Okta Japan株式会社(本社:東京都渋谷区、代表取締役社長:渡邉 崇)は、Oktaが提供する従業員向けアイデンティティ管理ソリューション「Okta Workforce Identity」における匿名化された数十億件規模の認証データを分析し、Oktaユーザー企業におけるMFA(多要素認証)導入状況を調査したレポート「The Secure Sign-In Trends Report 2025」の結果を発表しました。
本レポートでは、企業が従来型の防御策としてMFAを活用し続ける一方で、より強固なフィッシング耐性を備えた認証方式へ急速に移行する動きが強まっていることが明らかになりました。
2025年1月時点で、Oktaユーザー企業の従業員がアプリケーションやツールにアクセスする職場環境におけるグローバル全体でのMFA導入率は70%に達しました。これは、企業が追加の認証要素の重要性をより強く認識していることを示しています。なお、Oktaでは2024年からOktaの管理者コンソールへのアクセスにMFAの義務化を開始し、2025年8月までにMFA導入率100%を達成しています。
さらに注目すべき点として、フィッシング耐性を持つ認証方式の導入率が前年比63%増となりました。この結果は、企業が脆弱な従来型の防御策から、より強固な認証方式へ積極的に移行していることを示しています。
主なグローバル調査結果
MFA導入率の継続的な上昇: Oktaユーザー企業におけるMFA導入率は上昇傾向にあり、グローバル全体で70%に達しました。その一方で、依然として3分の1のユーザーがMFAを利用していない状況も明らかになりました。
フィッシング耐性認証の急成長: フィッシング耐性を持つ認証方式の導入率は、前年比63%増(8.6%から14.0%へ上昇)となりました。特に、公開鍵暗号方式を用いたパスワードレス認証を実現するOkta FastPassの導入率は前年比100%増(6.7%から13.3%へ上昇)となりました。
業界別に見たMFA導入率の伸長: テクノロジー業界のMFA導入率が87%で引き続き最も高い水準を維持しています。また、小売業界のMFA導入率は52%でしたが、前年比で9ポイント増となり、調査対象業界の中で最も大きな伸びを示しました。
APAC地域と日本のMFA導入状況:強固な認証方式への移行が加速
アジア太平洋地域(APAC)ではMFA導入率が61%から68%へと7ポイント上昇し、地域別で最も大きな伸びを示しました。この成長は、AMERとEMEAのいずれも2ポイント増にとどまった結果を大きく上回っています。背景には、APAC地域全体での規制強化、セキュリティ意識の高まり、そしてアイデンティティ保護を重視したデジタルトランスフォーメーションの加速があると考えられます。
日本のOktaユーザー企業においてもMFA導入率の向上と、強固な認証方式への移行が顕著になりました。
日本のMFA導入率の向上: 日本のOktaユーザー企業のMFA導入率は、53%から62%へと9ポイント上昇しました。
フィッシング耐性認証の浸透: 日本国内でも強固なフィッシング耐性を持つ認証方式への移行が進み、Okta FastPassの導入率は前年比81%増(13.8%から25.0%に上昇)となりました。
セキュリティ強度の低い認証要素からの脱却: 日本ではセキュリティ強度の低い認証要素から脱却する傾向にあります。「セキュリティ質問(秘密の質問)」の使用は前年比で約29%減(2.1%から1.5%に減少)、SMS認証も前年比で約11%減(3.8%から3.4%に減少)となりました。これらの結果は、日本の企業がより強固で実効性の高い認証方式へ移行していることを示しています。
セキュリティ変革と今後のセキュリティ標準
今回の調査結果は、業界がすでに「MFAを任意の追加機能として扱う段階」を過ぎ、「MFAを不可欠なセキュリティ標準として捉える段階」へと移行していることを示唆しています。ソーシャルエンジニアリングやフィッシング攻撃の高度化を踏まえると、フィッシング耐性のある認証方式の導入は当然の対応ともいえます。
従来の「強固なセキュリティを導入すると生産性が下がる」といった主張は、もはや当てはまりません。フィッシング耐性を備えた認証方式は安全性と利便性を両立し、今日の脅威から組織を守るために極めて重要な要素となっています。
Oktaは、このセキュリティ変革を成功へ導くため、新しいセキュリティ標準の義務化を提唱しています。具体的には以下を推奨します。
フィッシング耐性を最優先にする:
すべての機密アクセスに対してフィッシング耐性のあるMFAを義務化し、SMSなどのセキュリティ強度の低い認証方式をすべてのサインオンポリシーから排除する。
MFAをリスク指標として位置づける:
特にフィッシング耐性のあるMFAの導入状況を、経営層や取締役会レベルでのリスク指標として扱い、組織のセキュリティ体制に対する可視性と説明責任を確保する。
ゼロトラストフレームワークを採用する:
アクセス制御をセッション単位の最小権限ベースに移行し、アクセスのたびにユーザー、デバイスの状態、ネットワーク環境を動的に評価する。
ユーザーライフサイクル全体を保護する:
ユーザー登録やアカウント復旧プロセスにもフィッシング耐性のある認証を適用し、攻撃者がこれらの経路を利用してアカウントを乗っ取るのを防ぐ。
パスワードの最小化を計画する:
企業全体でパスワードへの依存を段階的に減らすための、明確で長期的な戦略計画を策定する。
調査方法について
本調査は、2025年1月時点におけるOkta Workforce Identity のデータに基づいています。ただし、MFA導入率の推移については、2019年10月から2025年1月までのデータを対象としています。データは匿名化および集計処理され、世界各国から発生する数十億件の月次認証および検証データを対象としています。今年は、報告手法を改訂し、規制対象環境のデータを除外し、商用環境の顧客データのみを反映する形に更新しました。本レポートに掲載されているグラフや統計(過去年分も含む)は、すべてこの新たな手法に基づいています。
