MFAの未来：適応型認証とその他のトレンド

多要素認証（MFA）とは、ユーザが安全なリソースへのアクセスを要求する際に、複数の識別要素を使用することを指します。これは、資格情報に関連する攻撃を防ぎ、サイバーセキュリティ規制を遵守し、リソースを安全に保つために非常に重要です。 MFAは、単純なユーザ名とパスワードの組み合わせに加えて追加の認証要素（または複数の要素）を要求することで、アクセスを試みる攻撃者に対してもう一つの障壁を設けます。 過去数十年で広く採用されて以来、MFAは非常に効果的であり、 ある調査では99.99％以上のアカウントの安全を守ることに成功したと報告されています。.

MFAの攻撃阻止効果の高さは、攻撃者にますます複雑な手口や組織の防御を回避する新たな攻撃経路を考案させる動機となっています。 しかし、良いニュースは、MFAもまた新たに出現する課題に対応するために絶えず進化し続けていることです。 本記事では、今後のMFAのトレンドとして、MFAが対処すべき課題、新しいMFAの手法、そして組織がMFAの革新を評価する際に考慮すべき点について見ていきます。

1. 適応型認証

適応型認証は、ユーザの負担を増やさずにセキュリティを向上させるために、従来の多要素認証（MFA）から進化したものです。これは、高度なMFAの形態であり、アクセスの試みのリスクレベルに応じて、動的に認証の対応を変えます。例えば、普段使っているデバイスや通常の場所からログインする場合、適応型MFAはこれを認識し、追加の認証要素を求めることなくアクセスを許可します。

しかし、見慣れないデバイスや不慣れな場所からのログイン、あるいは普段とは異なるブラウザやネットワークからのアクセスの場合は、追加の認証要素を求めることがあります。この追加の認証は「ステップアップ認証」と呼ばれることもあり、リスクに応じてシステムの認証要件がリアルタイムで強化されます。脅威が進化し続ける中、多くの組織が適応型認証を導入し、セキュリティを脅威の進化に追随させることが期待されています。

適応型MFAは、静的な認証方法やポリシーよりも強力なセキュリティを提供します。リアルタイムで脅威に動的に対応することで、認証情報の詰め込み攻撃（クレデンシャルスタッフィング）やフィッシングのような高度な攻撃を検知・阻止できます。また、悪意あるログイン試行を許すためにユーザに大量の認証要求を送り付ける攻撃者による 「MFA疲れ」 これは、攻撃者が悪意のあるログイン試行を許可するために、認証プロンプトでユーザーを混乱させることに関連している。セキュリティを向上させるだけでなく、アダプティブ認証は、ユーザが認証時に対応しなければならない認証プロンプトの数を減らすことで、ユーザエクスペリエンスも向上させる。

2. コンテキスト認識認証

コンテキスト認識認証は適応型認証の一部であり、MFAの主要な手法として定着すると期待されています。適応型認証と似て、コンテキスト認識認証も認証判断のために様々なデータポイントを分析します。例えば：

• デバイスの種類：ログインが既知のデバイスから行われているか？
• 位置情報：ユーザは既知の場所からログインしているか？
• IPアドレス：IPはVPNに関連付けられているか？
• アクセス時間：ログインは通常とは異なる時間帯に行われているか？
• 行動：タイピング速度やマウスの動きは普段通りか？

コンテキスト認識認証と適応型認証は共にログイン情報を分析しますが、両者の大きな違いは次の通りです。コンテキスト認識認証はログイン状況をチェックして報告しますが、検出したコンテキストに基づいてセキュリティを動的に調整するわけではなく、その情報に基づく対応は人間の判断に委ねられます。一方で、適応型認証はリアルタイムかつAI駆動の機能であり、その場で認証方法を変更したりリスクを調整したりでき、高リスクのログインを自動的にブロックすることも可能です。

3. パスワードレス認証

ユーザにとって覚えにくく、攻撃者にとっては推測しやすいパスワードは、特に安全なアクセスを必要とするリソースの数が急増している中で、認証における弱点となっています。 パスワードレス認証 はこの問題を解決し、パスワードに依存せずに本人確認を行います。パスワードレス認証では、実績のあるハードウェアトークンや生成されたワンタイムパスコード（OTP）、プッシュ承認などのアプリベースの操作など、パスワード以外の多様な認証要素を使用します。パスワードレスの選択肢が多いほど、企業は特定のニーズやユーザグループに合わせたパスワードレス環境を構築しやすくなります。

パスワードレス認証は、洗練され効果的に進化しています。MFAの進化に影響を与えるトレンドの一つとして、より多くの組織がユーザ・エクスペリエンスの向上を目指してパスワードレス方式を採用していることが挙げられます。例えば、企業が内部システムのセキュリティ強化やフィッシング対策、ゼロトラスト体制の成熟を目的に、生体認証を使ったパスワードレスログインへますます移行していくことが期待されています。

