二要素認証：会計専門職向けガイド

会計専門職における二要素認証が必須である理由

会計事務所は毎日、極めて機密性の高い財務データを扱っています：税務申告書、決算書、給与明細、数百社の顧客企業の銀行口座情報などです。2025年、ANSSI年次報告書によると、規制対象職業を狙ったフィッシング攻撃は1年間で37%増加しました。この脅威に直面して、二要素認証（2FA）（多要素認証（MFA）とも呼ばれる）は推奨される最初の技術的防御線です。

二要素認証は単純な原則に基づいています：システムにアクセスするために、ユーザーは2つの異なる要素を通じてその身元を証明する必要があります。最初の要素は通常「知っていることは何か」（パスワード）、2番目は「持っていることは何か」（スマートフォン、物理キー）または「あなたが何であるか」（生体認証データ）です。このメカニズムにより、パスワードだけの盗難による攻撃はほぼ不可能になります。これは依然としてVerizon DBIR 2024報告書によると、データ侵害の81%を占めています。

会計専門家にとって、eIDAS規制およびその強力な認証要件への準拠はもはやオプションではなく、規制上および倫理上の必要性です。この記事では、ステップバイステップで、事務所で2FAを設定する方法、どのツールを選択するか、そしてこの移行において協力者をサポートする方法について説明します。

---

会計セクターに適した二要素認証方法

認証アプリケーション（TOTP）

会計事務所で最も一般的な方法は、時間ベースのワンタイムパスワード（TOTP）を生成するアプリケーションの使用です。Google Authenticator、Microsoft Authenticator、Autyのようなソリューションは、30秒ごとに更新される6桁のコードを生成します。このコードは、登録段階でアプリケーションに保存される共有シークレットに関連付けられています（QRコードのスキャン）。

事務所の利点：追加費用なしのデプロイ、オフラインでも機能、ほぼすべての会計ソフトウェア（Sage、Cegid、ACD、MyUnisoft）と互換性があります。欠点：協力者がスマートフォンを失った場合、回復手順を事前に計画する必要があります（復旧コードを安全な場所に保管するため）。

物理セキュリティキー（FIDO2/WebAuthn）

機密データの大量処理や頻繁な監査の対象となる事務所の場合、物理セキュリティキー（YubiKeyまたはFetianタイプ）は最高レベルの保護を提供します。FIDO2およびWebAuthn標準に基づいており、設計上フィッシング耐性があります：キーはサイトのドメインを暗号的に検証してから認証します。これは「中間者」タイプの攻撃を無効にします。

ますます多くの税務ポータルおよび強制提出プラットフォーム（DGFiP、infogreffe）が、これらの標準を受け入れる傾向があります。百のマンデートを管理する事務所は、キーの購入（ユニットあたり約50～80€）を数週間でセキュリティインシデント管理時間の削減のおかげに費用対効果を高めることができます。

SMS OTP：機密データには避けるべき

多くのシステムではSMSで送信されたコードがまだオプションですが、米国のNIST（国立標準技術研究所）は2016年にこれらを強力な認証方法のカテゴリから格下げしました。SIMスワッピング攻撃（電話番号を攻撃者が管理するSIMカードに不正に転送すること）は、過去数年間にフランスの複数の会計事務所に影響を与えています。税務データへのアクセスまたは法務・会計事務所向け電子署名ツールの場合、SMS OTPは最後の手段としてのみ考慮されるべきです。

---

二要素認証を設定する方法：ステップバイステップガイド

ステップ1 — アプリケーションのインベントリと範囲の定義

技術的なデプロイメント前に、事務所で使用されているすべてのアプリケーションの完全なインベントリを作成してください：

• 会計ソフトウェア：Cegid Loop、Sage 100 Cloud、ACD Inforce、Quadratus、MyUnisoft
• メッセージングおよびコラボレーションツール：Microsoft 365、Google Workspace、Slack
• ドキュメント管理および署名ツール：提出プラットフォーム、ワークフロータール
• リモートアクセス：VPN、RDP、仮想デスクトップ
• クライアントポータル：クライアントとのドキュメント交換スペース

各アプリケーションについて、2FAが利用可能かどうか（設定の「セキュリティ」セクション）および対応する方法（TOTP、FIDO2、SMS）を確認してください。アクセス可能なデータの機密性に基づいて、各アプリケーションを重要度別に分類してください。

ステップ2 — 技術的デプロイメントと協力者の登録

Microsoft 365の場合、設定はAzure Active Directory（Entra ID）ポータルを通じて行われます。「セキュリティデフォルト」を有効化するか、または10人以上の協力者がいる事務所の場合、条件付きアクセスポリシーを設定してください（Business Premiumライセンス以降で利用可能）。これらのポリシーにより、特定の条件でのみ2FAを必須にすることができます：オフィス外からのアクセス、未知のデバイスからの接続、異常な時間帯。

会計ソフトウェアの場合、手順はエディターによって異なります：

• Cegid Loop：セキュリティ設定 > ダブル認証を有効化 > 各ユーザーのQRコードを生成
• MyUnisoft：管理 > セキュリティ > 強力な認証 > すべてのプロフィールで2FAを強制
• Sage 100 Cloud：Sage管理者またはReseller経由でMFAモジュール有効化を連絡

