AI仕様駆動開発IDEのKiroは業務で使えるのか妄想してみた

今日もまた、ホワイトボードに描く空想の地図を前に、余白を埋める作業の波が押し寄せる。
こんにちは、takahashiです。

要件定義や設計って頭の中には考えが浮かんできますが、それをドキュメント化するのって大変ですよね。

さて、生成AIを活用した仕様駆動開発の「Kiro」がAWSから7/14に突如公開されました。注目のSpec機能は自然言語から要件定義→設計→タスクを定義し、コードを自動生成するというもので、その開発アプローチは果たして実業務に適用できそうなのか完全プライベート時間で試してみました。

aws.amazon.com

Kiro 注目の機能「Spec」を試そう

まずはアイコンが劇的にかわいい！

実際に新規プロダクトを作ってみました。

Kiroを起動して右カラムのSpecが選択された状態で作りたいプロダクトのコンセプトをチャットフォームに入力してEnterを押します。
今回はKiroにKiroっぽいWebツールを作ってもらうことにしました。

1. 要件定義が requirements.md ファイルに記述されていきます。要件定義が終わって右下の赤枠で囲ったボタンを押すと設計が始まります。

2. 設計は design.md ファイルに記述されます。

3. 要件定義→設計を経てタスクが task.md に落とし込まれ、青枠の「Start task」をクリックするとAIエージェントがタスクリストにあるタスクを次々と実装していきます。

下記の画像のようにモデルの利用可能トークンが許す限りタスクに沿ってモリモリ開発されていきます。

タスクが終わったあとに少しだけローカル環境構築の命令をした工程と結果は割愛しますが、Docker上でDBが構築され、PHP(Laravel) + ReactのWebプロダクトとしてブラウザで表示されて動作しました。

ここまででは実際の仕事として新規プロダクト開発業務で使えるかどうかは微妙で、モックを作ったりPoCで利用するレベルであれば使えるかもしれません。

そして、ここからが本題です。

既存プロダクトの改修に「Spec」が有用か

「ログイン機能に多要素認証機能をつけたい」
例えば上記のような要望があったとします。
PdM（プロダクトマネージャー）やPjM（プロジェクトマネージャー）はここから要件定義をしていくわけですが、KiroのSpecに同じ要望を雑に投げかけてみると下記のような要件定義・設計・タスクが作られました。

要件定義（requirements.md）

# 多要素認証機能 要件書

## はじめに

本機能は、既存のログイン機能にセキュリティ強化のための多要素認証（MFA: Multi-Factor Authentication）を追加するものです。ユーザーは従来のメール・パスワード認証に加えて、第二の認証要素を使用してアカウントのセキュリティを向上させることができます。

## 要件

### 要件 1: TOTP（Time-based One-Time Password）認証の設定

**ユーザーストーリー:** ユーザーとして、Google Authenticator や Authy などの TOTP アプリを使用して多要素認証を設定したい。これにより、アカウントのセキュリティを強化できる。

#### 受け入れ基準

1. WHEN ユーザーがプロフィール設定画面で MFA 設定を選択 THEN システムは QR コードとシークレットキーを表示する
2. WHEN ユーザーが TOTP アプリで QR コードをスキャン THEN アプリは 6 桁の認証コードを生成する
3. WHEN ユーザーが生成された認証コードを入力して確認 THEN システムは MFA を有効化し、バックアップコードを生成する
4. IF MFA 設定が完了 THEN システムはユーザーに 10 個のバックアップコードを表示し、保存を促す

### 要件 2: ログイン時の MFA 認証

**ユーザーストーリー:** MFA を有効にしたユーザーとして、ログイン時に第二の認証要素を求められることで、不正アクセスから保護されたい。

#### 受け入れ基準

1. WHEN MFA 有効ユーザーがメール・パスワードでログイン THEN システムは MFA 認証画面を表示する
2. WHEN ユーザーが正しい TOTP コードを入力 THEN システムはログインを完了し、認証トークンを発行する
3. WHEN ユーザーが間違った TOTP コードを入力 THEN システムはエラーメッセージを表示し、再入力を求める
4. WHEN ユーザーが 3 回連続で間違ったコードを入力 THEN システムは一時的にアカウントをロックし、5 分間の待機時間を設ける

