前回(2025/9/29)は、企業が最初に導入した多要素認証として「物理トークン」がどのように普及し、同時にどれほど運用負荷を抱えていたのかを整理しました。業務上の安全性を担保するために必要でありながら、紛失リスクや再発行の手間、配布・回収といった管理作業が現場のストレスに繋がっていたことは、多くの企業が身に覚えのある話ではないかと思います。しかし、物理トークンが主流だった時代から企業のMFA運用は大きな変化を迎えました。
スマートフォンが広く普及したことで、認証デバイスとして「社員がすでに持っている端末」を使えるようになり、例えばMicrosoft AuthenticatorのようなスマホOTP(One Time Password)方式が急速に一般化したためです。私が常駐している企業でも、クライアントの要請やセキュリティ監査に応える形でOTP方式の認証が導入されています。クリエイティブ業界は案件ごとに体制や作業場所が変わりやすく、スピードが求められる環境です。そのため、物理トークンのように「持ち歩く」「紛失する」「再発行する」といった手間は現場と相性が悪く、OTPアプリによる認証は実務にフィットしやすい仕組みだと言えます。
とはいえ、スマホOTP方式がすぐに現場へ浸透したわけではありません。導入初期には次のような“クリエイティブ現場ならではのハレーション”が起きていました。
>認証アプリの初期設定が分かりにくい
>スマホ機種変更時にアカウントを引き継げずログインできなくなる
>深夜作業中に突然認証が必要になり、制作が中断する(作業開始が遅い時間の場合もあるため)
特に、社外パートナーやフリーランスを含む体制ではデバイス環境が揃っていないため、想定外のトラブルが発生しヘルプデスク対応が多くなります。それでもOTP方式が受け入れられたのたのは、「セキュリティ強化」と「現場のスピード維持」を両立できる最も現実的な選択肢だったからです(情シスメンバーが分かりやすいユーザーマニュアルを作成したり、根気強くユーザーに説明したりしたことももちろん重要な要因でしたが)。物理トークン時代よりも運用コストが下がり、パスワード流出事故にも一定の効果があります。また、取引先のセキュリティ基準が年々厳しくなる中で、OTP方式の導入は“受注企業としての信頼”を示す意味もあります。
とはいえ、社員から見れば認証手順が増えた事実は変わりません。そのため今後の課題は、できるだけ“自然に使える認証”へ移行することだと考えます。認証がユーザーの作業フローに溶け込み、ストレスなく利用できる仕組みが求められています。その流れとして、現在はプッシュ通知を使ったワンタップ認証やWindows Helloやスマホの生体認証を活用した「パスワードレスな仕組み」が台頭してきています。これは次回詳しく触れていきたいと思います。
2025年12月