なぜ今、MFAが必要なのか?
パスワードの限界と攻撃トレンド
企業の情報漏えい事故は、年々深刻化しています。
2024年には、上場企業とその子会社による個人情報漏えい・紛失事故が過去最多の189件に達し(※1)、そのうち約6割が「ウイルス感染・不正アクセス」によるものでした。これは、2019年以降6年連続で最多を更新しており、企業のセキュリティ対策が追いついていない現状を浮き彫りにしています。
特に近年は、認証情報の盗用による「なりすまし」被害が深刻化しています。
2024年末から2025年初頭にかけては、楽天証券、SBI証券、野村證券、マネックス証券、SMBC日興証券などの大手ネット証券で、証券口座の乗っ取り被害が相次いで発生しました。
攻撃者は、フィッシングメールや偽のログインページを使ってユーザーのID・パスワードを盗み出し、不正にログインして保有株を勝手に売却。その資金で中国株などを大量に購入し、株価を操作して利益を得るという巧妙な手口が確認されています。
このような攻撃は、従来のID・パスワード認証だけでは防ぎきれません。
さらに、生成AIの進化により、日本語の詐欺メールの精度が格段に向上しています。見た目では本物と区別がつかないフィッシングサイトが増加し、日本は今、世界で最もフィッシング攻撃の標的となっている国の一つとも言われています。(※2)
このような背景からも、人間の記憶に頼るパスワードによる認証には限界があり、企業の情報資産を守るには不十分であることは明らかです。
多要素認証(MFA)の導入は、企業・個人を問わず、今や必須の対策となっています。
※1 参考:東京商工リサーチ https://www.tsr-net.co.jp/data/detail/1200872_1527.html
※2 参考:JPCERT/CC インシデント報告対応レポート(2024年10月〜12月)https://www.jpcert.or.jp/pr/2025/IR_Report2024Q3.pdf
ゼロトラストやクラウド移行との関係
働き方改革やコロナ禍をきっかけに、クラウドサービスの導入が急速に進みました。
Microsoft 365、Google Workspace、Box、Salesforceなど、社外からアクセス可能な業務アプリが増える一方で、社内のオンプレミスシステムも依然として稼働しているという企業が多数存在します。
このようなクラウドとオンプレミスの混在環境では、「誰が、どこから、何にアクセスしているか」を常に検証する必要があります。
これが、ゼロトラストセキュリティの基本的な考え方です。
実際に、Microsoft 365の導入を機に、クラウドとオンプレミスをまたぐ認証基盤の再設計に取り組んだ企業では、電子証明書とワンタイムパスワード(OTP)を組み合わせたMFAを導入し、Active Directoryとの連携によってID管理の二重メンテナンスを解消。
さらに、国内外のグループ会社に対応するため、ネットワーク環境に応じて異なるMFA方式を柔軟に適用することで、セキュリティと利便性の両立を実現しています。
参考:株式会社イシダ様 https://ip3.co.jp/case/3287/
このように、ゼロトラストを実現するためには、クラウドとオンプレをまたいで柔軟に対応できる認証基盤の整備が不可欠であり、MFAはその中核を担う存在です。
多要素認証(MFA)とは?
認証の「3要素」とは?
