フィッシング攻撃の脅威から企業を守る！MFA導入率70%超えに見るセキュリティ変革の最前線

もしあなたの会社が、巧妙化するサイバー攻撃、特にフィッシング詐欺の脅威に直面しているなら、この記事はきっと役立つでしょう。パスワードだけでは守りきれない現代において、多要素認証（MFA）はもはや「あると便利」なものではなく、「なくてはならない」セキュリティの基本となっています。

この度、アイデンティティ管理のリーディングカンパニーであるOktaは、従業員向けアイデンティティ管理ソリューション「Okta Workforce Identity」の匿名化された認証データを分析したレポート「The Secure Sign-In Trends Report 2025」を発表しました。このレポートは、企業のMFA導入状況と、より強固なフィッシング耐性を持つ認証方式への急速な移行の実態を浮き彫りにしています。

現代のセキュリティ課題：なぜMFAが必須なのか？

「パスワードを使い回さない」「複雑なパスワードを設定する」といった基本的な対策は、もはや十分とは言えません。フィッシング詐欺は日々巧妙さを増し、従業員が誤ってIDとパスワードを入力してしまうリスクは常に存在します。一度認証情報が盗まれてしまえば、企業は情報漏洩や不正アクセスといった甚大な被害に見舞われる可能性があります。

MFAは、パスワードに加えて別の認証要素（スマートフォンのアプリ、生体認証など）を組み合わせることで、たとえパスワードが漏洩しても不正アクセスを防ぐことができる、強力な防御策です。しかし、一口にMFAと言っても、その強度には差があります。特にSMS認証のような方式は、SIMスワップ攻撃などによって突破されるリスクが指摘されており、より高度なセキュリティが求められています。

Oktaレポートが示す最新トレンド：MFA導入は「必須」へ

「The Secure Sign-In Trends Report 2025」によると、2025年1月時点で、Oktaユーザー企業の職場環境におけるグローバル全体のMFA導入率は70%に達しました。これは、多くの企業がMFAをセキュリティ対策の要として認識していることを示しています。

一方で、依然として約3分の1のユーザーがMFAを利用していないという実態も明らかになりました。この未導入企業は、高度なサイバー攻撃に対して脆弱な状態にあると言えるでしょう。

フィッシング耐性認証の台頭：セキュリティと利便性の両立

レポートで最も注目すべきは、フィッシング耐性を持つ認証方式の導入率が前年比63%増と急成長を遂げている点です。特に、公開鍵暗号方式を用いたパスワードレス認証を実現する「Okta FastPass」の導入率は、前年比100%増という驚異的な伸びを見せています。

この動きは、企業が従来の脆弱な防御策から、より強固な認証方式へと積極的に移行していることを示唆しています。

導入後のメリット

フィッシング耐性を持つMFAやパスワードレス認証の導入は、単にセキュリティを強化するだけでなく、企業に様々なメリットをもたらします。

セキュリティ強化: 高度なフィッシング攻撃やソーシャルエンジニアリング攻撃から従業員と企業資産を強固に保護します。
生産性向上: パスワードの入力や管理の手間が減り、パスワード忘れによるヘルプデスクへの問い合わせも減少します。特にOkta FastPassのようなパスワードレス認証は、ログインプロセスを簡素化し、従業員のスムーズな業務遂行を支援します。
コスト削減: セキュリティインシデント発生時の対応コストや、ヘルプデスクの運用コスト削減に繋がります。また、外部ベンダーに依頼していたセキュリティ監査や運用の一部を内製化できる可能性も生まれます。
競争力強化: 強固なセキュリティ体制は、顧客や取引先からの信頼を高め、企業のブランド価値向上にも貢献します。

