セキュリティ

パスキー認証を社内標準にした企業が、フィッシング被害ゼロを3年続けられている理由

#パスキー#FIDO2#フィッシング対策#Entra ID#多要素認証#ゼロトラスト#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

「MFA(多要素認証)は全社員に導入済み。でも、巧妙なフィッシング攻撃で認証情報を抜かれた」——2025年に入ってから、MFA導入済み企業でもフィッシング被害が相次いでいます。

攻撃者は、AiTM(Adversary in the Middle)攻撃MFA疲労攻撃など、MFAを迂回する手法を次々と編み出しており、「MFA導入=安全」はもはや成立しないのが2026年の現実です。

そんな中、パスキー認証を社内標準にした企業は、フィッシング被害ゼロを維持し続けています。本記事では、その理由と、Entra ID環境でパスキー認証を全社標準化するための実務手順を解説します。

なぜMFAだけではフィッシングを防げなくなったのか

MFAを突破する3つの攻撃手法

1. AiTM(Adversary in the Middle)攻撃

攻撃者が偽のログインページを用意し、ユーザーのID・パスワード・MFAコードをリアルタイムで本物のサービスに転送。ログイン成功後のセッションCookieを盗むことで、MFAを完全に迂回します。

2. MFA疲労攻撃(MFA Fatigue)

攻撃者が深夜帯などに何度もMFA承認要求をユーザーに送り続け、疲労や判断力低下で誤って「承認」を押してしまうことを狙います。

3. SIMスワップ攻撃

SMS認証を使っている場合、攻撃者がユーザーの電話番号を別のSIMカードに移行させ、SMS経由のMFAコードを乗っ取ります。

従来型MFAの限界

これらの攻撃に共通するのは、**「認証情報がユーザーと認証サーバーの間を”通過”する」**構造です。通過する限り、途中で盗まれる可能性は常にあります。

  • パスワード:キーロガー、フィッシング、総当たり攻撃で漏洩
  • SMSコード:SIMスワップ、AiTMで盗聴
  • 認証アプリのTOTP:AiTMで転送
  • プッシュ通知:MFA疲労攻撃で誤承認

どの方式も、攻撃者が「中継役」になれば突破できるのです。

パスキー認証がフィッシング被害ゼロを実現する仕組み

公開鍵暗号ベースの”中継されない”認証

パスキー(FIDO2)は、従来のMFAとは根本的に異なる仕組みです。

  • ユーザーのデバイス内(TPM、Secure Enclave、セキュリティキー)に秘密鍵を保存
  • 認証サーバーには公開鍵のみを登録
  • ログイン時は、認証サーバーからの「チャレンジ」にデバイスが署名して返す
  • 秘密鍵は一切デバイスから出ない

この仕組みにより、次のフィッシング耐性が実現されます。

1. ドメインバインディング

パスキーは、登録時のドメインと完全に紐付きます。偽のログインページ(似たURL)では、そもそもパスキーが反応しません。ユーザーが「誤って使ってしまう」リスクがゼロです。

2. 秘密鍵が外に出ない

認証情報がネットワークを通過しないため、AiTM攻撃で盗聴されても盗むものがありません。

3. 生体認証とのセット運用

デバイスでパスキーを使うには、指紋・顔認証・PINなどによるローカル認証が必要です。物理的にデバイスを奪われても、生体認証を突破しない限り悪用できません。

2026年時点でパスキー対応が進んだサービス

  • Microsoft(Entra ID、個人用Microsoftアカウント)
  • Google Workspace
  • Apple ID
  • GitHub、GitLab
  • 1Password、Bitwardenなどのパスワードマネージャー
  • 各種SaaS(Salesforce、Slack、Zoom等、拡大中)

業務で使う主要サービスの多くが、すでにパスキー対応済みです。

パスキー導入企業が得ている具体的メリット

メリット1:フィッシング被害の完全遮断

パスキーを標準化した企業では、2023〜2026年の3年間でフィッシング起因のインシデントがゼロというケースが多数報告されています。攻撃者が偽メールを送っても、ユーザーが偽サイトでID/パスを入力しても、パスキーが反応しない限りログインは成立しないためです。

メリット2:ログイン体験の大幅改善

パスキーはセキュリティだけでなく、ユーザー体験の向上も大きなメリットです。

  • パスワード入力・MFAコード入力の手間がゼロ
  • 生体認証(指紋・顔)で1秒でログイン
  • パスワード忘れによる情シス問い合わせが激減
  • 「MFAアプリの通知を見逃した」がなくなる

ある中小企業の事例では、パスキー全社展開後、パスワードリセット依頼件数が月100件→月5件に減少したケースがあります。

メリット3:情シス運用コストの削減

  • パスワードリセット対応の工数削減
  • アカウントロック解除の問い合わせ減少
  • MFAアプリの再設定(機種変更時)のサポート工数削減
  • セキュリティインシデント対応の大幅減少