認証(Authentication)は、情報にアクセスする主体(本人)が正当なものであることを確認するプロセス(パスワード入力や生体認証による本人確認、等)で、その真正性(Authenticity)は別の認証要素を組み合わせることで本人確認の信頼性を高めることができます。
多要素認証(MFA)は、「本人であることを複数の認証要素で確認する真正性の高い仕組み」です。
- 記憶要素(知っているもの)…パスワードやPINコードなど
- 所持要素(持っているもの)…スマートフォン、ICカード、トークンなど
- 生体要素(本人そのもの)…指紋、顔、声など
MFAでは、これらのうち2つ以上を組み合わせて認証を行うことで、なりすましや不正アクセスのリスクを大幅に低減します。
MFA(多要素認証)と二要素認証、二段階認証、二経路認証の違い
「MFA(多要素認証)」という言葉は広く使われていますが、実際には「二要素認証」「二段階認証」「二経路認証」など、似たような用語が混在しています。
これらはすべて「認証の強化」を目的とした仕組みですが、認証要素の組み合わせ方や通信経路の違いによって、意味やセキュリティレベルが異なります。
以下に、それぞれの定義と違いを整理しました。
| 名称 | 定義 | 例 | 備考 |
|---|---|---|---|
| MFA(多要素認証) | 本人であることを複数(3要素のうち異なる2要素以上)の要素で確認する仕組み | 例1:パスワード+スマホアプリ | 複数の要素を用いるセキュリティレベルが高い認証方式の総称 |
| 例2:PIN+顔認証 | |||
| 例3:パスワード+スマホアプリ+指紋認証 | |||
| 二要素認証 | 3要素のうち異なる2つの要素を使う認証 | 例1:パスワード+ワンタイムパスワードトークン | MFAの中で2要素を用いる認証 |
| 例2:PIN+ICカード | |||
| 二段階認証 | 認証手順を分けることで攻撃リスクを分散し、セキュリティを高める仕組み | 例1:一段階目はパスワード、二段階目はPIN | 例1はMFAではないが、例2はMFA |
| 例2:一段階目はパスワード、二段階目はワンタイムパスワードトークン | |||
| 二経路認証 | 通信経路を分けることで攻撃リスクを分散し、セキュリティを高める仕組み | 例1:PCでログインパスワード入力+スマホアプリでログインの承諾 | MFAの条件を満たすことが多い |
このようにMFAは二要素認証を含むより広い概念であり、セキュリティレベルの高い認証方式の総称と捉えるとよいでしょう。また、認証の複数の要素を使用した二段階認証や二経路認証もMFAの実現手段として有効です。
MFAの認証方式
多要素認証(MFA)を実現するためには、いくつかの認証方式があります。
それぞれの方式には特徴があり、セキュリティ強度・ユーザー利便性・運用負荷などの観点から、用途に応じて使い分けることが重要です。
多くのMFA製品では、これらの方式を単独ではなく組み合わせて採用することで、クラウドとオンプレミスが混在する環境でも、柔軟で強固な認証基盤を構築しています。
以下に、代表的な認証方式をご紹介します。
| 認証方式 | 概要 | ユーザー利便性 | 認証強度 | メリット | デメリット |
| パスキー(FIDO2) | 公開鍵暗号方式による認証 | 〇 | 非常に高い | ・パスワード等の秘密情報をサーバに保存しない | ・デバイス紛失時の復旧が難しい |
|---|---|---|---|---|---|
| ソフトウェアトークン (ワンタイムパスワード) | アプリで生成されるワンタイムパスワードを使用 | 〇 | 高 | ・スマホアプリを利用可能 | ・アプリが必要 |
| ハードウェアトークン (ワンタイムパスワード) | 専用ハードウェアで生成されるワンタイムパスワードを使用 | △ | 高 | ・物理デバイスによる高い堅牢性 | ・デバイスの紛失・破損リスクあり |
| プッシュ通知認証 (二経路認証) | スマホにプッシュ通知を送り、通知をタップしてスマホアプリを起動し、認証要求を承認 | 〇 | 高 | ・スマホアプリで認証 ・パスワードを不要にすることも可能 | ・専用のスマホアプリが必要 |
| 電子証明書認証 | 公的または企業内CAが発行した証明書を用いて認証 | 〇 | 高 | ・改ざん困難 | ・証明書発行費用が高くなることがある |