導入の失敗事例（一般的なケース）

MFA導入を検討する際に注意すべき点もいくつかあります。

従業員への教育不足: 新しい認証方式への移行は、従業員にとって負担に感じられる場合があります。導入前に十分な説明とトレーニングを行わないと、利用率が低迷したり、かえって生産性が低下したりする可能性があります。
利便性を損なう認証方式の選択: セキュリティを重視しすぎるあまり、複雑すぎるMFAを導入すると、従業員の反発を招きかねません。セキュリティと利便性のバランスを考慮した選択が重要です。
段階的な導入計画の欠如: 全社一斉に導入するのではなく、部門やシステムごとに段階的に導入を進めることで、トラブル発生時の影響を最小限に抑え、スムーズな移行を実現できます。

日本の現状と課題：セキュリティ強化への具体的な一歩

アジア太平洋地域（APAC）全体でMFA導入率が7ポイント上昇する中、日本のOktaユーザー企業においてもMFA導入率の向上と、強固な認証方式への移行が顕著になっています。

日本のMFA導入率は53%から62%へと9ポイント上昇。Okta FastPassの導入率は前年比81％増（13.8%から25.0%）となりました。さらに、セキュリティ強度の低い「セキュリティ質問（秘密の質問）」やSMS認証の使用は減少傾向にあり、より強固で実効性の高い認証方式へ移行していることが伺えます。

このデータは、日本の企業がセキュリティリスクに対する意識を高め、具体的な対策を進めている証拠と言えるでしょう。

多角的分析：スタートアップが学べること

特にスタートアップ企業にとって、創業期から強固なセキュリティ基盤を構築することは非常に重要です。「セキュリティは後回し」という考え方は、将来的に大きなリスクとなり、事業の成長を阻害する可能性があります。

初期投資としてのセキュリティ: 創業期からクラウドベースのアイデンティティ管理ソリューションを導入することで、スケーラブルなセキュリティ体制を構築できます。これは、後から大規模な改修を行うよりも、結果的にコスト削減に繋がります。
競争優位性の確保: 強固なセキュリティは、顧客からの信頼獲得に直結します。特に個人情報や機密情報を扱うサービスを提供するスタートアップにとって、セキュリティは競争優位性を確立するための重要な要素となります。
生産性の最大化: パスワード管理の手間をなくし、スムーズなアクセスを実現するMFAは、限られたリソースで最大限のパフォーマンスを出したいスタートアップの生産性向上に貢献します。

今後のセキュリティ標準：Oktaが提唱する5つの推奨事項

今回の調査結果は、MFAが「任意の追加機能」から「不可欠なセキュリティ標準」へと移行していることを強く示唆しています。ソーシャルエンジニアリングやフィッシング攻撃の高度化を考慮すると、フィッシング耐性のある認証方式の導入はもはや当然の対応と言えるでしょう。

Oktaは、このセキュリティ変革を成功に導くため、以下の5つの新しいセキュリティ標準の義務化を提唱しています。

フィッシング耐性を最優先にする: すべての機密アクセスに対してフィッシング耐性のあるMFAを義務化し、SMSなどのセキュリティ強度の低い認証方式をすべてのサインオンポリシーから排除する。
MFAをリスク指標として位置づける: 特にフィッシング耐性のあるMFAの導入状況を、経営層や取締役会レベルでのリスク指標として扱い、組織のセキュリティ体制に対する可視性と説明責任を確保する。
ゼロトラストフレームワークを採用する: アクセス制御をセッション単位の最小権限ベースに移行し、アクセスのたびにユーザー、デバイスの状態、ネットワーク環境を動的に評価する。
ユーザーライフサイクル全体を保護する: ユーザー登録やアカウント復旧プロセスにもフィッシング耐性のある認証を適用し、攻撃者がこれらの経路を利用してアカウントを乗っ取るのを防ぐ。
パスワードの最小化を計画する: 企業全体でパスワードへの依存を段階的に減らすための、明確で長期的な戦略計画を策定する。

これらの推奨事項は、未来を見据えたセキュリティ戦略を構築するための具体的な指針となるでしょう。従来の「強固なセキュリティを導入すると生産性が下がる」といった主張は、もはや当てはまりません。フィッシング耐性を備えた認証方式は、安全性と利便性を両立し、今日の脅威から組織を守るために極めて重要な要素となっています。