MFAの義務化とパスキーへの移行：ベストプラクティス

多要素認証（MFA）は、先進的なユーザーのためのセキュリティ機能という位置づけから、世界中の組織にとって交渉の余地のない、義務化された現実へと決定的に移行しました。この変革は選択によるものではなく、執拗なクレデンシャルベースのサイバー攻撃と高まる規制圧力によって引き起こされた、必要に迫られたものです。金融サービスから公共セクターに至るまで、今や多くの業界がMFAをコンプライアンスの基準とする枠組みの下で運営されています。MFAが提供されるのではなく強制されるこの新しい時代は、最初の技術的な実装をはるかに超える、一連の複雑な課題をもたらします。

すべてのユーザーがMFAを使用しなければならないとき、すべての組織が答えなければならない新たな重要な問題が浮かび上がります。この記事では、これらの課題を深く掘り下げ、明確な前進の道筋を示します。私たちは以下の点に取り組みます：

1. 大規模にMFAを強制することによる、隠れた運用コストとユーザーエクスペリエンスの落とし穴とは何か？

2. 選択肢が与えられた場合、ユーザーは実際にどのMFA方式を採用し、それがどのようなセキュリティリスクを生み出すのか？

3. 義務化された環境において、アカウントのリカバリーはどのようにして新たな主要課題となるのか、そしてそれを解決するためのトレードオフは何か？

4. なぜパスキーは単なる選択肢の一つではなく、MFAの義務化によって生じた問題そのものに対する戦略的な解決策なのか？

5. 義務化されたレガシーMFAから、パスキーの優れたセキュリティとユーザーエクスペリエンスへうまく移行するための、実践的で段階的な設計図とは何か？

この分析は、単一要素認証から義務化されたMFA（そして義務化されたパスキー）への移行を成功させるための、明確で実行可能な設計図を提供します。

強制がもたらす課題を探る前に、認証を取り巻く状況と、なぜ義務化がそれを根本的に変えるのかを明確に理解することが重要です。用語自体が混乱の原因になることもありますが、その違いを理解することは、あらゆるセキュリティ戦略や製品戦略にとって不可欠です。

認証の進化は、その最も基本的な形態が持つ固有の弱点への直接的な対応です。

• 単一要素認証（SFA）： おなじみのユーザー名とパスワードの組み合わせです。これは、ユーザーが知っていること、つまり単一の「知識」要素に依存します。フィッシング、クレデンシャルスタッフィング、総当たり攻撃に対する脆弱性が、より強力な方法を求める主な動機となっています。

• 2段階認証（2SV）： しばしばMFAと同じ意味で使われますが、2SVは別個の、より弱いプロセスです。2つの検証ステップを必要としますが、同じカテゴリの2つの要素を使用する場合があります。一般的な例は、パスワードの後に秘密の質問が続くもので、両方とも「知識」要素です。SFAよりは優れていますが、真の多要素セキュリティの基準は満たしていません。

• 多要素認証（MFA）： セキュリティのゴールドスタンダードであるMFAは、少なくとも2つの異なるカテゴリの認証要素による検証を必要とします。主な3つのカテゴリは次のとおりです：

  • 知識： ユーザーが知っていること（例：パスワード、PIN）。

  • 所有： ユーザーが持っているもの（例：コードを受信する携帯電話、ハードウェアのセキュリティキー）。

  • 生体： ユーザー自身であること（例：指紋、顔認証）。

任意から必須へのMFAの移行は、パラダイムシフトです。任意のシステムでは、セキュリティ意識の高いユーザーから徐々に採用が進むため、真の摩擦点は隠れてしまいます。一方、義務化は、テクノロジーに詳しい人から苦手な人まで、ユーザーベース全体を新しいシステムに同時に強制的に移行させるため、ユーザーエクスペリエンスとサポート体制のあらゆる欠陥が露呈します。

この移行は、規制の触媒によって加速されてきました。最も注目すべきは、ヨーロッパの第2次決済サービス指令（PSD2）とその強力な顧客認証（SCA）の要件です。この規制は、ほとんどのオンライン取引でMFAを義務化することにより、ヨーロッパの決済ランドスケープを根本的に変えました。金融機関にオープンAPIとより強力なセキュリティの採用を強制することで、PSD2は強制的な認証における大規模で現実的なケーススタディを提供しています。