| 生体認証 | 指紋・顔・虹彩などの身体的特徴を使った認証方式 | 〇 | 高 | ・本人の身体的特徴を使った認証なので、紛失や忘れの心配がない | ・認識率が100%ではない |
| メール/SMS認証 | メールやSMSでワンタイムパスワードを送信 | 〇 | 中 | ・スマホアプリ不要 | ・メールが届かないことがある |
| ICカード認証 | 社員証などのICカードを使って、専用リーダーにタッチすることで認証 | △ | 中~高 | ・社員証など既存の物理デバイスと統合しやすい | ・専用リーダーが必要 |
| リスクベース認証 | ユーザーのアクセス状況や端末情報に応じて、認証強度を自動で調整する方式 | △ | 中〜高 | ・通常のログインは簡易認証、リスクが高い時のみ追加認証を行う | ・設定が複雑 |
| マトリクス認証 | マトリクス表や乱数表を利用した認証 | △ | 低〜中 | ・物理デバイス・アプリが不要 | ・マトリクス表を表示する方式の場合は、記憶依存のため、多要素認証にならない |
MFA導入がもたらす価値
セキュリティ強化
前述のように、パスワードだけに依存した認証では、リスト型攻撃やフィッシング攻撃を防ぎきれないケースが増えています。
多要素認証(MFA)は、こうした脅威に対抗するための最も効果的な手段の一つです。
MFAを導入することで、以下のようなセキュリティ強化が期待できます。
- リスト型攻撃やフィッシングへの耐性向上
仮にパスワードが漏洩しても、追加の認証要素(所持要素や生体要素)が必要となるため、攻撃者はログインできません。 - 内部不正の抑止
生体認証やトークンなど、本人しか持ち得ない要素を使うことで、外部からの攻撃だけでなく内部でのなりすましや不正アクセスを防止します。
法令や業界ガイドラインへの対応
多要素認証(MFA)は、セキュリティ強化だけでなく、法令遵守や業界ガイドラインへの適合という観点からも、企業や組織にとって導入が強く求められる対策です。
実際に、個人情報保護法やGDPRなどの法的拘束力を持つ制度では、MFAが「技術的安全管理措置」として位置づけられており、違反時には罰則や制裁金のリスクもあります。
また、PCI DSSやNISC統一基準のような業界標準・政府基準では、MFAの導入が義務または実質的に必須とされており、教育・医療・製造などの各業界ガイドラインでも、アクセス制御の強化策としてMFAが推奨されています。
さらに、ISMS(JIS Q 27001)やNIST SP800シリーズなどの国際的な認証・設計指針においても、MFAは「有効な管理策」として明記されており、認証取得や設計評価に影響を与える要素となっています。
以下に、主要な法令・基準・ガイドラインにおけるMFAの位置づけと、その拘束力・リスクを一覧で整理しました。
◆法的拘束力のある制度
| 名称 | MFAの位置づけ | 拘束力 | 対象 | 従わない場合のリスク |
|---|---|---|---|---|
| 個人情報保護法(日本) | 推奨(技術的安全管理措置) ※2025年改正案で強化の可能性 | 高 | 個人情報取扱事業者(全業種) | 行政指導・命令・罰則・信用失墜 |
| GDPR(EU一般データ保護規則) | 推奨(適切な技術的安全管理措置の一例) | 高 | EU在住者の個人データを処理する日本企業 | 最大2,000万ユーロまたは全世界売上高の4%の制裁金 |
| J-SOX(内部統制報告制度) | 明記なしだが、IT統制の一環として有効 | 高 | 上場企業 | 内部統制報告書の不適正リスク |
◆準法的拘束力のある基準(業界標準・政府基準)
| 名称 | MFAの位置づけ | 拘束力 | 対象 | 従わない場合のリスク |
|---|---|---|---|---|
| PCI DSS v4.0 | 義務(すべてのCDE(Cardholder Data Environment/カード会員データ環境)アクセスに対してMFAを適用) | 高 | クレジットカード情報を扱う企業 | 非準拠・取引停止・罰金 |
| NISC統一基準 | 推奨(主体認証の強化) | 中(実質必須) | 政府機関・自治体・委託先 | セキュリティ監査での指摘・改善命令 |
◆行政・業界ガイドライン
| 名称 | MFAの位置づけ | 拘束力 | 対象 | 従わない場合のリスク |
|---|---|---|---|---|
| 教育情報セキュリティポリシー(文科省) | 推奨(クラウド利用時の強固なアクセス制御) | 中(実質必須) | 教育委員会、公立学校、自治体 | 監査指摘、補助金不利、信頼性低下 |
