Okta Japan株式会社(本社:東京都渋谷区、代表取締役社長:渡邉 崇)は、Oktaが提供する従業員向けアイデンティティ管理ソリューション「Okta Workforce Identity Cloud」の月間数10億件以上におよぶ認証データを匿名化し、OktaユーザーのMFA(多要素認証)導入状況を調査したトレンドレポート「The Secure Sign-in Trends Report」の調査結果を発表します。本レポートでは、Oktaのお客様をユーザー別、業種別、企業規模別に見た場合のMFA導入率(*1)や、MFAで利用する認証要素のトレンドを調査しています。調査は2023年1月に実施しました。
ユーザー別のMFA導入率
2023年1月の1ヶ月間に、Okta管理者の約90%、Oktaの一般ユーザー約64%がMFAを使用してサインインしています。
Okta管理者のMFA導入率が高い理由は、Oktaの管理サイト「Okta Admin Console」にアクセスする際にデフォルトでMFAが必要であるためです。
地域別と国別のMFA導入率
地域別のMFA導入率は、北米、APAC、EMEAで平均して64%の導入率ですが、国別に見た場合、日本でのMFA導入率が54%で遅れている傾向が見られます。
業界別のMFA導入率
テクノロジー業界では、アカウントログインの87%がすでにMFAを導入しています。続いて、保険業界(77%)、専門サービス業界(75%)、建設業界(74%)、メディア・通信業界(72%)が、上位5を占めています。政府(48%)、小売(42%)、ヘルスケア・医療業界(56%)など、規制の厳しい業界でのMFA導入率が遅れている傾向が見られます。
企業規模別のMFA導入率
従業員数699人未満の組織ではMFAの導入率が高く(79%~80%)、従業員数2万人以上の組織では導入率が低い(54%)傾向にあります。
大企業と中小企業の導入率に差がある要因として考えられるのは、大企業では、レガシーインフラの置き換えが複雑なため、MFAの導入が遅れている可能性があります。また、大企業は複数のアイデンティティ管理製品を使用している可能性が高く、Okta以外のMFAソリューションを使用している可能性もあります。
MFAで利用する認証要素のトレンド
MFAは、アプリケーションやオンラインアカウントへのアクセスを許可する前に、ユーザーが本人であることをより確実に証明するものです。MFAは、アカウントやアプリケーションにアクセスするために、ユーザーにさまざまな種類の認証要素の提供を求めることでアイデンティティを検証します。しかし、MFAをバイパスする巧妙な攻撃の増加により、組織はフィッシングに強い認証フローの必要性を理解するようになってきています。
パスワードを除くMFA認証要素に限ると、Okta Verifyプッシュ通知(29%)が最も多く利用されており、次いでSMS(17%)、ソフトトークン(13%)となっています。
パスワードレス認証を可能にするOkta FastPassとWebAuthnは、強固なフィッシング耐性を提供するサインイン方法で、ユーザーは体験の質を低下させることなく、アカウントのセキュリティを向上させることができます。現在、これらの認証要素の導入率が低い傾向にあるのは、管理者の認識不足や不慣れさに原因がある可能性があります。Okta FastPassは新しいカテゴリーの認証要素であり、その独自のフィッシング耐性はまだ新しいものです。WebAuthnの標準規格も比較的新しく、ブラウザやOSのカバー率は近年まであまり向上していません。
組織が取るべき今後のステップ
より強固な認証への移行は困難と思われるかもしれませんが、組織は比較的簡単なステップで開始することができます。
- サインオンポリシーにMFAを義務付け、機密性の高いアプリケーションやデータへの管理アクセスにはフィッシング耐性を強化する。パスワードレス認証のOkta FastPassが提供するフィッシング耐性とデバイス保証機能を活用する。
- MFAの導入を経営者および取締役会レベルの優先事項とする。組織の最も貴重なリソースと情報を保護するためのMFAの有効性を考えると、MFAの導入率は組織の最上位レベルで確認する必要がある。
- アクセスに対するゼロトラストアプローチを採用する。このアプローチでは、アクセスはセッションごとに最小特権ベースでアイデンティティのプロパティに従って付与され、要求されたアプリケーションまたはデータの保証要件に従って決定される。
- ユーザー属性、デバイスのコンテキスト、ネットワークの属性、および要求が以前のユーザー行動と一致しているかどうかを評価する動的アクセスポリシーを作成する。
- パスワードの使用を最小化または廃止するための長期的な計画を策定する。
*1:本レポートでのMFA導入率は、Okta Workforce Identity Cloudでの直接のMFA認証イベントのみをカウントしています。他のアイデンティティプロバイダが提供するMFAのみを使用して認証し、エンタープライズフェデレーションやソーシャルログインを使用してOktaに接続する場合、それらはMFA導入率データの対象外となります。