Secret Double Octoposの新たなレポートによると、金融機関では多くの労働力向け認証フローに依然としてパスワードが組み込まれており、フィッシングや認証情報窃取が主要なアイデンティティセキュリティリスクとなっています。

フィッシング耐性を備えたMFAの全面導入を妨げる主な課題(出典:Secret Double Octopus)
労働力向け認証のトレンド
銀行や金融機関では、フィッシング耐性のある技術と、依然としてフィッシング攻撃に対して脆弱な手法を組み合わせた、複数の認証方式を使用しています。
パスワードとOTPの組み合わせは、従業員500人以上の大企業よりも、それ以下の規模の組織でより多く採用されています。単一要素のパスワードやマジックリンクの利用はまれで、MFAが労働力のアクセス手段として標準になりつつあることがうかがえます。
フィッシングや認証情報を狙った攻撃の削減が、各組織が労働力向けMFAの近代化を進める最大の理由となっています。そのほかの優先事項としては、システムや環境をまたいだ認証の標準化、セキュリティの強化、レガシー環境やオンプレミス環境におけるMFAカバー範囲の隙間解消、規制要件への対応などが挙げられます。
Secret Double OctopusのCEOであるRaz Rafaeli氏は、次のように述べています。「見た目上は強固に思えるMFAも、実際にはフィッシング耐性のあるMFAとは異なります。カバー範囲が部分的であれば、最も機密性の高いシステムが危険にさらされたままになってしまいます。しかし朗報もあります。こうした隙間は、レガシーシステムやオンプレミス環境も含め、既存のインフラを再構築したり置き換えたりすることなく、今すぐ解消できるということです」
MFAのカバー範囲にはばらつきがある
MFAの導入率は、レガシーシステムよりもSaaSアプリケーションのほうが高くなっています。SaaSアプリケーションの平均74%がMFAで保護されているのに対し、レガシーアプリケーションでは50%にとどまります。
調査対象となった組織の半数以上が、自社のアプリケーションやインフラの50%から74%がレガシーシステムで構成されていると回答しました。MFA近代化の主な推進要因として規制コンプライアンスを挙げる組織ほど、レガシー環境の規模が大きい傾向にあります。
労働力向けMFAのうち、フィッシング耐性を備えているのはわずか28%です。こうした手法は暗号技術による認証に依拠するか、フィッシング攻撃によって窃取され得る認証情報そのものを排除しています。
パスワードレス認証は、労働力向け認証フロー全体の15%を占めています。回答者は、より広範な導入を妨げる主な要因として、技術的な複雑さ、予算の制約、レガシーインフラ、そして分断されたアイデンティティ環境を挙げています。
レガシーアプリケーションやインフラへの対応は、ディレクターや経営幹部層よりも、チームリードやマネージャー層においてより多く懸念されている課題です。
翻訳元: https://www.helpnetsecurity.com/2026/07/10/financial-identity-security-trends-report/