SCAの主な目標は、電子決済に2つの独立した認証要素を要求することで、不正行為を減らすことでした。しかし、最初の導入では大きな摩擦が生じ、一部のヨーロッパの事業者はユーザーの混乱やカート放棄により、取引の40%近くを失いました。時間が経つにつれてエコシステムは適応し、2024年8月の欧州中央銀行のレポートでは、SCAで認証された取引の不正率が大幅に低いことが確認されました。これは長期的なセキュリティ上の利点を示していますが、同時にセキュリティとユーザーエクスペリエンスのバランスを取る必要性を浮き彫りにしています。

これらの義務化は、最初は摩擦を生み出しますが、同時に意図せざる大規模な教育環境も作り出します。何百万人ものユーザーが銀行から指紋やコードで取引を承認するよう強制されると、彼らは第2の要素という概念に慣れ親しむようになります。規制によって推進されるこの正常化は、皮肉なことに、他の組織が新しい認証方法を導入する道をスムーズにします。会話は「MFAとは何か、なぜ必要なのか？」から、「これが私たちが提供する、あなたがすでに知っているセキュリティステップの新しい、より簡単な方法です」へと進化させることができます。これは、パスキーのような優れた体験を導入するための完璧な基盤を作り出します。

これらの規制の詳細とパスキーとの関係についてさらに知りたい場合は、以下のリソースをご覧ください：

• PSD2とSCA要件の分析

• SCA要件がパスキーに意味するもの

• PSD2パスキー：フィッシング耐性のあるPSD2準拠のMFA

• PSD3 / PSRがパスキーに与える影響

• PSD3 / PSR下での委任認証とパスキー

ユーザーベース全体にMFAを強制すると、初期計画段階では過小評価されがちな多くの実践的な課題が明らかになります。これらの問題は、ユーザーエクスペリエンス、セキュリティ体制、運用コストに影響を与えます。

登録が必須になると、劣悪なユーザーエクスペリエンスは単なる煩わしさではなく、事業運営への直接的な障害となります。組織は通常、強制登録（次回のログイン時にMFA設定を要求）または段階的登録（時間をかけてユーザーに促す）のどちらかの戦略を選択します。強制登録はコンプライアンスを迅速に達成できますが、プロセスがシームレスでない場合、ユーザーの不満や離脱のリスクが高まります。成功の鍵は、複数の認証方法の提供、非常に明確な指示、そして例えばオーセンティケーターアプリ用にQRコードと並行してテキストベースのシークレットキーを提供するなど、すべてのユーザーに対するアクセシビリティの確保といったUXのベストプラクティスを遵守することにかかっています。

アカウントでMFAが有効になると、第2の要素を失うことは完全にロックアウトされることを意味します。義務化された世界では、これは一部のセキュリティ意識の高いユーザーに起こる孤立した事件ではありません。ユーザーベース全体と、彼らをサポートするチームにとって、広範囲にわたる重大な課題となります。これにより、アカウントのリカバリーが最大の課題となるのです。

金銭的なリスクは大きいです。ヘルプデスクによるパスワードやMFAのリセット1件につき、企業には平均70ドルのコストがかかると言われています。数十万人のユーザーを抱える組織では、リカバリーを必要とするユーザーがわずかな割合であっても、数百万ドルの運用コストと生産性の損失につながる可能性があります。

組織は、セキュリティ、コスト、利便性の間の難しいトレードオフを迫られます：

• ヘルプデスクによるリカバリー： サポート担当者がビデオ通話などでユーザーの本人確認を行うことができます。これは安全で人間が検証するプロセスですが、規模を拡大するには法外に高価で時間がかかり、ほとんどのビジネスにとって持続可能ではありません。

• メール/SMSベースのリカバリー： 低コストでユーザーに馴染みがあるため、最も一般的な方法です。しかし、これは重大なセキュリティの脆弱性でもあります。攻撃者がすでにユーザーのメールアカウントを乗っ取っている場合（他の攻撃の一般的な前兆）、リカバリーコードを簡単に傍受し、MFAを完全に迂回できてしまいます。この方法は、義務化が意図したセキュリティ上の利点を事実上無効にします。

