多要素認証(MFA)導入ガイド:FIDO/WebAuthn・パスキー対応で押さえる運用と落とし穴

2025年11月18日 最終更新日時 : 2025年11月18日 エバープレイ編集部

はじめに

多要素認証(MFA: Multi-Factor Authentication)は、パスワードだけに頼らないセキュリティ対策として、企業・個人を問わず広く導入が進んでいます。本コラムでは「MFAとは何か」を基本から技術・運用上のポイントまで詳しく解説し、具体的な実装や落とし穴、最新の標準/技術動向(FIDO/WebAuthn、パスキー等)についても深掘りします。導入を検討中の管理者、実務担当者、あるいは一般ユーザー向けに実践的な知見を提供します。

MFAとは何か:定義と目的

MFA(多要素認証)とは、ユーザーが自らを証明する際に複数の「認証要素(factors)」を組み合わせて使用する仕組みです。一般的に認証要素は次の3種類に分類されます。

  • 知識(something you know): パスワード、PIN、秘密の質問など
  • 所持(something you have): ワンタイムパスワード(OTP)トークン、スマートフォンの認証アプリ、ハードウェアセキュリティキー等
  • 生体(something you are): 指紋、顔認証、虹彩などの生体情報

MFAの目的は「片方の要素が漏洩・破られてもアカウントが保護される」ことにあります。パスワード流出や総当たり攻撃、辞書攻撃、クレデンシャルスタッフィング(他サービスから流用されたパスワードによる侵入)などに対する防御力を格段に上げます。

主な認証方式と特徴

代表的なMFAの方式と、それぞれのメリット・デメリットを整理します。

  • SMSによるワンタイムコード(OTP)
    • メリット: 導入が容易、ユーザーに馴染みがある。
    • デメリット: SIMスワップ攻撃やSMS盗聴のリスク、配信遅延。
  • TOTP(認証アプリ)
    • 例: Google Authenticator、Authy、Microsoft Authenticator。
    • メリット: SMSより安全、オフラインでも利用可能。
    • デメリット: 機種変更や端末紛失時の移行管理が必要。
  • プッシュ認証(ワンタップ承認)
    • メリット: 利便性が高くユーザー体験に優れる。
    • デメリット: 「MFA疲労」や承認要請の誤承認、プッシュ通知の盗み見リスク。
  • ハードウェアトークン(OTPトークン、FIDOセキュリティキー)
    • メリット: 高い耐攻撃性、FIDOキーはフィッシング耐性が高い。
    • デメリット: 配布・管理コスト、紛失対応。
  • 生体認証(指紋、顔認証)
    • メリット: 使いやすく、端末レベルでの安全性が高い(デバイス側で処理される場合)。
    • デメリット: プライバシー・偽装問題、サーバ側に生体情報を保存しない設計が重要。
  • パスキー(Passkeys)/ FIDO2 / WebAuthn
    • メリット: 公開鍵暗号を利用しフィッシングに強い。ローカルで秘密鍵を保護し、サーバ側に秘密が残らない。
    • デメリット: 古いデバイスやブラウザ互換性の問題、導入・UX設計の工夫が必要。

MFAが防ぐ脅威と限界

MFAは多くの攻撃を阻止しますが、万能ではありません。主な有効性と限界は以下の通りです。

  • 有効な攻撃防止: クレデンシャルスタッフィング、単純なパスワードリスト攻撃、リモートからの不正ログインの大部分を阻止します。GoogleやMicrosoftの研究でも、適切な2段階認証・セキュリティキーの利用が多数の攻撃を無効化することが示されています(後述の参考文献参照)。
  • 防ぎにくい攻撃: フィッシングでのセッションハイジャックや中間者(MITM)攻撃、MFA疲労やソーシャルエンジニアリングを使った承認詐取、SIMスワップ攻撃など。特にSMSは攻撃対象になりやすい。
  • 運用上のリスク: バックアップコード管理の不備、アカウント回復プロセスの弱点、使い勝手の悪さによる非対応など。

