2025 年 10 月 30 日　Adam Winston 著

人の存在を形づくるものは何でしょうか。肉体でしょうか、記憶でしょうか、選択でしょうか、それとも人間関係でしょうか。現実の世界において本人を証明するものは複雑で多層的です。しかしオンラインの世界は違います。コンピュータにとっての人間は、物語ではなく、単なるログイン情報です。パスワードであり、Cookie であり、セッションです。あるいは SMS コードです。それがデジタル世界におけるユーザの存在証明のすべてです。つまり、もし他人がその情報を手に入れれば、システムはその人をあなたとして扱います。オンライン上の「アイデンティティ」とは「あなた自身」ではなく特定の人間を証明する「手段」であり、その隙こそが攻撃者の入り込む余地となります。

いったん攻撃者があるユーザになりすますことに成功すれば、保護されたデジタル空間の内部へと侵入し、最終的にデータへアクセスして利益を産むことができます。計画的なサイバー犯罪の経済は、このように成り立っています。

通常多くの人は「本人確認」と聞くと、まずはユーザ名とパスワードを思い浮かべます。しかしパスワードとは、扉につけた簡易的な錠前のようなものです。風は防げても、泥棒は防げません。ここで登場するのが多要素認証（MFA）です。MFA を利用して複数の方法で認証することで、攻撃者が侵入する難易度は格段に上がります。

多要素認証の要素とは何か

多要素認証という言葉は、わかりやすいものを指し示しているようですが、よく誤解されています。ログインに追加のセキュリティ層を「積み重ねる」というイメージが持たれがちですが、そうとは限りません。たとえばスマートフォンのロック解除を考えてみましょう。PIN を入力する場合の要素は「知っているもの」。指紋は「自分自身であるもの」。スマートフォンに届くプッシュ通知は「所持しているもの」。これが認証の多様な要素です。

要素には強いものと弱いものがあります。定期的に変更される強力な PIN は、同じ 4 桁の暗証番号を使い回すよりも安全です。最新の iPhone に搭載された安全なハードウェアに基づく指紋認証は、画面の指紋跡から推測できてしまう古い Android のスワイプパターンよりも優れています。FIDO ハードウェアキーは、電話番号を乗っ取られれば簡単に奪われる SMS コードよりもはるかに安全です。

MFA が機能する場面とそうでない場面

モバイルデバイスで利用できるのは PIN、パスコード、または生体認証といった基本的な要素に限られます。Apple や Google のデバイスは、ロック画面に追加の MFA 認証を重ねることができません。したがって最善策は、強力なパスコードと堅牢な生体認証を有効にすることです。最悪のケースは、誰にでも推測できる 4 桁 PIN のみを使う場合です。その場合、端末が盗まれたときの唯一の安全策は、リモートロックまたはデータのワイプ機能のみです。

コンピュータでは、Windows Hello、Touch ID、パスワードなど、OS 標準の手段が起点になります。そこにプッシュ通知やハードウェアキーといった第 2 の要素を加えることが可能です。最良の組み合わせは、パスワード＋ハードウェアキーまたは認証アプリです。最悪な状態は、弱いパスワードのみの場合です。パスワードのリセットは簡単ですが、ハードウェアトークンの再発行は複雑で、慎重な取り扱いが必要です。

Wi-Fi やオフィスネットワークでは、証明書ベースまたはパスワードベースの認証が一般的です。証明書は特定のデバイスにアクセスを結びつけるため安全性が高い一方、リセットが難点です。パスワードは、変更しやすいものの、フィッシング攻撃に弱いという欠点があります。理想的なのは、証明書＋ユーザ名＋パスワードです。最悪なのは、付箋に物理的に書かれた共有 Wi-Fi パスワードです。VPN は最も柔軟性があります。VPN クライアントは、接続前にパスワード、スマートフォンへのプッシュ通知、デバイス状態のチェックなど複数の要素を組み合わせることができます。理想は、ID とデバイス健全性の両方を検証する設定です。最悪なのは、パスワードだけで接続できる設定です。

SaaS アプリでは最も柔軟な構成が可能です。AuthPoint や Okta のような ID プロバイダを利用すれば、パスワード＋プッシュ通知＋FIDO キーといった多層構成を実現できます。理想的なのは、強力なパスワードとアプリベース MFA、そしてデバイス準拠チェックを組み合わせたクラウドアプリ。最悪なのは、MFA をまったく導入していない SaaS アプリです。

「あらゆる場所に MFA を実装」のハードル

MFA は単にスイッチを入れるように有効化できる機能だと思われがちですが、実際はそうではありません。プラットフォームごとに制約があり、スマートフォンではロックスクリーンに 1 要素しか使えません。コンピュータでは追加要素を加えられますが、最初の要素として内蔵手段を経由する必要があります。証明書は強力ですが、失効や再発行が面倒です。SaaS アプリは柔軟ですが、適切な ID プロバイダを使用していなければ意味がありません。

したがって IT 担当者は、それぞれのログイン環境ごとに利用可能な要素を検討し、侵害時にそれらをどうリセット・失効させるかまでを考慮する必要があります。

以下は、基本的な要素におけるサポートを、ログインのコンテクストと共に表にまとめたものです。

テーブル 1:基本的な要素のサポート

アプリやネットワークへの標準的なログイン方法における基本的な要素でも、すべてに導入することは決して容易ではないことが分かります。

次は、生体認証やロケーションやアクティビティなどの高度な要素がどのようにカバーされているかを示す表です。

テーブル 2: 高度な要素のサポート

ここでは、ネットワークにおけるサポートにはやや欠けがあり、たとえばロケーションのような要素については、統合可能な ID ソース側で必ずしもサポートされているとは限りません。さらに、アクセス前にデバイスを検証しようとすると、そのために追加のソフトウェアが必要になります。

表 3：ネットワークアクセス前にデバイスを確認するために必要なソフトウェア

まとめ

攻撃者は常に最も脆弱な点を探しています。もし MFA の実装に一貫性がなければ、その隙を突かれます。たとえば、クラウド上で MFA をバイパスするために Cookie を盗んだり、SMS コードを傍受するために電話番号を乗っ取ったりする、という方法が考えられます。そこで目指すべきは「完璧」ではなく「カバレッジ」です。スマートフォンでも、ノート PC でも、Wi-Fi でも、VPN でも、SaaS アプリでも、すべてのログインに最低 2 種類の強力な認証を実装してください。そして必要に応じて、すぐにそれらを失効・再設定できる体制を整えておくべきです。

WatchGuard AuthPoint のようなプラットフォームを使えば、デバイスやアプリごとにバラバラな MFA を統合し、一元的に管理することが可能になります。結論として、「あらゆる場所で MFA を実装する」とは、それぞれの認証要素の強みと弱みを理解し、各状況で最も強力な組み合わせを適用し、攻撃者が狙う隙間をすべて塞ぐということです。