• 事前登録されたバックアップコード： ユーザーは登録時に使い捨てのバックアップコード一式を与えられます。メールでのリカバリーよりは安全ですが、このアプローチは初期設定に手間を加えます。さらに、ユーザーはこれらのコードを安全に保管しなかったり、紛失したりすることが多く、最終的には同じロックアウトの問題に戻ってしまいます。

• セルフィーID認証： この高保証の方法では、ユーザーにライブの自撮り写真と政府発行のID（運転免許証やパスポートなど）の写真を撮るよう要求します。その後、AI搭載システムが顔とIDを照合して本人確認を行います。オンボーディング中に本人確認が行われる銀行や金融サービスでは一般的ですが、一部のユーザーにはプライバシーの懸念を引き起こし、物理的なIDを手元に持っている必要があります。

• デジタルクレデンシャルとウォレット： 新興の先進的な選択肢として、デジタルウォレットに保存された検証可能なデジタルクレデンシャルを使用する方法があります。ユーザーは、信頼できる発行者（政府や銀行など）からのクレデンシャルを提示することで、サービス固有のリカバリーフローを経ずに本人確認ができます。この方法はまだ初期段階ですが、よりポータブルでユーザーが管理できる本人確認の未来を示唆しています。

あらゆるMFAシステムにおける頻繁かつ重大な障害点は、デバイスのライフサイクルです。ユーザーが新しいスマートフォンを手に入れたとき、認証方法の継続性が最も重要になります。

• SMS： この方法は比較的可搬性があります。電話番号は新しいSIMカードを介して新しいデバイスに移行できるためです。しかし、まさにこのプロセスがSIMスワッピング攻撃で悪用される攻撃ベクトルであり、詐欺師が携帯電話会社を説得して、被害者の番号を自分たちが管理するSIMに移植させます。

• オーセンティケーターアプリ（TOTP）： これはユーザーにとって大きな不満の原因です。ユーザーがオーセンティケーターアプリ内でクラウドバックアップ機能を積極的に有効にしていない限り（この機能は普遍的ではなく、常に使用されるわけでもありません）、コードを生成する秘密鍵は古いデバイスと共に失われます。これにより、ユーザーは保護していたすべてのサービスに対して、完全で、しばしば苦痛を伴うアカウントリカバリープロセスを強いられることになります。

• プッシュ通知： TOTPアプリと同様に、プッシュベースのMFAは登録されたデバイス上の特定のアプリインストールに紐づけられています。新しいスマートフォンでは新しい登録が必要となり、同じリカバリーの課題を引き起こします。

組織がMFAを義務化し、複数の方法の選択肢を提供すると、予測可能なパターンが現れます。95%以上のユーザーが、最も馴染みがあり、最も簡単だと認識されている方法、つまりSMSベースのワンタイムパスコード（OTP）に引き寄せられます。この行動はパラドックスを生み出します。CISOはセキュリティを向上させるためにMFAを義務化できます。しかし、多くのユーザーがSMSのようなフィッシング可能な方法に依存し続けるなら、組織は100%のコンプライアンスを達成しても、巧妙な攻撃に対する防御力を実質的に向上させることはできません。このことを認識し、Microsoftのようなプラットフォームは「システム推奨MFA」を導入しました。これは、SMSや音声通話よりもオーセンティケーターアプリのようなより安全な選択肢へとユーザーを積極的に誘導するものです。これは重要な教訓を浮き彫りにします。単にMFAを義務化するだけでは不十分なのです。MFAの種類が非常に重要であり、組織はユーザーをより脆弱でフィッシング可能な要素から積極的に遠ざけなければなりません。

MFAを義務化するという決定は、運用リソースに直接的かつ測定可能な影響を与えます。登録の問題、オーセンティケーターの紛失、リカバリー要求に関連するヘルプデスクのチケットが必然的に急増します。Gartnerの調査によると、ITサポートへの問い合わせ全体の30〜50%はすでにパスワード関連の問題であり、MFAの義務化は、特に面倒なリカバリーフローと組み合わさると、この負担を大幅に悪化させます。これはCTOやプロジェクトマネージャーが予測しなければならない直接的なコストにつながります。さらに、ヘルプデスク自体がソーシャルエンジニアリング攻撃の主要な標的になります。攻撃者は、不満を抱えロックアウトされたユーザーになりすまし、サポート担当者を騙してMFA要素をリセットさせようとします。

