多要素認証の導入は大企業ほど遅い Oktaが調査レポートを公開

Oktaは多要素認証の導入に関する調査レポートを公開した。これによると、従業員数が少ない企業の方が多要素認証の導入率は高いという結果が出た。

[後藤大地，有限会社オングス]

　Oktaは2023年6月12日（現地時間）、多要素認証（MFA）の導入状況を調査したグローバルレポート「The Secure Sign-in Trends Report」を公開した。

　The Secure Sign-in Trends Reportは、Oktaが提供している従業員向けアイデンティティー管理ソリューション「Okta Workforce Identity Cloud」の認証データを分析したもので、月間数十億件以上の認証データが対象となっている。

Oktaは多要素認証の導入状況を調査したグローバルレポート「The Secure Sign-in Trends Report」を公開した（出典：OktaのWebサイト）

多要素認証導入の実態　実は大企業ほど遅れていることが明らかに

　The Secure Sign-in Trends Reportで指摘されているポイントは以下の通りだ。

• 2023年1月中の1カ月間で「Okta」管理者の約90％、一般ユーザーの約64％が多要素認証を使用してサインインを実施していた。管理者の多要素認証使用率が高い背景については、管理者サイトである「Okta Admin Console」がデフォルトで多要素認証を必要としていることがあるとみられる
• 多要素認証の導入率は北米やアジア太平洋（APAC）、欧州、中東、アフリカ地域（EMEA）で平均64％となっている。日本の多要素認証導入率はこれと比較すると54％と低い結果になった
• 多要素認証の利用率が高い業界はテクノロジー業界や保険業界、専門サービス業界、建設業界、メディア・通信業界などだった
• 多要素認証の利用率が低い業界は政府や小売、ヘルスケア・医療業界などだった
• 従業員数699人未満の組織では、多要素認証の導入率が79〜80％と高く、従業員数が2万人以上の組織では導入率が低い傾向がみられた。大企業はレガシーインフラが多要素認証導入の障壁となっている可能性がある

　多要素認証に使われる認証要素としては「Okta Verifyプッシュ通知」が最も多く、これにショートメッセージサービス（SMS）とソフトトークンが続いた。フィッシング耐性に強いパスワードレス認証が可能になる「Okta FastPass」と「WebAuthn」は導入率が低かったが、新しいカテゴリーの認証要素であり、まだ普及していないことなどが背景にある。

　Oktaは今後組織が取るべきステップを以下のように説明している。

• サインオンポリシーに多要素認証を義務付ける
• 多要素認証の導入を経営者や取締役会レベルの優先事項とする
• アクセスに対するゼロトラストアプローチを採用する
• ユーザー属性やデバイスコンテキスト、ネットワーク属性などが以前のユーザー行動と一致しているかどうかを評価する動的アクセスポリシーを作成する
• パスワードの使用を最小化または廃止するための長期計画を策定する

　今回の調査によって日本の組織における多要素認証の利用が遅れている実態が明らかになっている。