アダプティブ多要素認証（アダプティブMFA）とは

例えば、晴れた秋の朝に、オフィスのワークステーションではなく、街の中心部に新しくオープンしたカフェからリモートで作業することにしたとします。コーヒーを注文し、ノートPCを取り出して、会社のダッシュボードにログインし始めます。システムはすぐに、これまで登録したことのないデバイスに加えて、新しいWi-Fiネットワークを使用していることを検知します。機械的に“アクセス拒否”と表示されるのではなく、指紋スキャンを求める、コンテキストを考慮したプロンプトが1つ表示されます。

この場合、通常よりリスクが高いため、追加のセキュリティー・レイヤーが適用されます。このようなシームレスな“必要に応じた”保護こそが、アダプティブ多要素認証（A-MFA）の中核です。このリスク・ベースの認証は、利便性を損なうことなくセキュリティー体制を強化する、より賢明な方法です。 

IBMの2025年データ侵害のコストに関する調査によれば、侵害の平均コストは現在USD 440万です。この事実だけでも、組織がすべての利用者に同じ基本的な防御策を適用し続ける余裕がない理由が分かります。人工知能（AI）が作成するフィッシング攻撃が増加する中、MFAソリューションは、セキュリティーの最低要件とすべきです。幸い、Auth0やDuoなど、A-MFAを実装するための選択肢は数多くあります。本記事では、アダプティブMFAがリアルタイムでリスクを評価する仕組みを説明します。さらに、効果を発揮するユースケースを取り上げ、セキュリティーの枠組みの中でどこに位置付けるべきかを判断するための基礎的な理解を提供します。

これまでに、多要素認証（MFA）を一度は使ったことがある方も多いでしょう。MFAでは、追加の認証方法を用いて本人確認を行うことが求められるため、アカウントに対するセキュリティー要件が強化されます。MFAは、シングル・サインオン（SSO）や二要素認証（2FA）と同様、IDおよびアクセス管理（IAM）における認証の柱に含まれます。従来のようにパスワードだけに依存する方法ではなく、通常はログインにあたり2つ以上の要素が必要になります。これらの要素は、次の3つの主要なカテゴリに分けられます。

1. 知っているもの（パスワードや秘密の質問への回答など）。
   
   
2. 持っているもの（スマートフォン、セキュリティートークン、物理キー（USBドライブのYubiKeyなど）など）。
   
   
3. あなた自身—具体的には、指紋や顔のスキャンによる生体データ。

例えば、パスワード（知っているもの）の入力を求められた後、SMSコードがスマートフォン（持っているもの）に送信される、あるいは指紋（あなた自身）のスキャンを求められることがあります。これらの要素を組み合わせることで、たとえパスワードが漏えいしても、権限のない利用者がアカウントにアクセスすることは大幅に難しくなります。そして、より高いセキュリティー・リスクを検知した場合にのみ追加の対策を適用するシステムと組み合わせれば、アダプティブMFAの本質が見えてきます。  

アダプティブMFAは、従来のMFAを強化したアプローチと考えると分かりやすいでしょう。Abhijit Kumar NagとDipankar Dasguptaが考案したこの保護策は、従来のMFAをさらに一歩進めたものです。利用者の日常的な行動パターンに関するコンテキスト情報を用いて、特定のログイン試行に関連するリスクレベルを評価します。特定の利用者のログイン試行におけるリスクレベルが、あらかじめ定めたしきい値を上回る場合は、トリガー・イベントと見なされます。 

アダプティブMFAでは、ユーザーの役割や会社の資産など、複数の要因に基づいて、トリガー条件の優先順位を管理者が設定できます。先ほどの例で、カフェから会社のダッシュボードにログインした場合を考えてみましょう。そのカフェが初めての場所であれば、トリガー・イベントと見なされる可能性があります。一方、同じ時間帯に何度も利用している場所であれば、トリガー・イベントとは見なされない可能性が高いでしょう。また、翌日に、世界の反対側にある国で、通常とは異なる時間帯に、認証情報を使用して会社のダッシュボードへアクセスしようとした人がいた場合、ほぼ確実に警告が表示されます。この例が示すとおり、アダプティブMFAの要点は、特定の利用者のパターンを理解し、何かが不審で通常と異なる場合にのみ、セキュリティーのための追加対策を適用することにあります。次のセクションでは、従来のMFAの機能と、アダプティブMFAとの違いについて説明します。