現実世界で行われた大規模なMFA義務化の実装を検証すると、何が機能し、何が大きな摩擦を生むかについての非常に貴重な教訓が得られます。特定の企業に焦点を当てるのではなく、これらの経験をいくつかの普遍的な真実に集約することができます。

• 初期の摩擦は避けられないが、管理可能である： ヨーロッパのSCA導入は、セキュリティのためであっても、ユーザーの行動に大きな変化を強いることは、当初はコンバージョン率を損なうことを示しました。しかし、それはまた、洗練されたプロセスとユーザーの慣れによって、これらの悪影響は時間とともに緩和できることも示しました。重要なのは、この摩擦を予測し、最初から可能な限り最も効率的でユーザーフレンドリーなフローを設計することです。

• ユーザーの選択は諸刃の剣である： 選択肢が与えられると、ユーザーは一貫して最も抵抗の少ない道を選びます。これはしばしばSMSのような、馴染み深いがセキュリティの低いMFA方法を選択することを意味します。これにより、組織は規定の文言は満たしてもその精神は満たせず、フィッシングに対して脆弱なままであるという「形式的なコンプライアンス」の状態に陥ります。成功する戦略は、ユーザーをより強力でフィッシングに強い選択肢へと積極的に導かなければなりません。

• リカバリーがアキレス腱になる： 義務化された世界では、アカウントのリカバリーはエッジケースから、主要な運用上の負担であり、重大なセキュリティの脆弱性へと変貌します。リカバリーにメールやSMSに依存することは、セキュリティモデル全体を損ない、ヘルプデスク主導のリカバリーは財政的に持続不可能です。堅牢で安全、かつユーザーフレンドリーなリカバリープロセスは後付けで考えるものではなく、あらゆる義務化を成功させるための中心的な要件です。

• 段階的な展開がリスクを劇的に減らす： ユーザーベース全体に「ビッグバン」方式で展開を試みるのは、ハイリスクな戦略です。大規模な企業導入で証明されたより賢明なアプローチは、まず小規模で重要度の低いユーザーグループで新しいシステムを試験的に導入することです。これにより、プロジェクトチームは本格的な展開の前に、管理された環境でバグを特定・解決し、ユーザーエクスペリエンスを洗練させ、フィードバックを収集することができます。

• 中央集権的なIDプラットフォームは強力な推進力となる： 既存の中央集権的なID・アクセス管理（IAM）またはシングルサインオン（SSO）プラットフォームを持つ組織は、スムーズな展開においてはるかに有利な立場にあります。中央のIDシステムにより、何百、何千ものアプリケーションに新しい認証ポリシーを迅速かつ一貫して適用でき、プロジェクトの複雑さとコストを大幅に削減できます。

FIDO AllianceのWebAuthn標準に基づいて構築されたパスキーは、レガシーMFAの単なる漸進的な改善ではありません。公開鍵暗号に基づくその基盤アーキテクチャは、MFAの義務化によって生じる最も苦痛で根強い問題を解決するために特別に設計されています。

• リカバリーの悪夢を解決する： MFA義務化の最大の課題は、アカウントのリカバリーです。パスキーはこれに正面から取り組みます。パスキーは暗号化されたクレデンシャルであり、AppleのiCloud KeychainやGoogle Password Managerなどのプラットフォームエコシステムを通じてユーザーのデバイス間で同期できます。ユーザーがスマートフォンを紛失しても、パスキーはラップトップやタブレットで引き続き利用可能です。これにより、ロックアウトの頻度が劇的に減少し、メールのような安全でないリカバリーチャネルや、コストのかかるヘルプデスクの介入への依存が軽減されます。

• デバイスライフサイクルの問題を解決する： パスキーは同期されるため、新しいデバイスを手に入れる体験は、大きな摩擦点からシームレスな移行へと変わります。ユーザーが新しいスマートフォンでGoogleやAppleのアカウントにサインインすると、パスキーは自動的に復元され、すぐに使用できます。これにより、従来のデバイスに紐づいたオーセンティケーターアプリで必要だった、アプリごとの苦痛な再登録プロセスが不要になります。