| 医療情報システム安全管理ガイドライン(第6.0版) | 推奨(アクセス制御の強化) | 中(実質必須) | 医療機関・薬局・関連ベンダー | 行政指導・信頼性低下・委託停止 |
| 自動車業界サイバーセキュリティガイドライン(自工会) | 推奨(開発・製造工程の保護) | 中(実質必須) | 自動車メーカー・部品サプライヤー | 取引停止・調達要件不適合 |
◆国際的な認証・設計指針(任意だが影響力あり)
| 名称 | MFAの位置づけ | 拘束力 | 対象 | 従わない場合のリスク |
|---|---|---|---|---|
| NIST SP800-63(A/B/C) | MFAの強度レベル(AAL)を定義 | 中 | 認証基盤、ID管理者、サービス提供者 | 「不適切な認証手段」と評価される可能性 |
| NIST SP800-207(ゼロトラスト) | アクセス時の動的リスク評価にMFAが含まれる | 中 | セキュリティ設計者 | 設計不備によるセキュリティリスク |
| NIST SP800-205(ABAC) | MFA自体は主題ではないが、属性の一部として考慮可能 | 中 | IAM管理者、システム設計者 | アクセス制御の不備リスク |
| ISMS(JIS Q 27001) | 有効な管理策として明記 | 中 | ISMS認証取得企業 | 認証審査での不適合・認証停止 |
| ISO/IEC 27001(ISMS) | 有効な管理策として明記 | 中 | ISMS認証取得企業 | 同上 |
| ISO/IEC 24760 | MFA自体は主題ではないが、ID管理の一部として関与 | 低〜中 | ID管理システム設計者 | アカウント管理不備による事故の可能性 |
このように、MFAは単なるセキュリティ対策にとどまらず、法令遵守・業界信頼性・取引継続の観点からも導入が求められる重要な施策です。
ユーザー利便性の向上
多要素認証(MFA)はセキュリティを高める一方で、ユーザー体験や運用負荷への影響も考慮する必要があります。
導入時に「使いやすさ」を意識した設計を行うことで、セキュリティと利便性の両立が可能になります。
- パスワードレス認証やプッシュ通知によるワンタップ認証など、ユーザーにとって直感的で簡単な方式を選べば、ログイン体験を大きく改善できます。
- SSO(シングルサインオン)とMFAを組み合わせることで、ログイン回数を減らし、業務効率を向上させることもできます。
このように、セキュリティ強化とユーザー体験の向上はトレードオフではなく、設計次第で両立可能です。
AuthWayやCloudLinkのような柔軟な製品を活用することで、現場の使いやすさと管理者の安心感を同時に実現できます。
MFA導入の際に気を付けるべき課題
課題①:MFAを適用したいシステムとの親和性
MFA導入時には、対象となるシステム(リモートアクセス、業務アプリ、クラウドサービスなど)との親和性が高い製品を選定することが重要です。特に複数のシステムにMFAを適用する場合、導入するMFA製品を最小限(可能であれば1つ)に抑えることで、利用者の利便性を損なわず、セキュリティの向上を図ることができます。
- リモートアクセス環境(VPN・VDI)への適用
VPNやVDIのMFA対応を検討する際には、各製品が標準対応しているMFA方式だけでなく、サードパーティ製品との連携可否や連携方式も考慮する必要があります。 - 業務アプリへの適用
複数の業務アプリにMFAを適用する場合、個別のアプリごとにMFAを導入するのではなく、SSO(シングルサインオン)を活用した認証統合を検討すると、効率的かつ利便性の高い運用が可能になります。
また、自社開発アプリへのMFA適用時は、アプリ側の改修工数を考慮し、連携しやすいMFA製品を選定することも重要なポイントとなります。 - クラウドサービス(SaaS)への適用
クラウドサービスごとのMFA対応状況を確認する際には、各サービスのネイティブ対応だけでなく、複数サービスの認証統合を可能にするサードパーティ製品との連携可否や連携方式の検討が必要です。
※ MFAは、オンプレミスのSSOソリューションやIDaaSの認証強化に限定して検討されがちですが、単独のアプリケーション(例:ECサイトや会員向けのサイト)やVPN・VDI、Windowsログオン時の認証強化にも利用用途を有しており、それらを統合的に1つのMFA基盤で対応することができるソリューションの選定が有効です。
