私の現在の常駐先では、グループウェアのセキュリティ向上を目的とした多要素認証(MFA)の全社導入を進めています。その準備と運用の最中に「そもそもMFAはどう発展してきたのか」を改めて学び直す必要性を感じ、今回から数回にわたり歴史と考え方を整理してみます。今回は物理トークンが主役だった時代についてです。
MFAが求められる背景は明快で、パスワードだけでは守りきれないから。
推測・使い回し・フィッシングなど、パスワード単体の弱点を補うために別系統の要素を重ねる発想が広がりました。1980年代後半から金融や大企業で使われたのが、キーホルダー状やカード状のハードウェアトークンです(RSA社のSecurIDが代表的)。小さな画面に6桁の数字が現れ、パスワードと組み合わせて入力します。私もこのタイプの認証をネットバンクのログインで名刺サイズのものを何度か使った経験がありますが、当時その仕組みはよく理解しておらず、恥ずかしながら「面白いけど面倒だな」くらいの感覚でした。
内部にはサーバーと共有する「秘密鍵(シード)」が入っていて、トークン側とサーバー側が同じ計算(HMACなど)で同じ瞬間の数字を出せるかどうかで本人性を確かめます。先に例示したカード型や、ICカード+小型リーダーで“要求に応答コードを返す”タイプも、いずれも「持っているもの」を証明するアプローチです。
この方式は当時としては非常に強力でしたが、現場で扱うとコストと手間が重かったようです。まず、物理在庫の調達・配布・改修・紛失再発行、電池寿命の管理といった物流仕事が発生します。次に専用認証サーバーの構築・冗長化・アップグレード・監査対応が必要で、ユーザーごとのシード割当や、押し過ぎなどで生じる“カウンタずれ”の再同期、出張中の一時コード発行などヘルプデスクの負荷も無視できません。利用者が増えるほど、物理と運用の負担は雪だるま式に膨らみます。(私も面白くて何度も押したりしていました…)
それでもこの“物理で守る”時代がMFA普及の土台を作ったのは間違いなく、共通仕様(HOTP/TOTP)に繋がる流れもここから生まれます。やがてスマートフォンが普及すると、「社員が既に持っている端末で同じ思想を実現する」潮流が一気に加速しました。次回は、この転換点、スマホ認証アプリによるOTPがなぜ企業導入を後押ししたのかについて整理していこうと思います。
2025年9月