### 要件 3: バックアップコードによる認証

**ユーザーストーリー:** TOTP アプリにアクセスできない状況のユーザーとして、バックアップコードを使用してログインしたい。これにより、デバイス紛失時でもアカウントにアクセスできる。

#### 受け入れ基準

1. WHEN ユーザーが MFA 認証画面で「バックアップコードを使用」を選択 THEN システムはバックアップコード入力画面を表示する
2. WHEN ユーザーが有効なバックアップコードを入力 THEN システムはログインを完了し、使用されたコードを無効化する
3. WHEN ユーザーが無効または使用済みのバックアップコードを入力 THEN システムはエラーメッセージを表示する
4. IF バックアップコードが残り 3 個以下 THEN システムは新しいバックアップコードの生成を推奨する

### 要件 4: MFA 設定の管理

**ユーザーストーリー:** ユーザーとして、MFA 設定を無効化したり、新しいバックアップコードを生成したりできるようにしたい。これにより、セキュリティ設定を柔軟に管理できる。

#### 受け入れ基準

1. WHEN ユーザーがプロフィール設定で MFA 無効化を選択 THEN システムは現在のパスワードと TOTP コードの入力を求める
2. WHEN 正しい認証情報が入力された THEN システムは MFA を無効化し、関連データを削除する
3. WHEN ユーザーが新しいバックアップコード生成を選択 THEN システムは現在の TOTP コードの入力を求める
4. WHEN 正しい TOTP コードが入力された THEN システムは古いバックアップコードを無効化し、新しい 10 個のコードを生成する

### 要件 5: 管理者による MFA 管理

**ユーザーストーリー:** 管理者として、組織のセキュリティポリシーに基づいて MFA の強制設定や緊急時の無効化を行いたい。

#### 受け入れ基準

1. WHEN 管理者がユーザー管理画面で MFA 強制設定を有効化 THEN 対象ユーザーは次回ログイン時に MFA 設定を求められる
2. WHEN 管理者が緊急時にユーザーの MFA を無効化 THEN システムは該当ユーザーの MFA 設定を削除し、通知メールを送信する
3. WHEN 管理者が MFA 統計を確認 THEN システムは組織内の MFA 有効化率と使用状況を表示する
4. IF 管理者が MFA 必須ポリシーを設定 THEN 新規ユーザーは初回ログイン後 24 時間以内に MFA 設定を完了する必要がある

### 要件 6: セキュリティ監査とログ

**ユーザーストーリー:** セキュリティ担当者として、MFA 関連のアクティビティを監査できるようにしたい。これにより、セキュリティインシデントの検出と対応が可能になる。

#### 受け入れ基準

1. WHEN MFA 認証が成功または失敗 THEN システムは詳細なログを記録する（IP アドレス、タイムスタンプ、結果）
2. WHEN バックアップコードが使用される THEN システムは使用されたコードと使用者情報をログに記録する
3. WHEN MFA 設定が変更される THEN システムは変更内容と実行者をログに記録する
4. IF 異常な MFA 失敗パターンが検出された THEN システムは管理者に警告通知を送信する

### 要件 7: ユーザビリティとアクセシビリティ

**ユーザーストーリー:** 様々な技術レベルのユーザーとして、MFA 設定と使用を簡単に理解し、実行できるようにしたい。

#### 受け入れ基準

1. WHEN ユーザーが MFA 設定画面にアクセス THEN システムは分かりやすい手順説明とヘルプリンクを表示する
2. WHEN ユーザーが QR コードをスキャンできない THEN システムは手動入力用のシークレットキーを提供する
3. WHEN ユーザーが MFA 認証でエラーが発生 THEN システムは具体的で理解しやすいエラーメッセージを表示する
4. IF ユーザーがスクリーンリーダーを使用 THEN MFA 関連の全ての要素は適切な ARIA ラベルとキーボードナビゲーションをサポートする

設計（design.md）

# 多要素認証機能 設計書

## 概要

本設計書は、既存の Laravel + React プロジェクトに多要素認証（MFA）機能を追加するための技術設計を定義します。TOTP（Time-based One-Time Password）方式を採用し、Google Authenticator や Authy などの認証アプリとの連携を実現します。

## アーキテクチャ

### システム構成

```mermaid
graph TB
    subgraph "Frontend (React)"
        A[Login Page] --> B[MFA Setup Page]
        A --> C[MFA Verification Page]
        B --> D[Profile Settings]
        C --> E[Dashboard]
    end

    subgraph "Backend (Laravel)"
        F[AuthController] --> G[MFAController]
        G --> H[MFAService]
        H --> I[TOTPGenerator]
        H --> J[BackupCodeGenerator]
    end

    subgraph "Database"
        K[users table]
        L[user_mfa_settings table]
        M[mfa_backup_codes table]
        N[mfa_audit_logs table]
    end

    subgraph "External"
        O[TOTP Apps]
        P[QR Code Generator]
    end

    F --> K
    G --> L
    G --> M
    G --> N
    B --> P
    O --> C
```