課題②:導入初期の運用負荷とベンダーサポートの重要性
MFAの導入初期には、以下のような運用負荷が発生します。
- 認証方式の選定とポリシー設計(誰に、どの方式を適用するか)
- ユーザー登録・デバイス設定等の初期対応
- 利用者への教育・マニュアル整備
- 社内での問い合わせ対応・トラブル時のサポート体制の構築
特に、全社展開を一斉に行うと混乱が生じやすいため、段階的な導入やPoC(概念実証)を経た展開が推奨されます。 また、導入後の運用を円滑に進めるためには、ベンダーのサポート体制も重要な検討ポイントです。
不明点やトラブル発生時に迅速に対応できる体制が整っているか、問い合わせ窓口が明確かどうかは、運用の安定性に直結します。
特に海外製のMFAサービスでは、日本語でのサポートが限定的であったり、時差による対応遅延が課題となることもあります。
課題③:認証デバイスの管理とトラブル対応
MFAでは、スマートフォンやICカード、トークンなどの物理的な認証デバイスを使用するケースが多く、以下のような課題が発生します。
- デバイスの紛失・故障時の対応(再発行・一時的な認証解除)
- BYOD(私物端末利用)におけるセキュリティポリシーの整備
- デバイスのライフサイクル管理(新規登録・更新・廃棄)
- 生体認証における認証率(他人受入率:FAR/本人拒否率:FRR)
- 複数の認証方式への対応(利用するデバイスや利用環境に適した認証方式の選択)
このような課題に対しては、セルフメンテナンス機能の提供や、管理者向けの柔軟なポリシー設定機能が有効です。
課題④:社内リソースの確保と運用設計の重要性
MFAの導入・運用には、情報システム部門のリソース確保と継続的な運用を見据えた設計が求められます。
- システム連携(AD、クラウドサービス、業務アプリなど)
- 障害時の対応フローやBCP(事業継続計画)との整合性
- 定期的なログ監査やポリシー見直し
このような運用設計を支えるには、柔軟な構成が可能な製品選定が重要です。
このように、MFA導入は単なる「機能の導入」ではなく、運用設計・ユーザー対応・社内体制の整備を含めた全体最適が求められるプロジェクトです。
成功の鍵は、「セキュリティ強化」と「現場の使いやすさ」のバランスを意識した設計にあります。
MFA導入形態の比較(オンプレミス vs クラウド)
MFAの導入にあたっては、「どの製品を選ぶか」だけでなく、「どのような形態で導入するか」も重要な検討ポイントです。
MFAの導入形態には、大きく分けて「オンプレミス型」と「クラウド型」の2種類があり、それぞれに特徴とメリット・デメリットがあります。
導入コスト、運用負荷、拡張の柔軟性などに違いがあるため、自社のIT環境やセキュリティポリシーに応じた選定が求められます。
導入形態の比較表
| 比較軸 | オンプレミス型 | クラウド型 |
|---|---|---|
| 初期コスト | 高め(製品ライセンス料・構築費) サーバ環境が必要 | 比較的低コスト(サブスクリプション) |
| ランニングコスト | 安め(製品保守料のみ) サーバ環境の運用が必要 | 月額課金で継続的に発生 将来的にユーザー数増加により高コスト化する可能性あり |
| カスタマイズ性 | 要件に応じて柔軟に設計可能 | 限定的(サービス仕様に依存) |
| システム連携 | 社内システムとの親和性が高い クラウドサービスとの連携も可能 | クラウドサービスとの親和性が高い 社内システムとの連携は限定的 |
| 運用負荷 | 自社で運用 システム全体の運用リソースが必要 | サーバ環境の運用はベンダーが対応 ユーザ管理等の運用リソースは必要 |
| セキュリティ制御 | 自社内で完結 | サービスに依存 |
このように、導入形態の選定は「どちらが優れているか」ではなく、自社のIT環境・セキュリティ要件・運用体制に最も適した構成は何かという視点で判断することが重要です。
とはいえ、「自社にとってどちらが適しているのか」を判断するのは簡単ではありません。
そこで、企業のタイプや状況に応じた導入形態の選び方を、以下にケース別で整理しました。
ケース別:こんな企業にはこの導入形態が向いています
| 企業タイプ | おすすめ導入形態 | 理由 |
|---|---|---|
| 社内システムのMFA対応を行いたい | オンプレミス型 | 社内システムとの親和性が高い |