標準とプロトコル:安全な実装の基盤

MFAを安全に、かつ相互運用可能にするために利用される標準やプロトコルを押さえておきましょう。

  • WebAuthn / FIDO2: ブラウザとプラットフォームに組み込まれた公開鍵ベースの認証仕様。フィッシング耐性が高く、パスワードレスの実現も可能です。
  • OAuth 2.0 / OpenID Connect(OIDC): SSO(シングルサインオン)やID連携で用いられる。MFAは認可サーバ側でステップアップ認証(高リスク操作時に追加要素を要求)として組み合わせられます。
  • SAML: 企業向けSSOで広く使われるプロトコル。MFAはIdP(認証プロバイダ)側で実施され、サービスプロバイダ側は認証済みトークンを受け取ります。
  • RADIUS: ネットワーク機器やVPNで古くから使われる認証プロトコル。既存設備との統合で今なお重要。

導入時のベストプラクティス

実務的な視点からの推奨事項です。

  • 重要アカウントから優先的に有効化: 管理者権限や特権アカウント、リモートアクセス系のアカウントを優先。
  • フィッシング耐性の高い方式を採用: 可能であればFIDO/WebAuthnやハードウェアキーを推奨。SMSは二次的手段として扱う。
  • リスクベース認証(Adaptive MFA): ログインのリスク(IP、デバイス、行動)に応じてステップアップする仕組みを導入。
  • アカウント回復とバックアップの設計: バックアップコード、複数の認証手段、管理者による安全なリカバリフローを用意する。回復フローは攻撃対象になり得るため慎重に設計する。
  • ユーザー教育: プッシュ通知の誤承認やMFA疲労攻撃の認知、フィッシング識別の教育が重要。
  • ログと監査: 認証イベントを記録し、不審な試行を検知・アラート化する。
  • 段階的展開と監視: 全社一斉導入よりもパイロット→段階的展開→改善のサイクルを回す。

よくある誤解と注意点

  • 「MFAを導入すれば完全に安全」ではない: MFAはリスクを大幅に下げますが、運用ミスや別ルートの脆弱性(認可エンドポイントやリカバリ手順)で突破される可能性は残ります。
  • SMSは便利だが最も脆弱な選択肢の一つ: 重要資産にはSMS単独での使用は推奨されません。
  • 生体情報はサーバに保存しない: 生体認証は端末内でのテンプレート照合が望ましい。サーバに生体データを保存する設計は避けるべき。
  • MFA疲労(MFA fatigue)への対応: 攻撃者が大量の承認リクエストを送りユーザーを疲れさせて承認させる攻撃が報告されています。ワンタップ承認を導入する場合は、表示内容の工夫や試行回数制限、通知以外の確認手段を考慮してください。

導入手順の概略(実運用向け)

典型的な導入プロセスは以下の通りです。

  • 現状評価: どのシステム・ユーザー群が重要かを整理、既存認証フローの把握。
  • 方針策定: 適用範囲、必須化基準、例外処理、回復手順、ユーザートレーニング計画を決定。
  • 技術選定: FIDO/WebAuthn、認証アプリ、ハードウェアキー等の選択とサードパーティIDプロバイダの検討。
  • パイロット実施: 部署を限定して導入し操作性・互換性の確認、問題点の洗い出し。
  • 段階的展開: ロールアウト計画に沿って展開、サポート窓口の設置。
  • 運用と改善: ログ監視、定期レビュー、脅威の変化に応じた方式の見直し。

まとめ

MFAは現代のセキュリティ基盤において必須の要素で、適切に導入すればアカウント侵害リスクを大幅に減らせます。しかし、どの方式を選ぶか、どのように運用・回復フローを設計するかがセキュリティ効果を左右します。特にフィッシング耐性の高いFIDO/WebAuthnやパスキーへの移行は今後ますます重要になります。導入に当たっては技術的要件だけでなく、ユーザー体験、運用コスト、互換性を総合的に評価し、段階的に実行することを推奨します。

参考文献

カテゴリー
IT
前の記事
Pat Metheny Group入門ガイド:名盤・代表曲とサウンドの魅力を徹底解説New!!
2025年11月18日
次の記事
多要素認証(MFA)完全ガイド:FIDO2・パスキーから導入のベストプラクティスとリスク対策New!!
2025年11月18日