### データフロー

1. **MFA 設定フロー**

    - ユーザーが MFA 設定を開始
    - システムがシークレットキーと QR コードを生成
    - ユーザーが TOTP アプリで QR コードをスキャン
    - ユーザーが認証コードで設定を確認
    - システムがバックアップコードを生成

2. **MFA 認証フロー**
    - ユーザーがメール・パスワードでログイン
    - システムが MFA 認証画面を表示
    - ユーザーが TOTP コードまたはバックアップコードを入力
    - システムが認証を検証し、セッションを確立

## コンポーネントとインターフェース

### バックエンドコンポーネント

#### 1. MFAController

```php
class MFAController extends Controller
{
    public function setupMFA(Request $request): JsonResponse
    public function verifySetup(Request $request): JsonResponse
    public function verifyMFA(Request $request): JsonResponse
    public function disableMFA(Request $request): JsonResponse
    public function generateBackupCodes(Request $request): JsonResponse
    public function getStatus(Request $request): JsonResponse
}
```

#### 2. MFAService

```php
class MFAService
{
    public function generateSecret(): string
    public function generateQRCode(string $secret, string $email): string
    public function verifyTOTP(string $secret, string $code): bool
    public function generateBackupCodes(): array
    public function verifyBackupCode(int $userId, string $code): bool
    public function enableMFA(int $userId, string $secret): void
    public function disableMFA(int $userId): void
}
```

#### 3. TOTPGenerator

```php
class TOTPGenerator
{
    public function generateSecret(int $length = 32): string
    public function generateCode(string $secret, int $timestamp = null): string
    public function verifyCode(string $secret, string $code, int $window = 1): bool
    public function getQRCodeUrl(string $secret, string $label, string $issuer): string
}
```

### フロントエンドコンポーネント

#### 1. MFASetup Component

```typescript
interface MFASetupProps {
    onComplete: () => void;
    onCancel: () => void;
}

const MFASetup: React.FC = ({ onComplete, onCancel }) => {
    // QRコード表示、認証コード入力、バックアップコード表示
};
```

#### 2. MFAVerification Component

```typescript
interface MFAVerificationProps {
    onSuccess: (token: string) => void;
    onError: (error: string) => void;
}

const MFAVerification: React.FC = ({
    onSuccess,
    onError,
}) => {
    // TOTP認証、バックアップコード認証
};
```

#### 3. MFASettings Component

```typescript
interface MFASettingsProps {
    isEnabled: boolean;
    onToggle: (enabled: boolean) => void;
}

const MFASettings: React.FC = ({ isEnabled, onToggle }) => {
    // MFA有効/無効切り替え、バックアップコード再生成
};
```

## データモデル

### 1. user_mfa_settings テーブル

```sql
CREATE TABLE user_mfa_settings (
    id BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    user_id BIGINT UNSIGNED NOT NULL,
    secret VARCHAR(255) NOT NULL,
    is_enabled BOOLEAN DEFAULT FALSE,
    enabled_at TIMESTAMP NULL,
    last_used_at TIMESTAMP NULL,
    failed_attempts INT DEFAULT 0,
    locked_until TIMESTAMP NULL,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    updated_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    FOREIGN KEY (user_id) REFERENCES users(id) ON DELETE CASCADE,
    UNIQUE KEY unique_user_mfa (user_id)
);
```

### 2. mfa_backup_codes テーブル

```sql
CREATE TABLE mfa_backup_codes (
    id BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    user_id BIGINT UNSIGNED NOT NULL,
    code VARCHAR(255) NOT NULL,
    used_at TIMESTAMP NULL,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    FOREIGN KEY (user_id) REFERENCES users(id) ON DELETE CASCADE,
    INDEX idx_user_unused (user_id, used_at)
);
```

### 3. mfa_audit_logs テーブル

```sql
CREATE TABLE mfa_audit_logs (
    id BIGINT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    user_id BIGINT UNSIGNED NOT NULL,
    action VARCHAR(50) NOT NULL, -- 'setup', 'verify_success', 'verify_failed', 'disable', 'backup_used'
    ip_address VARCHAR(45),
    user_agent TEXT,
    details JSON,
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
    FOREIGN KEY (user_id) REFERENCES users(id) ON DELETE CASCADE,
    INDEX idx_user_action (user_id, action),
    INDEX idx_created_at (created_at)
);
```