• ユーザー選好のパラドックスを解決する： パスキーは、セキュリティと利便性の古典的なトレードオフを解決します。利用可能な最も安全な認証方法である、フィッシング耐性のある公開鍵暗号は、ユーザーにとって最も速く、最も簡単な方法でもあります。生体認証ジェスチャーやデバイスのPINだけで十分です。最強の選択肢が最も便利な選択肢でもあるため、ユーザーがより弱く、セキュリティの低い選択肢を選ぶインセンティブはありません。

• フィッシングの脆弱性を解決する： パスキーは設計上、フィッシング耐性があります。登録時に作成される暗号鍵ペアは、ウェブサイトやアプリの特定のオリジン（例：corbado.com）に紐づけられています。ユーザーが偽のフィッシングサイト（例：corbado.scam.com）でパスキーを使おうとしても、ブラウザとオペレーティングシステムがオリジンの不一致を認識し、認証の実行を拒否するため、騙されることはありません。これは、パスワードやOTPのような共有秘密に基づくどの方法も提供できない、基本的なセキュリティ保証を提供します。

• MFA疲れを解決する： Face IDのスキャンや指紋認証のような、たった一つの簡単なユーザーアクションが、デバイス上の暗号鍵の所有（「あなたが持っているもの」）と生体認証による固有性（「あなたであること」）を同時に証明します。これはユーザーにとっては一つの簡単なステップに感じられますが、暗号学的には多要素認証の要件を満たしています。これにより、組織はレガシーMFAに関連する余分なステップや認知的負荷を追加することなく、厳しいコンプライアンス基準を満たすことができます。

レガシーMFAからパスキーファーストの戦略への移行には、テクノロジー、ユーザーエクスペリエンス、ビジネス目標に対応する、意図的で多段階のアプローチが必要です。

パスキーを義務化する前に、ユーザーベースがパスキーを採用するための技術的な能力を理解する必要があります。これは、展開の実現可能性とタイムラインを見積もるための重要な第一歩です。

• デバイスランドスケープを分析する： 既存のウェブ分析ツールを使用して、ユーザーが好むオペレーティングシステム（iOS、Android、Windowsのバージョン）やブラウザに関するデータを収集します。

• パスキー対応状況ツールを展開する： より正確なデータを得るために、Corbado Passkeys Analyzerのような軽量でプライバシーを保護するツールをウェブサイトやアプリに統合できます。これにより、ユーザーのデバイスがプラットフォームオーセンティケーター（Face ID、Touch ID、Windows Helloなど）や、パスキーの自動入力を可能にするConditional UIなどの重要なUX向上機能をサポートしている割合に関するリアルタイムの分析が得られます。このデータは、現実的な採用モデルを構築するために不可欠です。

パスキーへの移行は段階的であり、瞬時に行われるものではありません。成功する戦略には、パスキーを主要で推奨される方法として推進しつつ、互換性のないデバイスを使用しているユーザーやまだ登録していないユーザーのために安全なフォールバックを提供するハイブリッドシステムが必要です。

• 統合パターンを選択する：

  • IDファースト： ユーザーがメールアドレスまたはユーザー名を入力します。システムはそのIDにパスキーが登録されているかを確認し、登録されていればパスキーログインのフローを開始します。登録されていない場合は、パスワードや他の安全な方法にシームレスにフォールバックします。このアプローチは最高のユーザーエクスペリエンスを提供し、通常、より高い採用率につながります。

  • 専用のパスキーボタン： 従来のログインフォームの横に「パスキーでサインイン」ボタンを配置します。これは実装が簡単ですが、新しい方法を選択する責任をユーザーに負わせるため、利用率が低くなる可能性があります。

• フォールバックの安全性を確保する： フォールバックメカニズムがセキュリティ目標を損なわないようにしなければなりません。SMS OTPのような安全でない方法へのフォールバックは避けてください。より強力な代替案は、ユーザーの認証済みメールアドレスに送信される、時間制限のあるワンタイムコードやマジックリンクを使用することです。これは特定のセッションにおける所有要素として機能します。

スムーズな展開のためには、効果的なコミュニケーションが最も重要です。目標は、パスキーを単なるセキュリティ上の面倒事としてではなく、ユーザーエクスペリエンスの大幅なアップグレードとして位置づけることです。