各協力者とのオンボード会議を予定してください（1人あたり15～20分）。各ユーザーに復旧コード記載の要約シートを配布し、安全で物理的な場所（例えば事務所の金庫）に保管してください。

ステップ3 — 管理方針と緊急手続

技術的なセットアップは仕事の半分に過ぎません。文書化されたセキュリティ方針は以下を明確にする必要があります：

• 2FAを一時的に無効化できるユーザー（システム管理者のみ、協力者自身ではない）
• デバイス紛失時の手続：アカウントの即座のブロック、復旧コードの再生成、監視下での再登録
• 見直し頻度：アクセスおよび認証方法の半年ごとの監査
• 退職時の対応：協力者退職時のアクセスおよび2FAシークレットの即座の取り消し

この方針は事業継続計画（BCP）および一般データ保護規則（GDPR）に基づくデータ処理レジスターに自然に統合されます。Certyneo Help Centerに相談することで、小規模および中規模機関に適応したポリシーテンプレートを提供してもらえます。

---

電子署名ツールとの2FA統合

eIDAS規制で定義されている高度な電子署名または適格電子署名では、署名者の強力な認証が必要です。具体的には、事務所が顧客に契約書や委任状への署名を提出する際、署名プラットフォームは署名者の身元を強固な方法で確認する必要があります。これはまさに2FAが関与する場所です。

eIDAS準拠の署名プラットフォーム（高度なレベルまたは適格レベル）では、署名者はメールでリンクを受け取り、その後、別のチャネル（SMS、認証アプリケーション、または適格証明書）を通じて身元を確認する必要があります。このプロセスはタイムスタンプ付きの暗号的に検証可能な監査証跡を作成し、これは紛争の場合の反論の余地がない証拠になります。これは、すべてのミッションで民事責任を負う会計専門家にとって重要です。

署名のさまざまなレベルを理解し、ドキュメントフローに適するものを選択するため、電子署名完全ガイドの読解が推奨されます。Certyneoを使用する事務所は、署名プロセスに2FAがネイティブに統合されており、署名者の摩擦を減らしながら必要なコンプライアンスレベルを維持します。

委任状（OEC専門規範2400に基づく強制）および監査役報告に特に注意を払う必要があります。これらのドキュメントは専門家の個人的責任を引き受け、反論の余地のない認証追跡可能性が必要です。また、AI契約生成ツールを使用して、これらのドキュメント作成を自動化しながら、設計時点で強力な認証要件を統合することもできます。

---

協力者を養成し、啓発する：人的要因

最も厳格な技術的デプロイメントでも、協力者がリスクを理解していないか、セキュリティ装置を迂回する場合、効果がありません。会計専門職では、チームはしばしば非常に異なるプロフィールで構成されています：上級パートナー、ジュニア協力者、インターン、事務長。トレーニングは各プロフィールに適応する必要があります。

5～30人の事務所向け推奨感度啓発プログラム：

1. 立ち上げセッション（1時間）：具体的なリスク提示（業界内の匿名化された実際のインシデント例）、ライブデモンストレーション設定、Q&A
2. 短いビデオチュートリアル（各3～5分）：各重要アプリケーション用に1つのチュートリアル、事務所イントラネットで利用可能
3. シミュレートされたフィッシング演習：デプロイメント3ヶ月後に偽のフィッシングメールを送信して、実際の警戒度を測定し、追加サポートが必要な協力者を特定します
4. オンボーディング統合：すべての新しい協力者は最初の日に2FAを設定し、専任の参照人がいます

会計専門家会（OEC）はまた、年間義務的な継続教育（記載専門家にとって40時間）の枠内でサイバーセキュリティに関する研修リソースを提供します。これらの研修は、事務所がISO 9001認証を受けているか、サイバーセキュリティ認証（ANSSI ExpertCyberラベルなど）を目指しており、品質アプローチで価値を高めることができます。

会計専門職における強力な認証に適用される法的枠組み

会計事務所における二要素認証の実装は、複数の基本的なテキストを中心に構成された密度の高い規制枠組みの一部です。

規則eIDAS n°910/2014およびその改正eIDAS 2.0（EU規則2024/1183）は、ヨーロッパでの電子識別に関するすべてのための参照の基礎を構成します。第8条は、電子識別手段の3つの信頼レベルを定義します：低、実質的、高。会計専門家の専門的責任を引き受けるアクション（報告書署名、オンラインで税務リターン検証）の場合、「実質的」または「高」信頼レベルが必要です。これは必ず多要素認証を含みます。

GDPR（EU規則2016/679）その第32条では、責任者は個人データのセキュリティを保証するための「適切な技術的および組織的措置」を実装することを義務付けています。会計事務所は機密性の高い個人データを処理します（財務データ、病気の休暇を伴う給与明細を通じた健康データなど）。会計ソフトウェアへのアクセスで2FAがないことは、この条項への違反であり、最高世界年間売上の4%（GDPR第83条）に達する罰金にさらされます。