### 4. Eloquent モデル

#### UserMFASetting Model

```php
class UserMFASetting extends Model
{
    protected $fillable = [
        'user_id', 'secret', 'is_enabled', 'enabled_at',
        'last_used_at', 'failed_attempts', 'locked_until'
    ];

    protected $casts = [
        'is_enabled' => 'boolean',
        'enabled_at' => 'datetime',
        'last_used_at' => 'datetime',
        'locked_until' => 'datetime',
    ];

    public function user(): BelongsTo
    public function isLocked(): bool
    public function incrementFailedAttempts(): void
    public function resetFailedAttempts(): void
}
```

## エラーハンドリング

### エラータイプと対応

1. **認証エラー**

    - 無効な TOTP コード: `INVALID_TOTP_CODE`
    - 期限切れコード: `EXPIRED_CODE`
    - アカウントロック: `ACCOUNT_LOCKED`

2. **設定エラー**

    - MFA 既に有効: `MFA_ALREADY_ENABLED`
    - 無効なシークレット: `INVALID_SECRET`
    - バックアップコード不足: `INSUFFICIENT_BACKUP_CODES`

3. **システムエラー**
    - QR コード生成失敗: `QR_GENERATION_FAILED`
    - データベースエラー: `DATABASE_ERROR`

### エラーレスポンス形式

```json
{
    "success": false,
    "error": {
        "code": "INVALID_TOTP_CODE",
        "message": "認証コードが正しくありません。",
        "details": {
            "attempts_remaining": 2,
            "lockout_time": null
        }
    }
}
```

## テスト戦略

### 単体テスト

1. **TOTPGenerator テスト**

    - シークレット生成の検証
    - コード生成・検証の正確性
    - 時間窓の動作確認

2. **MFAService テスト**

    - MFA 設定・無効化の動作
    - バックアップコード生成・検証
    - 失敗回数制限の動作

3. **Model テスト**
    - データ整合性の確認
    - リレーションシップの動作
    - バリデーションルールの検証

### 統合テスト

1. **API エンドポイント**

    - MFA 設定フローの完全テスト
    - 認証フローの検証
    - エラーケースの処理

2. **フロントエンド**
    - コンポーネントの動作確認
    - ユーザーインタラクションのテスト
    - エラー表示の検証

### セキュリティテスト

1. **認証バイパス**

    - MFA 無効化の不正試行
    - セッション固定攻撃
    - CSRF 攻撃の防御

2. **ブルートフォース**
    - 認証コード総当たり攻撃
    - アカウントロック機能
    - レート制限の動作

## セキュリティ考慮事項

### データ保護

1. **シークレットキーの暗号化**

    - データベース保存時の暗号化
    - メモリ上での適切な処理
    - ログ出力時のマスキング

2. **バックアップコードの保護**
    - ハッシュ化による保存
    - 使用後の即座な無効化
    - 生成時の一時表示のみ

### 攻撃対策

1. **タイミング攻撃**

    - 認証処理時間の一定化
    - レスポンス時間の標準化

2. **リプレイ攻撃**

    - TOTP の時間窓制限
    - 使用済みコードの記録

3. **ソーシャルエンジニアリング**
    - バックアップコードの適切な説明
    - フィッシング対策の啓発

## パフォーマンス最適化

### データベース最適化

1. **インデックス設計**

    - user_id による高速検索
    - 使用状況の効率的な取得

2. **クエリ最適化**
    - N+1 問題の回避
    - 適切な Eager Loading

### キャッシュ戦略

1. **MFA 設定のキャッシュ**

    - Redis による設定情報の保存
    - 適切な TTL 設定

2. **失敗回数の管理**
    - メモリベースのカウンター
    - 定期的なデータベース同期

## 運用・監視

### ログ記録

1. **監査ログ**

    - 全ての MFA 関連操作の記録
    - 異常パターンの検出

2. **パフォーマンスログ**
    - 認証処理時間の監視
    - エラー率の追跡

### アラート設定

1. **セキュリティアラート**

    - 異常な失敗パターンの検出
    - 大量の MFA 無効化の検出

2. **システムアラート**
    - MFA 関連エラーの急増
    - データベース接続エラー

## 依存関係

### 新規追加パッケージ

1. **PHP パッケージ**

    - `pragmarx/google2fa-laravel`: TOTP 実装
    - `endroid/qr-code`: QR コード生成
    - `paragonie/random_compat`: セキュアな乱数生成