情シス1人分の業務時間を、他の戦略的業務に振り向けられるレベルの効果が出ています。

Entra ID × パスキー全社導入の実務手順

前提整備:ID基盤とアクセス制御の棚卸し

パスキー導入を成功させるには、その前に次の整備が必須です。

  1. Entra IDユーザー棚卸し:退職者・未使用アカウントの整理
  2. グループ設計:部門別・役職別・用途別のセキュリティグループ
  3. 条件付きアクセスポリシー:デバイス・場所・リスクに応じたアクセス制御
  4. コンプライアンスポリシー:Intune管理下のデバイスのみ業務アクセス許可

これらが整備されていないと、パスキーを導入しても運用の抜け穴が残り、結局フィッシング以外の経路で侵入される可能性があります。

Step 1:認証方式ポリシーの有効化(1〜2週間)

Entra IDの管理センターで、パスキー(FIDO2セキュリティキー、Microsoft Authenticatorのパスキー)を有効化します。

  • 認証方式ポリシー → FIDO2セキュリティキー → 有効
  • 対象ユーザー(まずはIT部門、次に全社)
  • 登録強制のタイミング設定

Step 2:パイロット展開(2〜4週間)

IT部門・経営層を中心に、まずは10〜20名でパイロット運用します。

  • パスキー登録手順のドキュメント作成
  • 生体認証付きPCの配布(Windows Hello対応デバイス)
  • セキュリティキー(YubiKeyなど)の予備配布
  • トラブル時の対応フロー整備

Step 3:段階的な全社展開(2〜3か月)

部門ごとに段階的にパスキーを展開します。

  • 第1波:管理部門・経営層
  • 第2波:営業・マーケティング
  • 第3波:技術・開発部門
  • 第4波:現場部門・パート社員

各波で次の対応を実施します。

  • 部門長向け事前説明
  • 全員向け登録手順説明会
  • 個別フォロー(登録できない人への1on1サポート)

Step 4:従来型認証の段階的無効化(1〜2か月)

パスキー登録完了率が95%を超えたら、従来型認証(パスワード+SMS/TOTP)を段階的に無効化します。

  • 条件付きアクセスポリシーで、特定グループは「パスキー必須」に設定
  • パスワードレス化(Password-less authentication)を有効化
  • 最終的に、パスワード入力ゼロでログイン完了する運用に

Step 5:継続運用(Security365との連携)

  • 新入社員のパスキー登録を入社時オンボーディングに組み込み
  • デバイス機種変更時のパスキー再登録サポート
  • 監査ログでの認証方式分布の定期モニタリング
  • 新しい攻撃手法への対応(パスキー以外の経路のリスク評価)

パスキー導入でつまずくポイントと対策

つまずき1:「登録手順がわからない」ユーザーのサポート

高齢のパート社員、ITリテラシーに差がある現場部門では、登録手順で詰まるケースが多発します。

対策

  • 画面キャプチャ付きの登録手順ガイドを用意
  • 部門ごとに1時間の集合説明会を開催
  • 情シスまたは部門のITリーダーが横で支援

つまずき2:共有PCでのパスキー運用

工場・店舗などで共有PCを使う環境では、パスキーの設計に工夫が必要です。

対策

  • 個人所有デバイス(スマホ)のパスキーをセキュリティキー的に使う
  • YubiKeyなどの物理セキュリティキーを個人に配布
  • 共有PCでは条件付きアクセスで業務範囲を限定

つまずき3:バックアップと機種変更対応

スマホ機種変更時のパスキー移行は、Appleデバイス間・Googleデバイス間では自動同期されますが、異なるOS間では再登録が必要です。

対策

  • 予備のセキュリティキーを配布
  • 機種変更時の再登録を情シスに事前連絡するフロー整備
  • パスキーは複数デバイスに登録することを推奨

情シス365のパスキー全社導入支援

情シス365では、中小企業向けのパスキー全社導入支援をSecurity365 と組み合わせてご提供しています。

  • Entra ID・ID基盤の棚卸し・整理
  • 条件付きアクセスポリシーの設計
  • パスキー登録手順書・説明会教材の作成
  • 段階展開プロジェクトマネジメント
  • 従来型認証の段階的無効化
  • 導入後の継続運用・監査レポート

「MFAを超えた認証基盤を整備したい」「フィッシング被害を完全に遮断したい」——そんな中小企業に、3〜4か月で全社パスキー化を実現する伴走支援をご提案します。

まとめ:2026年は”脱MFA”元年

パスキー認証は、もはや先進企業だけのものではありません。Windows Helloが標準搭載され、スマホにも指紋・顔認証が当たり前になった2026年は、中小企業が全社パスキー化を実現できる環境が整っています。

  • フィッシング被害ゼロ:仕組み上、偽サイトで認証情報が盗まれない
  • ログイン体験の改善:パスワード入力ゼロ、1秒ログイン
  • 情シス運用コスト削減:パスワードリセット問い合わせが激減

今から動き始めれば、2026年後半にはフィッシング被害をゼロにした運用体制が実現可能です。情シス365では、ID棚卸しからパスキー全社展開までの伴走支援をご提供しています。

詳しくは Security365サービスページ または お問い合わせフォーム からお問い合わせください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談