MFAツールに潜む追加コストの5つのパターン
MFAツールの費用を正確に把握するには、カタログ掲載の月額費用だけでなく、利用状況や環境によって変動する追加コストをあらかじめ洗い出しておくことが重要です。
追加コストが発生する主な場面
MFAツールの追加コストは大きく5つのパターンに分類できます。(1) SMS認証を選んだ場合の送信料(認証SMS1通ごとに課金される従量課金)の高騰、(2) 基本プランに含まれない機能(PCログオンMFA・RADIUS連携・詳細ログ管理など)が別売りオプションになっていて予算超過するケース、(3) Microsoft Entra ID(旧Azure AD)の無料プランでは条件付きアクセス(Conditional Access)が使えないためPremiumプランへのライセンスアップグレードが必要なケース、(4) 乗り換え時の設定解除作業コスト・設定ミスによる業務停止損失、(5) クラウド型とオンプレミス型の3年間のトータルコスト(TCO)の差です。
これらの追加コストは、いずれも「導入前のコスト見積もり段階」で把握できる問題です。候補製品のカタログに「追加オプション費用」「SMS従量課金の単価と想定送信数」「プランごとの機能差異」が明記されているかを確認し、必要に応じてベンダーに見積もりを依頼することで、導入後の請求額の急増を防げます。
- ■SMS認証の従量課金
- 認証SMS1通ごとに課金。海外への送信・再送信の多用で月額コストが数倍に膨らむことがある
- ■隠れオプション費用
- PCログオンMFA・RADIUS連携・アクセスログのエクスポートなどが「別料金オプション」として設定されている製品がある
- ■ライセンスアップグレード費用
- Microsoft Entra ID P1/P2など上位プランへの全社員分のアップグレード費用が発生するケース
- ■乗り換えコスト
- 旧製品から新製品への移行作業工数・SSO設定の切り替えミスによる業務停止損失
- ■クラウド vs オンプレのTCO差
- 3年間の総費用でクラウド型の方が安価なケースが多いが、オンプレ型は初期構築コストが高い一方で月額費用が低い
コスト見積もり時に確認すべき質問リスト
MFAツールのベンダーに問い合わせるときに確認すべき追加コスト関連の質問を整理しておきましょう。(1) SMS送信の課金方式と1通あたりの単価(国内・海外別)、(2) PCへのログイン時にMFAを適用するためにオプション費用が必要かどうか、(3) VPN機器へのRADIUS連携、監査ログのエクスポート、SCIM連携がどのプランから使えるか、(4) ユーザー数が増減した場合の料金変化(月途中での追加・削除時の日割り計算の有無)、(5) 初期設定支援や導入コンサルティングが有償かどうかを確認しておくと、見積もり段階での「想定外費用」を防げます。
特に「現在は50名規模だが、将来的に200名・500名に拡大する見込みがある」企業は、ユーザー数が増えた場合の月額費用変化とボリュームディスカウントの有無を確認しておくことが重要です。スケールアップ時にプランの切り替えが必要かどうか、その際の設定引き継ぎの可否も合わせて確認しましょう。
SMS認証の従量課金と隠れオプション費用
「SMS認証が使えるプランを選んだ」だけでは費用の全体像が見えにくい場合があります。SMS認証の従量課金が実際に問題になる場面と、プランに含まれない機能の確認方法を解説します。
SMS送信コストが毎月急増するパターン
認証コードをSMS(ショートメッセージ)で送信する方式では、認証SMS1通ごとに費用が発生する「従量課金」を採用している製品があります。社員が多い企業や、ログイン頻度が高いシステム(複数のSaaSへのログインを毎日繰り返す環境)では、送信数が月に数万通を超えることがあります。さらに、海外拠点の社員への国際SMS送信は国内送信の数倍のコストになるため、グローバルで展開する企業では請求額が想定を大幅に超えることがあります。
SMS認証のコスト管理には、(1) SMS送信の従量課金ではなく、月額固定費に含まれるプランを選ぶ、(2) SMS認証に依存せず、アプリベースのTOTP(Google AuthenticatorやMicrosoft Authenticatorでオフラインで生成できるOTP:インターネット接続・SMS送信が不要)を標準の認証方式として採用する、(3) SMS認証の再送信回数を制限するポリシーを設定する(何度でも再送できる設定にすると「無駄打ち」によるコスト増を招く)という対策が有効です。SMS認証をメインの認証方式として採用する前に、月間想定送信数をシミュレーションしてコストを試算しましょう。
基本プランに含まれない機能のオプション費用
MFAツールの料金ページに「月額○○円/ユーザー」と記載されていても、自社が必要とする機能が基本プランに含まれず、有料オプションとして別途費用が発生するケースがあります。具体的には、「PCやMacへのログイン時にMFAを要求するWindowsログオン保護・macOS保護機能」「VPN機器と連携するためのRADIUSサーバー機能」「認証ログを90日以上保存して外部システムにエクスポートする機能」「SCIMプロビジョニング(SaaSへのユーザー自動追加・削除機能)」などが、上位プランまたは有料オプションとして設定されている製品があります。
これらのオプション費用は1ユーザーあたり月額数百~数千円の追加費用になることがあり、社員数が多い場合は全社員分の費用として相当額になります。製品選定時に「自社が必要な機能がすべて基本プランに含まれているか」を製品の料金ページと機能一覧で確認し、不明な点はベンダーに確認メールや問い合わせフォームで具体的に問い合わせることをおすすめします。「トライアル期間中は全機能が使えるが、契約後は選択したプランの機能のみ」という製品もあるため、トライアル中に必要な機能をすべてテストしてから契約しましょう。
Microsoft Entra IDのライセンスアップグレードコスト
