-
FIDO2/パスキー採用:まず管理者・特権ロールをフィッシング耐性MFA(FIDO2/パスキー)に統一、順次全社へ展開。NIST案でもAAL2で“フィッシング耐性オプション”提供が求められています。pages.nist.gov
-
未管理端末の遮断/制限:条件付きアクセスやコンテキストアウェアアクセスで「準拠端末のみフルアクセス」「未管理はWeb限定・DL禁止」などを実装。Microsoft Learn+1Google Help
-
プッシュ疲れ対策:**番号一致(Number Matching/Number Challenge)**を必須化し、プッシュ許可の地理情報・アプリ名表示も有効化。Microsoft Learnhelp.okta.com
-
レガシー認証の無効化(SMTP AUTH等)とVPN/VDI/SSOのMFA必須。CISA
-
緊急用(ブレークグラス)アカウントと登録回復手順の整備。標的型のMFA疲労・ヘルプデスク狙い(Scattered Spider型)を前提に運用設計。TechRadar
設定のヒント
-
Microsoft Entra:認証強度で「パスキー(FIDO2)」を有効化 → 対象ユーザー/アプリへ段階適用。条件付きアクセスで「準拠端末必須」「リスク高はブロック/強化MFA」を設定。Microsoft Learn+2Microsoft Learn+2
-
Google Workspace:Context-Aware Accessで端末健全性/場所/IPに基づくきめ細かい制御を設定。Google Help
指標(ダッシュボード化)
-
パスキー利用率(特権ユーザー→全社)/MFA方式別比率(FIDO2>アプリTOTP>SMS)。NIST/CISAは“フィッシング耐性MFA”を推奨・要求。pages.nist.govCISA
-
未管理端末からのブロック件数/制限付きセッション比率。Microsoft Learn
-
MFAプッシュ誤承認率/番号一致未実装ユーザー数。Microsoft Learn
ロールアウト順(例)
-
0–30日:特権ロールをFIDO2へ、番号一致を強制、レガシー認証を棚卸し。Microsoft LearnCISA
-
31–60日:端末準拠ポリシー/BYOD方針を適用、未管理は制限付き。Microsoft Learn+1
-
61–90日:一般ユーザーへパスキー拡大(国内でも採用拡大中)。WealthNavi
補足
-
FIDOアライアンスのガイダンスを参照(同期型パスキー/デバイス固定キーの使い分け)。FIDO Alliance
-
ITmedia資料(8/26)はMFAの見直し点や運用ノウハウの整理に有用です(会員閲覧)。ホワイトペーパー ダウンロードセンター
