アダプティブ多要素認証(アダプティブMFA、またはA-MFA)は、ログインやアクセス要求の前後の状況に応じて、異なる認証要素、または追加の認証要素を求める多要素認証の手法です。
例えば、晴れた秋の朝に、オフィスのワークステーションではなく、街の中心部に新しくオープンしたカフェからリモートで作業することにしたとします。コーヒーを注文し、ノートPCを取り出して、会社のダッシュボードにログインし始めます。システムはすぐに、これまで登録したことのないデバイスに加えて、新しいWi-Fiネットワークを使用していることを検知します。機械的に“アクセス拒否”と表示されるのではなく、指紋スキャンを求める、コンテキストを考慮したプロンプトが1つ表示されます。
この場合、通常よりリスクが高いため、追加のセキュリティー・レイヤーが適用されます。このようなシームレスな“必要に応じた”保護こそが、アダプティブ多要素認証(A-MFA)の中核です。このリスク・ベースの認証は、利便性を損なうことなくセキュリティー体制を強化する、より賢明な方法です。
IBMの2025年データ侵害のコストに関する調査によれば、侵害の平均コストは現在USD 440万です。この事実だけでも、組織がすべての利用者に同じ基本的な防御策を適用し続ける余裕がない理由が分かります。人工知能(AI)が作成するフィッシング攻撃が増加する中、MFAソリューションは、セキュリティーの最低要件とすべきです。幸い、Auth0やDuoなど、A-MFAを実装するための選択肢は数多くあります。本記事では、アダプティブMFAがリアルタイムでリスクを評価する仕組みを説明します。さらに、効果を発揮するユースケースを取り上げ、セキュリティーの枠組みの中でどこに位置付けるべきかを判断するための基礎的な理解を提供します。
これまでに、多要素認証(MFA)を一度は使ったことがある方も多いでしょう。MFAでは、追加の認証方法を用いて本人確認を行うことが求められるため、アカウントに対するセキュリティー要件が強化されます。MFAは、シングル・サインオン(SSO)や二要素認証(2FA)と同様、IDおよびアクセス管理(IAM)における認証の柱に含まれます。従来のようにパスワードだけに依存する方法ではなく、通常はログインにあたり2つ以上の要素が必要になります。これらの要素は、次の3つの主要なカテゴリに分けられます。
例えば、パスワード(知っているもの)の入力を求められた後、SMSコードがスマートフォン(持っているもの)に送信される、あるいは指紋(あなた自身)のスキャンを求められることがあります。これらの要素を組み合わせることで、たとえパスワードが漏えいしても、権限のない利用者がアカウントにアクセスすることは大幅に難しくなります。そして、より高いセキュリティー・リスクを検知した場合にのみ追加の対策を適用するシステムと組み合わせれば、アダプティブMFAの本質が見えてきます。
アダプティブMFAは、従来のMFAを強化したアプローチと考えると分かりやすいでしょう。Abhijit Kumar NagとDipankar Dasguptaが考案したこの保護策は、従来のMFAをさらに一歩進めたものです。利用者の日常的な行動パターンに関するコンテキスト情報を用いて、特定のログイン試行に関連するリスクレベルを評価します。特定の利用者のログイン試行におけるリスクレベルが、あらかじめ定めたしきい値を上回る場合は、トリガー・イベントと見なされます。
アダプティブMFAでは、ユーザーの役割や会社の資産など、複数の要因に基づいて、トリガー条件の優先順位を管理者が設定できます。先ほどの例で、カフェから会社のダッシュボードにログインした場合を考えてみましょう。そのカフェが初めての場所であれば、トリガー・イベントと見なされる可能性があります。一方、同じ時間帯に何度も利用している場所であれば、トリガー・イベントとは見なされない可能性が高いでしょう。また、翌日に、世界の反対側にある国で、通常とは異なる時間帯に、認証情報を使用して会社のダッシュボードへアクセスしようとした人がいた場合、ほぼ確実に警告が表示されます。この例が示すとおり、アダプティブMFAの要点は、特定の利用者のパターンを理解し、何かが不審で通常と異なる場合にのみ、セキュリティーのための追加対策を適用することにあります。次のセクションでは、従来のMFAの機能と、アダプティブMFAとの違いについて説明します。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
アダプティブMFAは、従来のMFAに機能強化を加え、使いやすさを損なうことなく機密データを安全に保護する仕組みです。以下では、アダプティブMFAの手順と仕組みを説明します。
利用者はユーザー名とパスワード、またはパスキーを入力して、システム(例:企業ダッシュボード、アプリケーションなど)にログインしようとします。システムは、入力された認証情報を保存済みの認証情報と照合し、検証を開始します。
このステップが、アダプティブMFAを従来のMFAと差別化します。従来のMFAが追加の認証要素を一律に求めるのに対し、アダプティブMFAはリスクレベルを分析し、そのリスクに適した認証レベルを判断します。
まず、現在のログイン/アクセス要求のデータを収集し、過去のログイン/アクセス要求のデータと比較します。対象となるデータには、次のようなものがあります。
リスク・スコアリングシステムがこれらの結果を評価し、このログイン試行に対するリスクレベルを割り当てます。例えば、認識されていないIPアドレスから、勤務時間外に、新しいデバイスで別の国からログインしようとした場合は、高リスクと判定される可能性があります。
リスク・スコアに基づき、状況に応じた認証レスポンスが決定されます。例えば、次のような対応が考えられます。
A-MFAシステムは、各利用者のアクティビティーと振る舞いを継続的に監視し、時間の経過に伴う異常をより的確に識別できるようにします。近年では、A-MFAシステムが機械学習アルゴリズムを採用し、利用者の過去のログインやアクセス試行から学習するケースも増えています。システムが遭遇するログイン試行が増えるほど、正当な試行と不審な試行の識別精度が高まります。
組織がアダプティブMFAを採用する主な理由には、次のようなものがあります。
Phan, Kim Gwen.“Implementing Resiliency of Adaptive Multi-Factor Authentication Systems.”Master’s Specialization in Information Assurance, St. Cloud State University, 2018.https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.
Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang, and Eugene Wang.“A Review of Multi-Factor Authentication in the Internet of Healthcare Things.”Digit Health 9 (2023): 20552076231177144.https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.
Ghosh, Arpita, and Sayak Nag.“A Comprehensive Review of Secure Authentication Systems in Healthcare IoT.” Digit Health 2023; 9: 20552076231177146.https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.
Springer, Paul.Cyber Security: A Practitioner’s Guide.Cham: Springer, 2017.https://link.springer.com/book/10.1007/978-3-319-58808-7.
IBM. “Multi-Factor Authentication.”IBM Think.Accessed November 3, 2025.https://www.ibm.com/jp-ja/think/topics/multi-factor-authentication.