セキュリティの要！？多要素認証（MFA）が注目されている理由とは？

サイバー攻撃の手は緩むことがなく、2025年も数々の企業が被害を受けたことがニュースとして取り上げられました。

それに関連して「多要素認証（MFA）」がセキュリティ対策のワードとして注目を集めることとなりました。

どうして注目を集めることとなったのでしょうか？今回はその経緯とワードに関する事柄を取り上げます。

2025年に大きく報道されたサイバー攻撃の一つに、アスクル株式会社へのランサムウェア攻撃があります。同社は2025年12月12日、「ランサムウェア攻撃の調査結果および安全性強化に向けた取り組みのご報告」を公表しました。

その中で、例外的に多要素認証を適用していなかった業務委託先の管理者アカウントに付与していたID・パスワードが漏えいし、不正アクセスに利用されたことが確認されたと説明されています。

この事例をきっかけに、「ID・パスワードだけに頼る認証のリスク」が改めて意識され、多要素認証への関心が高まりました。

認証にまつわる情報は、性質によって次の3種類に分かれます。

• 知識情報：パスワード、暗証番号 など

• 所持情報：スマホ、トークン、ICカード など

• 生体情報：指紋、顔、虹彩 など

多要素認証とは、これら異なる種類の要素を2つ以上組み合わせる認証方式です。

サイバー攻撃の多くは、フィッシングや情報漏えいなどによりID・パスワードが盗まれることで成立します。そこに別の認証要素を組み合わせることで、不正ログインのリスクを大きく下げることができます。

ID・パスワード以外の認証要素を突破しようとすると、攻撃者は次のような行動を取る必要があります。

• 認証用の端末を物理的に入手する

• 本人に認証操作をさせるよう誘導する

これらは手間やリスクが大きく、短要素認証に比べて攻撃の難易度は高くなります。そのため、多要素認証を導入している環境は、攻撃対象として選ばれにくくなる傾向があります。

ただし、多要素認証を破るための攻撃も増えていますから、油断は禁物です。

多要素認証は非常に有効な対策ですが、絶対に安全だというわけではなく、またすべての課題を解決できるわけではありません。

知識情報はフィッシングなどで常に狙われていますし、所持情報であっても盗難や紛失の可能性があります。

また、導入にあたってはコストや運用負荷も考慮する必要があります。例えば、トークンやICカードを配布・管理する場合、利用者数に応じた準備や管理工数が発生します。スマートフォンを活用する場合でも、BYOD運用に伴うセキュリティ対策は欠かせません。

こうした課題を踏まえ、セキュリティレベルを維持しながら運用負荷を抑える手段として注目されているのが、IDaaS（Identity as a Service）です。

IDaaSは、多要素認証（MFA）をはじめ、シングルサインオン（SSO）、証明書認証、条件付きアクセスなどを一元的に管理できる仕組みです。

暗号化された電子証明書などを用いて利用者の正当性を確認するため、高い安全性を確保しやすい点も特長です。また、ユーザーは毎回パスワードを入力することなく、複数のシステムやサービスを安全に利用できるようになります。その結果、多要素認証で課題となりがちなコストや運用負荷の軽減にもつながります。

宝情報ではIDaaS製品として「SingleID」を取り扱っています。

サイバー攻撃が高度化する中で、ID・パスワードだけに依存した認証には限界があることが、さまざまな事例から明らかになってきました。こうした背景から、多要素認証（MFA）は、不正アクセス対策として改めて注目されています。

多要素認証は、認証突破のハードルを大きく引き上げる一方で、導入や運用の負荷が課題になるケースもあります。その課題を解消する手段として、MFAをはじめとする認証機能を一元的に管理できるIDaaSの活用が有効です。

自社の利用環境や運用体制に合った認証の仕組みを選び、「安全性」と「使いやすさ」を両立させることが、これからのセキュリティ対策には欠かせません。

詳細は、株式会社宝情報までお気軽にお問い合せください。