パスキー は、パスワードレス認証を通じて企業のセキュリティ向上に貢献するもう一つの方法です。かつては主に消費者向け体験に関連していましたが、現在では特に企業利用においてMFAの将来を担う存在になりつつあります。組織がパスキーを成功裏に導入するためには、企業向けに適したソリューションを活用し、最大限のセキュリティを確保することが鍵となります。

そのために、組織は複数デバイス間で自由に同期されるパスキーよりも、 デバイスに紐付けられたパスキー（デバイスバウンドパスキー） を使用することが一般的に推奨されます。

4. 分散型アイデンティティ（ Decentralized identity (DID)）

組み合わせとして 分散型アイデンティティ（DID）とブロックチェーン技術 は、MFAの進化に大きな影響を与えると期待されています。DID環境では、ユーザ自身が自分のアイデンティティを所有・管理し、データベースや大手テックプラットフォームなどの中央集権的な機関に依存しません。例えば、組織アカウントでリソースにログインする代わりに、ユーザは検証済みの認証情報を分散型ウォレットに追加し、ブロックチェーンを改ざん不可能な認証記録の台帳として利用します。
DIDとブロックチェーンを組み合わせたアプローチは、MFAをさまざまな面で改善する可能性があります。認証データを管理する中央機関が存在しないため、データ漏洩のリスクを低減します。また、ブロックチェーンに保存された暗号鍵によってアイデンティティを検証するため、パスワードレス認証をサポートします。さらに、安全に保管された秘密鍵を用いた認証により、フィッシング攻撃を無効化することも可能です。

5. MFAにおける新興技術

いくつかの新興技術は、多要素認証（MFA）に対して大きな影響を及ぼす可能性があります—それは良い方向にも悪い方向にも働きます。良い面としては、 AI（人工知能） が積極的で適応的、かつ自動化された脅威検出を可能にしていることです。サイバー脅威が進化する中、AI駆動のシステムはリアルタイムでの脅威防御の鍵となります。しかし一方で、サイバー攻撃者もまたAIを利用して新たかつ強力な攻撃手段を作り出す可能性があります。ただし、最近の RSAの調査 によると、80％のサイバーセキュリティ専門家は、今後数年間でAIがサイバー犯罪者を助けるよりも、サイバーセキュリティを強化する役割を果たすと予想しています。

IoT（モノのインターネット）や接続されたデバイスをMFAの要素として利用することも、認証に対して利点とリスクの両方をもたらします。IoTデバイスは、近接認証（例えばスマートウォッチでノートパソコンを解除する）、コンテキスト認証（IoTセンサーが位置情報やその他の要素を基にユーザを確認する）、そしてゼロタッチ認証（デバイスが自動的に認可ユーザを認識する）を可能にする重要な役割を担います。しかし同時に、複数のデバイスやリソースと連結している性質上、IoTは認証リスクを生み出す経路を増やす可能性もあります。

新興技術の中で、多要素認証にとって明確に問題となりうるのが量子コンピューティングです。量子コンピューティングはMFAシステムを保護する暗号技術に対して深刻な脅威をもたらします。しかし幸いなことに、現在まで量子コンピューティングによって暗号やMFAが破られた実証例はありません。また、 量子コンピューティング はまだ十分な資源が揃っておらず技術的にも初期段階であるため、MFAや暗号に対するリスクはまだ理論上のものに過ぎません。NIST（アメリカ国立標準技術研究所）は、2048ビットの鍵が少なくとも2030年までは十分な保護を提供するとしており、多くの現代的なウェブブラウザは必要に応じて4096ビット鍵に対応可能です。

さらに、MFAを量子耐性化するための取り組みも進んでおり、NISTは量子耐性の暗号アルゴリズムを標準化し、量子安全なMFAプロトコルを作るための新しいポスト量子FIPS暗号標準（FIPS 203, FIPS 204, 、 FIPS 205）を公開しています。組織はこれらのガイダンスを確認し、今日から実装を開始することが推奨されます。

今日のMFAが直面する課題や、それを回避しようと進化する新たなリスクに対して、どのように認証機能を確実に対応させますか？

防御は、まずこれらのトレンドを認識し、常に把握し続けることから始まります。そして、それらを先取りするための適切な対策を講じることが重要です。具体的には、適応型認証（Adaptive Authentication）などのMFAの進化を採用し、パスワードレス認証に移行し、さらに新たに登場するMFA関連技術を検討して、その利点と潜在的なリスクを理解することが求められます。いつでもRSAがサポートいたします。