多要素認証(MFA)は、現代のサイバーセキュリティの要となっています。OktaのSecure Sign-In Trends Report 2025によると、2025年初頭の時点で、企業環境のユーザーのおよそ70%がMFAを利用しています。複数の認証要素を用いることで防御層が追加され、機密性の高いシステムへの不正侵入を大幅に抑制できます。しかし、完全な解決策ではありません。サイバー犯罪者は引き続き「人」を標的にし、AIで強化されたフィッシング、なりすまし、SIMスワップ、ソーシャルエンジニアリング、認証情報の窃取などを通じて、認証コントロールを回避する方法を見つけています。
MFAでは、ユーザーが自身の身元を証明するために、2種類以上の証拠を提示する必要があります。これらの要素は3つのカテゴリに分類されます。知っているもの(例:パスワード、PIN)、持っているもの(例:セキュリティトークン、スマートフォンアプリ、スマートカード)、そして本人そのもの(例:指紋や顔スキャンなどの生体認証)です。
MicrosoftとGoogleの双方の研究によれば、MFAは自動化されたボット攻撃や大量のフィッシング攻撃に対して非常に有効です。そのため、セキュリティを劇的に向上させ、アカウント侵害に対する最も効果的な抑止策の一つとなります。例えば、連邦捜査局(FBI)はMFAがセキュリティ上極めて重要であることを強調しており、すべての法執行機関に対して、刑事司法情報(CJI)へのアクセスにMFAを必須としています。同時にFBIは、ソーシャルエンジニアリング、フィッシング、キーロギング、スプーフィング、そして「ログイン状態を保持する(remember-me)」クッキーの窃取によってMFAを回避し、アカウントやデータへ不正アクセスを得る犯罪者などの脅威について、一般に警告しています。
すべての認証手段が同じように脆弱というわけではない
もう一つ重要なのは、すべてのMFAが同等ではないという点です。これは、最近のMFA回避攻撃に関する多くの報道や、Scattered Spiderのようなサイバー集団がそれを回避する方法を見つけていることからも明らかです。その結果、FBIと米国国立標準技術研究所(NIST)は、メールベースのワンタイムパスワード(OTP)やSMSコードの利用を継続することを組織に対して控えるよう促しました。これらは、メールアカウントの侵害やSIMスワップによる傍受に極めて脆弱だからです。
その一方で、より多くの組織が「フィッシング耐性」のある認証の採用へと移行しています。Secure Sign-In Trends Report 2025によれば、これは63%増加し、1年で8.6%から14.0%へ上昇しました。こうしたフィッシング耐性の手法には、ハードウェアベースのセキュリティキー(例:FIDO2、YubiKey、スマートカード)、認証アプリ(TOTP、Google AuthenticatorまたはMicrosoft Authenticator)、あるいはFastPassやWebAuthnのような公開鍵暗号方式が含まれます。
人的要因に注意せよ
これらのフィッシング耐性の手法があっても、人的要因はあらゆるセキュリティ戦略において最も脆弱なポイントの一つであり続けます。従業員、契約社員、パートナーが、意図せず機密情報を露出させたり、弱いパスワードを使用したりする可能性があります。どれほど高度なMFAシステムであっても、ユーザーの不適切な習慣や認証情報の侵害から生じるリスクを防ぐことはできません。この現実は、MFAと併せて強固なセキュリティ実践が必要であることを浮き彫りにしています。
アイデンティティ脅威検知でMFAを超える
この文脈において、セキュリティ意識の高い組織は、ネットワーク、アプリケーション、デバイス全体にわたってユーザー行動を継続的に監視する、新たなアイデンティティ脅威検知およびリスク低減ソリューションに注目しています。これらは、通常とは異なるログイン場所、想定外のデバイス変更、ユーザーの通常の活動と整合しないアクセスパターンなどの異常を特定します。こうした不審な挙動をリアルタイムで検知・警告することで、組織は侵害が発生する前に介入できます。例えば、従業員アカウントが2つの大陸から同時にログインした場合、システムは追加の検証を要求したり、活動が正当と確認されるまで一時的にアクセスを停止したりできます。
多層防御のアプローチが不可欠です。MFAは基盤となるコントロールとして維持すべきですが、リアルタイム監視、リスクベース認証、適応型ポリシーで補完する必要があります。アイデンティティ脅威検知は、潜在的なリスクに関する有用な可視性も提供します。セキュリティチームは異常な活動トレンドに関する洞察を得て、ポリシーを動的に適用できます。この能力は、攻撃成功の可能性を下げるだけでなく、データ保護規制への準拠も向上させます。時間の経過とともに、これらのシステムは通常のユーザー行動パターンを学習し、脅威検知の精度を高め、誤検知を減らすことができます。
リスクは重大です。侵害された認証情報は、今日のセキュリティインシデントの主要因の一つであり、サイバー犯罪者はますます高度化しています。アイデンティティ脅威検知をMFAと統合することで、組織は機密データを保護し、業務の継続性を維持し、リスク露出を低減できます。同時に、従業員はセキュリティ維持に能動的な役割を果たせるようになり、人的要因を脆弱性から防御線へと転換できます。
結論
人的要因の保護は、もはや選択肢ではありません。包括的なアイデンティティ・セキュリティ戦略を採用する組織は、進化する脅威に対抗し、デジタル資産を守り、顧客やパートナーとの信頼を築くうえで、より有利な立場に立てます。アイデンティティ脅威検知とリスク低減は、認証への単なる追加機能ではありません。人の行動がセキュリティの成否を左右し得る世界において、企業がサイバーセキュリティに取り組む方法に必要な進化なのです。
翻訳元: https://www.securityweek.com/why-identity-security-must-move-beyond-mfa/