Microsoft 365を利用している企業がMFAを強化する際に、Microsoft Entra ID(旧Azure AD)の無料プランと有料プランの機能差を把握していないと、想定外のライセンスコストが発生することがあります。
条件付きアクセスにEntra ID P1以上が必要な理由
Microsoft Entra ID(旧Azure AD)は、Microsoft 365のすべてのサブスクリプションに含まれる無料プランと、単体購入できるPremiumプラン(P1・P2)があります。無料プランでも基本的なMFA(多要素認証の強制)は利用できますが、「条件付きアクセス(Conditional Access:ユーザーの場所・デバイス・アプリなどの条件に基づいてアクセスを許可・拒否・MFAを要求するルールを設定する機能)」を使うにはEntra ID Premium P1(月額約650~900円/ユーザー:料金は変動します)以上が必要です。「VPN接続時のみMFAを要求する」「社外からのアクセス時だけMFAを適用する」などの柔軟なポリシー設定には、この条件付きアクセスが必要になります。
Microsoft 365 Business BasicやBusiness StandardではMicrosoft Entra ID Freeの基本機能を利用できますが、条件付きアクセスは含まれていないため、「高度なMFAポリシーを設定したい」場合はすべての社員のライセンスをPremiumにアップグレードするか、Microsoft 365 Business Premiumプラン(Entra ID P1を含む)に移行する必要があります。200名の会社でP1ライセンスを追加した場合、年間で相当の費用になるため、事前にコストシミュレーションをしてから計画することが重要です。
サードパーティのMFAツールとMicrosoft製品の組み合わせコスト比較
Microsoft Entra IDの条件付きアクセスを使う場合にMicrosoft Entra ID Premium P1ライセンスが必要になる一方で、サードパーティのMFAツール(OktaやSeciossLinkなどのIDaaS)を導入すると、Microsoft 365の基本ライセンスのままでも高度な条件付きアクセス相当の機能を実現できる場合があります。「Microsoft 365基本ライセンス+サードパーティMFAツール」という組み合わせが、「Microsoft 365 PremiumライセンスのみでMFAを完結させる」よりもコストが低くなるケースもあるため、両方のコストを比較した上で判断することが重要です。
コスト比較では、ライセンス費用だけでなく「設定・導入の工数コスト」「既存システムとの連携のしやすさ」「将来的に他のSaaSにも同じMFAを展開したいか(その場合はサードパーティMFAが有利な場合が多い)」も含めて総合判断することが、長期的なコスト最適化につながります。現在使っているMicrosoft 365のプランと人数を整理し、ベンダー各社に見積もり依頼することが選定の第一歩です。
乗り換えコストとクラウド・オンプレのTCO比較
MFAツールは「一度導入したら長期間使い続ける」製品のため、乗り換え時のコストと中長期のトータルコストを把握しておくことが重要です。
MFAツール乗り換え時の設定解除リスクと移行コスト
MFAツールを別製品に乗り換える際には、旧製品のIdP(認証基盤)として設定されているSAML連携を各SaaSから切り離し、新製品のIdPに再設定するという作業が必要です。この「SSO/MFA設定の切り替え」を誤った手順で実施すると、一時的に全社員がSaaSにログインできなくなる状況が発生することがあります。例えば、旧IdPとの連携を先に切ってしまうと、新IdPの設定が完了するまでの間、Microsoft 365・SalesforceなどのすべてのSaaSへのアクセスが完全に失われます。
乗り換え時のリスクを最小化するには、(1) 移行作業は業務時間外(深夜・休日)に実施する、(2) 一部のユーザーだけ新IdPに移行して動作確認してから全社に展開する段階的移行を採用する、(3) 旧IdPの設定を残したまま並行運用する期間を設ける、(4) 移行手順書を事前に作成してベンダーのサポートを受けながら作業するなどの対策が有効です。乗り換えの際は、移行作業の支援がベンダーから受けられるかを確認しておくことが重要です。
クラウド型IDaaSとオンプレミス構築の3年間TCO比較
従業員200名規模でのMFA導入を検討する場合、クラウド型IDaaS(月額課金型のサービス)とオンプレミス型(社内サーバーにADFSとMFAサーバーを構築する方式)の3年間のトータルコストは、一般的にクラウド型の方が低くなるケースが多くあります。オンプレミス型はサーバー購入費・OS・ソフトウェアライセンス・設置工事・初期設定コンサルティング費用など高額な初期コストが発生し、さらに3~5年に一度のサーバー更新費用・保守費用・担当者の維持管理工数が継続的に発生します。
クラウド型は初期費用が低く、月額課金で費用が予測しやすい点が特徴です。ただし、ユーザー数が多い大規模環境では月額費用の積み上がりが大きくなるため、必ずしもクラウド型がオンプレミス型より安くなるとは限りません。3年間の総費用を比較する際は、(1) 初期費用(機器・ライセンス・設定費用)、(2) ランニングコスト(月額費用・保守・運用工数)、(3) 更新・アップデートコスト(オンプレの場合は機器更新・バージョンアップ費用)の3つを合算して比較することが正確なTCO算出につながります。
まとめ
MFAツールの追加コストは、SMS認証の従量課金・隠れオプション費用・Microsoft Entra IDのライセンスアップグレード・乗り換え時の移行コスト・クラウドとオンプレのTCO差の5つが代表的です。導入前にベンダーへの問い合わせで「自社の利用規模・連携要件・将来の拡張計画」を踏まえた見積もりを取得し、必要な機能がすべて含まれたプランと3年間の総費用を比較した上で製品を選ぶことで、導入後の想定外コストを防ぐことができます。