2. **JavaScript パッケージ**
    - `qrcode.js`: QR コード表示
    - `otpauth`: TOTP 検証（開発時のテスト用）

### 設定要件

1. **環境変数**

    - `MFA_ISSUER_NAME`: TOTP 発行者名
    - `MFA_BACKUP_CODES_COUNT`: バックアップコード数（デフォルト: 10）
    - `MFA_LOCKOUT_DURATION`: ロック時間（デフォルト: 5 分）

2. **キュー設定**
    - MFA 関連の非同期処理
    - 監査ログの非同期記録

タスク（task.md）

# 多要素認証機能 実装タスク

-   [ ] 1. 依存関係の追加とプロジェクト設定

    -   Composer 経由で MFA 関連パッケージを追加（pragmarx/google2fa-laravel, endroid/qr-code）
    -   npm 経由でフロントエンド用 QR コードライブラリを追加
    -   環境変数の設定とコンフィグファイルの作成
    -   _要件: 1.1, 1.2, 1.3, 1.4_

-   [ ] 2. データベース構造の実装
-   [ ] 2.1 MFA 関連テーブルのマイグレーション作成

    -   user_mfa_settings, mfa_backup_codes, mfa_audit_logs テーブルのマイグレーション作成
    -   適切なインデックスと外部キー制約の設定
    -   _要件: 1.1, 2.1, 3.1, 4.1, 6.1_

-   [ ] 2.2 Eloquent モデルの実装

    -   UserMFASetting, MFABackupCode, MFAAuditLog モデルの作成
    -   リレーションシップとスコープの定義
    -   バリデーションルールの実装
    -   _要件: 1.1, 2.1, 3.1, 4.1_

-   [ ] 3. バックエンドコアサービスの実装
-   [ ] 3.1 TOTPGenerator サービスの実装

    -   シークレットキー生成機能の実装
    -   TOTP 認証コード生成・検証機能の実装
    -   QR コード URL 生成機能の実装
    -   単体テストの作成
    -   _要件: 1.1, 1.2, 1.3_

-   [ ] 3.2 MFAService の実装

    -   MFA 設定の有効化・無効化機能の実装
    -   バックアップコード生成・検証機能の実装
    -   失敗回数制限とアカウントロック機能の実装
    -   監査ログ記録機能の実装
    -   単体テストの作成
    -   _要件: 1.1, 1.4, 2.4, 3.1, 3.2, 3.3, 4.1, 4.2, 6.1, 6.2_

-   [ ] 4. MFA API エンドポイントの実装
-   [ ] 4.1 MFAController の基本機能実装

    -   MFA 設定開始エンドポイント（QR コード生成）の実装
    -   MFA 設定確認エンドポイント（TOTP 検証）の実装
    -   MFA 状態取得エンドポイントの実装
    -   _要件: 1.1, 1.2, 1.3_

-   [ ] 4.2 MFA 認証エンドポイントの実装

    -   TOTP 認証エンドポイントの実装
    -   バックアップコード認証エンドポイントの実装
    -   認証失敗時のロック機能の実装
    -   _要件: 2.1, 2.2, 2.3, 2.4, 3.1, 3.2, 3.3_

-   [ ] 4.3 MFA 管理エンドポイントの実装

    -   MFA 無効化エンドポイントの実装
    -   バックアップコード再生成エンドポイントの実装
    -   管理者用 MFA 管理エンドポイントの実装
    -   _要件: 4.1, 4.2, 4.3, 4.4, 5.1, 5.2_

-   [ ] 5. 認証フローの統合
-   [ ] 5.1 既存 AuthController の拡張

    -   ログイン処理に MFA 認証ステップを追加
    -   MFA 有効ユーザーの認証フロー分岐の実装
    -   セッション管理の拡張（MFA 認証待ち状態の管理）
    -   _要件: 2.1, 2.2_

-   [ ] 5.2 認証ミドルウェアの実装

    -   MFA 認証必須チェックのミドルウェア作成
    -   MFA 設定強制のミドルウェア作成
    -   管理者権限チェックの拡張
    -   _要件: 2.1, 5.1, 5.4_

