが破られても、第二要素が攻撃者をブロックし続けます。 **「MFAはログインを遅くしすぎる。」** 6桁のコードの入力はログインプロセスに約5秒を追加するだけです。この些細な不便さは、アカウント乗っ取りによる数時間から数日の業務中断と比較すれば無視できるものです。 **「SMS認証は認証アプリと同じくらい安全。」** SMSベースのコードはMFAなしよりは良いですが、SIMスワッピング攻撃やネットワーク傍受に脆弱です。認証アプリはデバイス上でローカルにコードを生成するため、傍受が大幅に困難になります。