| ITリソースが限られている中小企業 | クラウド型 | 導入が簡単で、運用負荷が少ない |
| セキュリティ要件が厳しい(金融・官公庁など) | オンプレミス型 | 自社内での制御が可能で、カスタマイズ性が高い |
| 海外拠点やリモートワークが多い企業 | クラウド型 orオンプレミス型 | 拠点間での一貫した認証が可能 |
アイピーキューブでは、オンプレミス型の多要素認証製品であるAuthWayとクラウド型の多要素認証サービスであるxIdentifyを提供しています。
xIdentify 各種トークンを用いたワンタイムパスワードによる二要素認証に加え、スマートデバイスを利用した二経路認証にも対応した、総合的な多要素認証サービスです。
AuthWayで実現する柔軟なMFA
ここまで見てきたように、MFAの導入には「セキュリティ強化」と「ユーザー利便性」の両立、そして「自社環境に合った導入形態の選定」が求められます。
アイピーキューブが提供するAuthWayは、これらの要件を高いレベルで満たす、柔軟性と拡張性に優れたMFAソリューションです。
多様な認証方式に対応
AuthWayは、以下のような多様な認証方式に対応しており、企業のセキュリティポリシーやユーザー環境に応じた柔軟な構成が可能です。
- OTP(ワンタイムパスワード):メール、スマートフォンアプリ、ハードウェアトークンに対応
- 二経路認証:スマートフォンアプリへのプッシュ通知認証
- FIDO認証(パスキー):Windows Hello、Touch ID、Face IDなど、OSやデバイスに標準搭載された生体認証機能と連携
これらの方式を組み合わせることで、ユーザー属性やアクセス環境に応じた柔軟なMFA構成が可能です。
導入・運用のしやすさ
- 導入サービス(設計・構築・試験)を提供
- 段階的な導入やPoC(概念実証)にも対応
- 日本語によるサポート体制(導入後の技術支援、トラブル対応)
- セルフメンテナンス機能による多要素認証設定やパスワード/PINのリセット(再設定)機能を提供
IT部門の負担を軽減しながら、スムーズな運用を実現します。
導入事例と実績
AuthWayは、製造業、金融、教育、医療など、さまざまな業界で導入されており、セキュリティ強化と業務効率化の両立を実現しています。
-
株式会社イシダ様
Microsoft 365をはじめとするSaaS向け認証基盤をIP3-ACEで構築 「いつでもどこでもどんなデバイスからでも、安全に使える環境づくり」に成功。 -
学校法人近畿大学様
2段階認証/シングルサインオンシステムへ「FIDO認証」を追加導入、全学約4万5千人が使う共通認証システムの「利便性」が大きく向上。 -
学校法人近畿大学様
ワンタイムパスワードを利用した2段階認証を導入し、不正ログイン対策について本格的に取り組む。西日本最大規模の総合大学が、全学約4万7千人を対象にサービスを開始。 -
富士通株式会社様
富士通は、インターネットVPN接続のセキュリティレベルを多要素認証で強化。仮想デスクトップサービスの競争力の強化に成功。 -
富士通株式会社様
富士通は、アイピーキューブの製品とシステムインテグレーション支援で新規クラウドサービス認証基盤のスピード開発に成功。 -
日本システムウエア株式会社様
クラウドサービス/オンプレシステムの双方をシームレスに連携。統合ID管理・SSO・多要素認証を備えた画期的なIDaaSを提供開始。
AuthWayは、セキュリティ強化・ユーザー利便性・運用柔軟性のすべてを高いレベルで実現するMFAソリューションです。自社に最適な認証基盤を構築したいとお考えの方は、ぜひ一度ご相談ください。
アイピーキューブなら、統合認証に特化した専門ベンダーとしての豊富な知識と実績を活かし、柔軟な構成と多様な認証方式で、貴社の課題に最適な解決策をご提案します。
MFA導入に関するご相談はこちら
- 自社に最適な認証方式を知りたい
- クラウドとオンプレミスの混在環境に対応したい
- MFAとSSOを統合したい
など、お寄せいただいたご要望の内容により、最適なご案内をさせていただきます。また、WEB会議システムを使用して口頭でのご説明も可能ですのでお気軽にお問合せください。
お送りする資料の例
●製品概要
-製品の特長・構成概要・機能紹介・連携可能システム など
●事例紹介
-選定のポイント など
●価格表
-ライセンス料・年間ソフトウェアサポート料・導入サービス料 など
「*」の欄は必須項目となっておりますので、必ずご記入ください。