-   [ ] 6. フロントエンド基盤コンポーネントの実装
-   [ ] 6.1 MFA 関連の API サービス実装

    -   mfaService.ts の作成（API 呼び出し関数群）
    -   エラーハンドリングとレスポンス型定義
    -   Redux store の MFA 関連スライスの実装
    -   _要件: 1.1, 2.1, 3.1, 4.1_

-   [ ] 6.2 共通 UI コンポーネントの実装

    -   QR コード表示コンポーネントの作成
    -   認証コード入力コンポーネントの作成
    -   バックアップコード表示コンポーネントの作成
    -   エラー表示とローディング状態の管理
    -   _要件: 1.1, 1.2, 3.1, 7.1, 7.2, 7.3_

-   [ ] 7. MFA 設定画面の実装
-   [ ] 7.1 MFA 設定開始画面の実装

    -   QR コードとシークレットキーの表示
    -   TOTP アプリの設定手順説明の表示
    -   アクセシビリティ対応（ARIA ラベル、キーボードナビゲーション）
    -   _要件: 1.1, 1.2, 7.1, 7.2, 7.4_

-   [ ] 7.2 MFA 設定確認画面の実装

    -   認証コード入力フォームの実装
    -   設定完了時のバックアップコード表示
    -   エラーハンドリングとユーザーフィードバック
    -   _要件: 1.3, 1.4, 7.3_

-   [ ] 7.3 プロフィール設定での MFA 管理画面

    -   MFA 有効/無効切り替えの実装
    -   バックアップコード再生成機能
    -   MFA 設定状態の表示
    -   _要件: 4.1, 4.2, 4.3, 4.4_

-   [ ] 8. MFA 認証画面の実装
-   [ ] 8.1 TOTP 認証画面の実装

    -   認証コード入力フォームの実装
    -   バックアップコード使用への切り替え機能
    -   認証失敗時のエラー表示とロック状態の表示
    -   _要件: 2.1, 2.2, 2.3, 2.4, 7.3_

-   [ ] 8.2 バックアップコード認証画面の実装

    -   バックアップコード入力フォームの実装
    -   残りコード数の表示と警告
    -   TOTP 認証への切り替え機能
    -   _要件: 3.1, 3.2, 3.3, 3.4_

-   [ ] 9. 管理者機能の実装
-   [ ] 9.1 ユーザー管理画面での MFA 管理

    -   ユーザーの MFA 状態表示
    -   MFA 強制設定機能の実装
    -   緊急時の MFA 無効化機能
    -   _要件: 5.1, 5.2_

-   [ ] 9.2 MFA 統計とレポート機能

    -   MFA 有効化率の表示
    -   MFA 使用状況の統計表示
    -   セキュリティインシデントの監視画面
    -   _要件: 5.3, 6.4_

-   [ ] 10. セキュリティとログ機能の実装
-   [ ] 10.1 監査ログシステムの実装

    -   MFA 関連操作の詳細ログ記録
    -   異常パターン検出機能の実装
    -   ログ検索とフィルタリング機能
    -   _要件: 6.1, 6.2, 6.3, 6.4_

-   [ ] 10.2 セキュリティ強化機能の実装

    -   レート制限の実装
    -   セッション管理の強化
    -   CSRF 保護の確認と強化
    -   _要件: 2.4, 6.1_

-   [ ] 11. テストの実装
-   [ ] 11.1 バックエンド単体テストの作成

    -   TOTPGenerator, MFAService の単体テスト
    -   Eloquent モデルのテスト
    -   MFAController のテスト
    -   _要件: 全要件のテストカバレッジ_

-   [ ] 11.2 フロントエンド単体テストの作成

    -   MFA 関連コンポーネントのテスト
    -   API サービスのテスト
    -   Redux store のテスト
    -   _要件: 全要件のテストカバレッジ_

-   [ ] 11.3 統合テストの作成

    -   MFA 設定フローの完全テスト
    -   MFA 認証フローの完全テスト
    -   エラーケースとエッジケースのテスト
    -   _要件: 全要件の統合テスト_

-   [ ] 12. ドキュメントと最終調整
-   [ ] 12.1 ユーザー向けドキュメントの作成

    -   MFA 設定手順のヘルプページ作成
    -   トラブルシューティングガイドの作成
    -   セキュリティベストプラクティスの説明
    -   _要件: 7.1, 7.2_

-   [ ] 12.2 開発者向けドキュメントの作成
    -   API 仕様書の更新
    -   セキュリティ設定ガイドの作成
    -   運用・監視ガイドの作成
    -   _要件: 全要件の運用サポート_