多要素認証(MFA)がもはや必須となった理由
認証情報の窃取は、企業ネットワークへ侵入するために最も多く利用される手段であり続けています。では、なぜ多くの組織はいまだに MFA(多要素認証)の導入に失敗しているのでしょうか?
2026 年 4 月 10 日、Carlos Arnal 著
パスワードは依然として必要ですが、それだけでは十分ではありません。長く、一意で、推測されにくいパスフレーズを使うことは今でも重要なベストプラクティスです。問題は、そのパスワードの一つが攻撃者の手に渡ったときに何が起きるかです。その場合、システムは侵入を検知できず、単に正当なログインとして扱います。その瞬間から攻撃者は、正規ユーザーと同じように環境内を移動することができます。
これは理論上の話ではありません。Snowflake の顧客を標的とした 2024 年のキャンペーンがこの問題を明確に示しています。攻撃者は、情報窃取型マルウェアによって得た認証情報を使用し、多要素認証(MFA)が有効化されていないアカウントへアクセスしました。脆弱性の悪用も、高度な攻撃手法も必要ありませんでした。ユーザー名とパスワードだけで通過できる扉があっただけです。Mandiant の調査によれば、このインシデントの結果、Ticketmaster、Banco Santander、AT&T など、165 社以上の組織が侵害されました。
これは特別な事例ではありません。2026 年初めには Dark Reading が、同様のキャンペーンについて報告しています。この事例では、ある単一の攻撃者が ShareFile や Nextcloud といったコラボレーションプラットフォームへのアクセスを悪用して、約 50 社の企業を侵害しました。攻撃のパターンは共通しています。情報窃取型マルウェアによって収集された認証情報が MFA が有効化されていないアカウントに対して使用されています。攻撃の高度さではなく、基本的なセキュリティ対策の欠如が、攻撃を受けた最大の要因になっています。
テクノロジーではなく導入の問題
多要素認証(MFA)は新しいテクノロジーではありません。すでに容易に利用でき、その有効性も実証されています。Microsoft のデータによれば、MFA を使用することでアカウント侵害のリスクは 99.2% 低減されています。では、なぜこれほど有効な仕組みが広く普及していないのでしょうか?
Cyber Readiness Institute が 2024 年に全世界の組織を対象に実施した MFA 調査(約 2,300 社の中小企業を対象)によると、約 3 分の 2 の企業が MFA を導入していませんでした。世界的な導入率はわずか 35% にとどまっています。最も多く挙げられた障壁は、コスト、リソース不足、そして何より「優先すべき対策ではない」という認識でした。
この問題は中小企業だけに限りません。Snowflake のインシデントで侵害された大規模組織も、セキュリティリソースが不足していたわけではありません。十分な人員、予算、成熟したサイバーセキュリティプログラムを持ちながらも、すべてのサービスで MFA を有効化していなかったのです。
MFA が実際にもたらすもの
MFA は、盗まれたパスワードだけではアカウントにアクセスできないようにする第 2 の認証要素を追加します。これが基本的な価値です。しかし実際の効果はそれだけにとどまりません。
MFA を一貫して適用することで、攻撃者によるネットワーク内でのラテラルムーブメントが大幅に制限されます。新しいサービスやリソースへアクセスするときには毎回、追加認証が必要になるため、侵害が発生した場合でもその影響範囲を大きく抑えることができます。
現代の MFA ソリューションは、単にコードの入力を求めるだけではありません。多くの MFA は、使用しているデバイス、ユーザーの位置情報、接続しているネットワークなどのアクセスリクエストの状況も評価します。コンテキスト情報を基にリスクを判断し、必要な認証レベルを動的に調整します。これにより、従来の VPN やネットワーク境界に依存せずにリモートアクセスを保護することが可能になります。
ビジネス面では、MFA は、NIS2 指令、DORA、PCI DSS など規制に対するコンプライアンス適合も支援します。これらの規制はいずれも、機密システムやデータに誰がアクセスしているかを検証して管理することを求めています。また MFA の導入は、顧客、パートナー、監査人に対して、「組織がアイデンティティ保護を重視している」ことを明確に示すことにもなります。
MFA とゼロトラスト:すべてのアクセスポイントの保護
ゼロトラストモデルでは、ユーザーは暗黙的に信頼されることはありません。社内ネットワーク内にいても、VPN 経由でアクセスしていても、すべてのアクセスリクエストは、誰がどのような状況でアクセスしているかに基づいて評価されます。
このアプローチにおいて MFA は中核的な役割を担います。なぜなら、認証の基準をネットワークからアイデンティティへと移行するからです。多くの組織が陥る問題はここにあります。重要システムには厳格な制御を適用している一方で、日常的に使用するツールに対する対策を見落としているのです。コラボレーションプラットフォーム、コードリポジトリ、プロジェクト管理ツールやサービスは、機密情報を扱うにもかかわらず、ユーザー名とパスワードだけで保護されているケースが依然として存在します。
Snowflake のインシデントや Dark Reading が報告したキャンペーンは、MFA を導入していないサービスが一つあるだけで、セキュリティ戦略全体が弱体化する問題を明確に示しています。攻撃者は最も強固に守られたポイントを狙うのではなく、守られていない弱点を探し出します。
WatchGuard AuthPoint がこのギャップを解消する仕組み
MFA の導入は、複雑なプロジェクトではありません。また、最も重要なシステムだけに限定すべきでもありません。MFA がその効果を発揮するためには、広範囲に展開でき、管理が容易で、アクセス試行ごとのリスクレベルに応じて柔軟に適応できる必要があります。
WatchGuard AuthPoint は、WatchGuard Cloud による一元的な管理によってクラウドベースの多要素認証を可能にします。モバイルデバイス DNA という仕組みにより、ユーザーのスマートフォンと認証を紐づけます。これにより、たとえ第 2 要素が傍受された場合でも、なりすまし攻撃に対する追加の保護レイヤーが提供されます。さらに、アクセスの場所やコンテキストに基づいたポリシー適用が可能であり、ゼロトラストの原則とも整合しています。
組織のアイデンティティを保護する対策をさらに深く理解するために、以下のブログも併せて参照してください。