民法第1366条および1367条は電子署名の法的価値を規制します。第1367条は「電子署名プロセスの信頼性は、このプロセスが適格電子署名を実装する場合、反対の証拠があるまで、推測されます」と明記しています。強力な認証はこの信頼性の推定の本質的なコンポーネントです。

NIS2指令（EU指令2022/2555）は、2024年5月21日のフランス法n°2024-449およびその適用命令によってフランス法に転置され、広範な対象へのサイバーセキュリティ義務を拡張します。会計事務所は本質的なエンティティとして直接記載されていませんが、必須またはミッションクリティカルエンティティにデジタルサービスを提供する場合（医療施設、地方自治体、重要インフラ企業）は、契約による供給業者義務により間接的に従う可能性があります。

会計専門家会の専門規範2400は、法的ミッションを処理する事務所については、情報システムのセキュリティ面で強化された努力義務を課しています。ANSSIは、その「TPE/PMEサイバーセキュリティガイド」（2024年版）で、MFAを最小限のセキュリティ対策として明示的に推奨しています。

民事専門責任：顧客データの侵害が2FA不在に起因する場合、事務所のRCP保険会社は保証を削減または拒否するための根拠として特徴的な過失を主張することができます。2FDEプロイメント技術ドキュメントを勤勉さの証拠として保管することが強く推奨されます。

ユースケース：会計事務所における2FAの実践

シナリオ1 — 中規模の会計事務所

約15人の協力者を集めた事務所で、約400の活動中のマンデートを管理しており、フィッシング事件の後で2FAの導入を決定しました。このインシデント中に、給与ソフトウェアへのアクセスが危険にさらされる可能性がありました。経営陣はMicrosoft 365（メール、SharePoint、Teams）とそのクラウド会計ソフトウェアのネイティブTOTPアプリケーションを選択しました。

デプロイメントは3週間で完了しました：1週間のインベントリと設定、1週間の5人グループでの協力者の登録、1週間のフォローアップと問題修正。結果：導入後12ヶ月間でアカウント侵害インシデントはゼロでしたが、前年は2件のインシデントがありました。セキュリティインシデント管理時間は約70%削減されました。事務所は、複数のクライアント企業（製造企業顧客がサプライヤーセキュリティ規約を課している中小企業を含む）に対して、システムがMFA要件に準拠していることを証明することができました。

シナリオ2 — 中小企業の法定監査に特化した事務所

約60の法定監査マンデートを管理する会計監査事務所は、特定の要件に直面しました：顧客がミッションの更新時にGDPR準拠の証拠を要求する傾向がますます強くなっています。事務所は、パートナーのためにFIDO2セキュリティキーをデプロイすることを選択しました（最も機密データへのアクセス）、シニア協力者のためのTOTPアプリケーション、一方で低感度アクセスのためのSMS OTPのみを維持していました。

同時に、事務所は監査役報告フローに高度な電子署名を統合し、署名者の強力な認証を体系的に行いました。生成された監査証跡のおかげで、報告書の提出日に異議を唱えるクライアントとの2つの潜在的な紛争は、ホドログ記録された認証ログを提出することにより、事務所に有利に解決できました。報告書署名の削減（平均5日から24時間未満）により、請求流動を流動化でき、事務所の現金フローは約15%改善されました。

シナリオ3 — 外部成長段階の事務所

2年間で3つの独立した構造を吸収した地域会計事務所ネットワークは、システムの重大な不均一性に直面しました：吸収された一部の事務所には2FAポリシーがなく、他の事務所はSMS OTPを使用していました。グループはこの統合を利用して、2FAを強制する統一ID管理（IAM）ソリューション上で統一しました。

初期投資（IAMライセンス、研修、支援）は、グループ全体（約45人の協力者）に対して約8,000€と推定されました。見返りとして、セキュリティインシデント関連コスト（IT事業者干渉、危機管理）の削減は最初の年に15,000～20,000€と推定されました。グループは、保険会社に2FDEプロイメントドキュメントを提供することにより、サイバー保険料の約20%削減を交渉することもできました。

結論

二要素認証はもはや大規模事業に限定されるぜいたくではありません：これはすべての会計事務所（サイズに関わらず）にとって必須のセキュリティおよび準拠命令です。GDPR要件、ANSSI推奨事項、電子署名用eIDAS義務、サプライヤーセキュリティ規範に関するクライアントの増加する圧力の間で、2FAは業界内で不可欠な基準になっています。

良いニュースは：デプロイメントは今日、アクセス可能、迅速、そして低コストです。この記事で説明されている手順に従うことで（アプリケーションのインベントリ、適応的な方法の選択、協力者の登録、文書化されたポリシーの草案化）、事務所は数週間で堅牢なセキュリティレベルに到達することができます。

Certyneoは電子署名フロー内に強力な認証をネイティブに統合し、複雑さの追加なしにeIDAS準拠とセキュリティMFAを組み合わせることができます。オファーと料金を発見するか、当社チームに連絡して、事務所の準拠への個別サポートを受けてください。