アダプティブMFAは、従来のMFAに機能強化を加え、使いやすさを損なうことなく機密データを安全に保護する仕組みです。以下では、アダプティブMFAの手順と仕組みを説明します。

利用者はユーザー名とパスワード、またはパスキーを入力して、システム（例：企業ダッシュボード、アプリケーションなど）にログインしようとします。システムは、入力された認証情報を保存済みの認証情報と照合し、検証を開始します。

このステップが、アダプティブMFAを従来のMFAと差別化します。従来のMFAが追加の認証要素を一律に求めるのに対し、アダプティブMFAはリスクレベルを分析し、そのリスクに適した認証レベルを判断します。

まず、現在のログイン／アクセス要求のデータを収集し、過去のログイン／アクセス要求のデータと比較します。対象となるデータには、次のようなものがあります。

• 場所：この利用者が普段利用する位置情報か、別の都市、あるいは別の国か。
  
  
• デバイスまたはデバイス・タイプ：会社支給のデバイスか個人所有のデバイスか。普段ログインに使用しているデバイスか、新しいデバイスか。通常はノートPCコンピューターからログインする利用者が、モバイルデバイスからログインしようとしていないか。
  
  
• 時刻：従業員が通常ログインする勤務時間内か、通常とは異なる時間帯か。
  
  
• 利用者の振る舞い：上記の要因を踏まえたうえで、利用者は何にアクセスしようとしているか。
  
  
• ネットワーク：社内ネットワークか、プライベートIPか、パブリックIPか。
  
  
• 履歴データ：この利用者に関する過去のログイン情報はすべて保存され、現在のログイン試行との比較に使用されます。

リスク・スコアリングシステムがこれらの結果を評価し、このログイン試行に対するリスクレベルを割り当てます。例えば、認識されていないIPアドレスから、勤務時間外に、新しいデバイスで別の国からログインしようとした場合は、高リスクと判定される可能性があります。

リスク・スコアに基づき、状況に応じた認証レスポンスが決定されます。例えば、次のような対応が考えられます。

• 標準的なMFAトリガー（低リスク）：プッシュ通知、またはGoogle AuthenticatorやMicrosoft Authenticatorなどの認証アプリを通じて、ワンタイム・パスワード（OTP）を利用者のモバイルデバイスに送信します。
  
  
• 強化されたMFAトリガー（中リスク）：生体認証（顔認証や指紋認証）、秘密の質問、知識ベースの認証（当該利用者の履歴に関する質問）など、より厳格な認証方法を適用する場合があります。
  
  
• 即時ブロックとアラート通知（高リスク）：高リスクの場合、ログイン試行を直ちにブロックし、組織のセキュリティー部門に通知することがあります。

A-MFAシステムは、各利用者のアクティビティーと振る舞いを継続的に監視し、時間の経過に伴う異常をより的確に識別できるようにします。近年では、A-MFAシステムが機械学習アルゴリズムを採用し、利用者の過去のログインやアクセス試行から学習するケースも増えています。システムが遭遇するログイン試行が増えるほど、正当な試行と不審な試行の識別精度が高まります。

組織がアダプティブMFAを採用する主な理由には、次のようなものがあります。

• システム管理者による制御性向上：A-MFAシステムでは、資産の機密性やアクセスしようとする人の役割に応じて、必要な認証要件の数を増減できます。
  
  
• セキュリティーを損なわない使いやすさ：A-MFAでは、状況に合わせて認証要求を柔軟に変えられるため、セキュリティーが状況に合致し、ユーザー体験の妨げになりにくくなります。
  
  
• レジリエンスの強化：ゼロトラストセキュリティーアプローチの一環としてA-MFAを採用することで、セキュリティーを直ちに強化し、フィッシング攻撃などによるデータ侵害のリスクを大幅に低減できます。