• メリット重視のメッセージング： 「より速く、より安全にサインイン」、「忘れたパスワードにさようなら」、「あなたの指紋が鍵になります」といった、ユーザーのメリットに焦点を当てた明確でシンプルな言葉を使います。認識を高めるために、公式のFIDOパスキーアイコンを一貫して使用します。

• 段階的な展開戦略：

  1. 「プル型」導入から始める： 最初は、ユーザーのアカウント設定ページ内でパスキー作成をオプションとして提供します。これにより、アーリーアダプターやテクノロジーに詳しいユーザーが、他のユーザーのフローを妨げることなくオプトインできます。

  2. 「プッシュ型」導入へ移行する： システムが安定したら、ユーザーが古いパスワードで正常にサインインした直後に、パスキーを作成するよう積極的に促し始めます。これにより、ユーザーがすでに「認証モード」にあるタイミングを捉えることができます。

  3. オンボーディングに統合する： 最後に、すべての新規ユーザー登録において、パスキー作成を主要な推奨オプションとします。

パスキーへの投資を検証し、エクスペリエンスを継続的に最適化するためには、データ駆動型のアプローチが不可欠です。すべてのチームは、それぞれの役割に関連するメトリクスを追跡すべきです。

• 採用とエンゲージメントのメトリクス：

  • パスキー作成率： パスキーを作成した対象ユーザーの割合。

  • パスキー使用率： パスキーで実行されたログインの総数に対する割合。

  • 最初の重要アクションまでの時間： 新規ユーザーがパスキーを採用してから、重要なアクションをどれだけ早く実行したか。

• ビジネスと運用のメトリクス：

  • パスワードリセットチケットの削減： ヘルプデスクコストの直接的な削減効果。

  • SMS OTPコストの削減： レガシーな要素を排除することによる具体的なコスト削減。

  • ログイン成功率： パスキーログインの成功率をパスワード/MFAログインと比較。

  • アカウント乗っ取りインシデントの減少： セキュリティ効果の最終的な指標。

以下の表は、認証方法を比較し、パスキーソリューションが一般的なビジネスの課題にどのように直接対応するかを簡潔にまとめたものです。

パスキーが義務化されたMFAの課題に対する解決策を提供する方法

多要素認証が義務化される時代は、今後も続きます。クレデンシャルベースの攻撃から防御するという重要な必要性から生まれたものの、これらの義務化は意図せずして新たな課題の状況を生み出してしまいました。

私たちは、MFAの強制が、SMS料金の直接的なコストから、登録やデバイスの変更に苦労するユーザーからのヘルプデスクチケットの急増まで、重大な運用上の負担をもたらすことを見てきました。選択肢が与えられた場合、ユーザーはSMSのような馴染み深いがフィッシング可能な方法に引き寄せられ、書類上はコンプライアンスを達成しても、組織は現実世界の攻撃に晒されたままであることを学びました。そして最も重要なことは、義務化された世界では、アカウントのリカバリーが最大の失敗点となり、計り知れないユーザーの不満の原因であり、不適切に処理された場合には大きなセキュリティホールとなることを確立しました。

レガシーなMFA方式ではこれらの問題を解決できません。しかし、パスキーならできます。私たちは、パスキーがリカバリー、ユーザーの摩擦、セキュリティという相互に関連する問題を直接解決する決定的な答えであることを示しました。その同期性によりほとんどのロックアウトシナリオが排除され、生体認証による使いやすさが弱い選択肢を選ぶインセンティブを取り除き、暗号化設計がフィッシングを不可能にします。最後に、私たちは準備状況の監査から成功の測定まで、あらゆる組織がこの戦略的移行を行うための実践的な道筋を提供する、明確な4段階の設計図を提示しました。

この変化を単なるコンプライアンス上の頭痛の種と見なすのは、それがもたらす戦略的な機会を見逃すことです。ヨーロッパの銀行における強力な顧客認証の先駆者たちは、当初の苦労にもかかわらず、最終的には業界全体のユーザーの期待を形作りました。今日、パスキーの先駆者たちにも同じ機会があります。この移行を受け入れることで、組織はセキュリティの義務化を、負担の大きい義務から、強力で持続的な競争優位へと変えることができます。義務化から勢いへと移行する計画を立てるべき時は、今です。