パスワードとMFAで守る ― 認証強化の実践ガイド｜社会人1年目のサイバーセキュリティ基本第3回

2026年4月15日 2026年4月15日

サイバーレジリエンス

サイバーレジリエンス株式会社メールマガジン／ 2026年4月号第3回

パスワードとMFAで守る
― 認証強化の実践ガイド

2026年4月号全4回シリーズ

🛡️ 社会人1年目のサイバーセキュリティ基本

第1回攻撃者はあなたを狙っている ― 新入社員が狙われる理由配信済み
第2回そのメール、本物ですか？ ― フィッシング・生成AI詐欺の見分け方配信済み
第3回パスワードとMFAで守る ― 認証強化の実践ガイド今回
第4回 SNSで情報を守る ― プライバシー管理と過剰共有リスク 4/22配信予定

「パスワードは定期的に変えましょう」――そう言われてきた時代は終わりました。現代の攻撃者は、あなたのパスワードを数秒で試し、数分で突破します。大切なのは「複雑さ×管理ツール×多要素認証（MFA）」の組み合わせです。

Verizon DBIR 2025によれば、侵害の初期アクセス経路の22%が認証情報の盗用であり、Webアプリケーション攻撃に限定すると88%が盗まれた認証情報を使用しています。今号では、新入社員でも今日から実践できる認証強化の具体的ステップをお届けします。

99.99%

以上のMFA有効アカウントが安全を維持

Microsoft Research 2023（旧来統計99.9%から更新）

22%

の侵害が認証情報盗用を初期経路に使用

Verizon DBIR 2025（Webアプリ攻撃限定では88%）

数十億件

規模の流出パスワードが流通中

Have I Been Pwned（2025年に13億件超を新規追加）

69%

の組織がID侵害を経験（前年比＋27pt）

RSA ID IQ Report 2026（グローバル調査）

第1章：なぜパスワードだけでは足りないのか

多くの人が「自分のパスワードは安全だ」と思っています。しかし現実には、あなたが使っているサービスの一つが過去に漏洩していれば、そのパスワードはすでに攻撃者のリストに載っています。

⚠️ 「使い回し」が最大の脅威

同じパスワードを複数サービスで使い回すと、一箇所が漏洩した瞬間に全アカウントが危険にさらされます（クレデンシャルスタッフィング攻撃）。攻撃者はツールを使って毎秒数千回のログイン試行を自動化します。

パスワードが破られる3つの主な方法

① クレデンシャルスタッフィング

最多攻撃手法

過去の漏洩データベース（数十億件規模、HIBPは2025年に13億件超を新規追加）に載っているID・パスワードを自動で試し続ける攻撃。使い回しをしていると、見知らぬサービスの漏洩があなたのアカウントを危険にさらします。Verizon DBIR 2025では、認証試行の中央値19%がクレデンシャルスタッフィングであると報告されています。

② フィッシングによる認証情報の詐取

高度化が進む

第2回でも解説した偽メール・偽サイトへ誘導し、本物と見分けがつかないログイン画面でID・パスワードを入力させる手法。AI生成の巧妙な文章により、従来の「怪しい日本語」での識別が通用しなくなっています。

③ ブルートフォース・辞書攻撃

単純だが有効

「password123」「社名+生年月日」など、よく使われるパターンを総当たりで試す攻撃。クラウドの計算リソースを使えば、8文字の単純なパスワードは数時間で解読されます。長くランダムなパスワードが基本です。

第2章：MFA（多要素認証）で「鍵を二重にかける」

MFA（Multi-Factor Authentication）とは、パスワードに加えてもう一つの確認手段を要求する認証方式です。Microsoftの最新研究（2023年）によれば、MFA有効アカウントの99.99%以上が調査期間中に安全を維持しており、自動化攻撃に対して極めて高い防御効果が確認されています。

🔑 認証の「3要素」

知識要素：パスワード・PINコード（あなたが「知っている」もの）
所持要素：スマートフォン・ハードウェアキー（あなたが「持っている」もの）
生体要素：指紋・顔認証（あなたが「そのもの」であること）

MFAは「知識」＋「所持 or 生体」の組み合わせで、1要素が盗まれても突破されません。

MFAの種類と安全レベル比較

MFA方式	安全レベル	特徴	おすすめ度
ハードウェアキー（YubiKey等）	★★★ 最高	物理デバイスでの認証。フィッシングに完全耐性	重要業務・管理者向け
認証アプリ（Google Authenticator等）	★★★ 高	6桁のワンタイムコードを生成。オフラインでも動作	✅ 一般業務に最適
パスキー（Face ID/指紋認証）	★★★ 高	次世代標準。パスワード不要でフィッシング耐性あり	✅ 今後の主流
プッシュ通知（Microsoft Authenticator等）	★★ 中	スマホへの承認通知。MFA疲労攻撃に注意が必要	設定次第で有効
SMS・メールOTP	★ 低	手軽だがSIMスワップ・傍受リスクあり	他の方式がない場合のみ

⚡ 「MFA疲労攻撃」に注意

攻撃者が大量のMFA承認リクエストを送り続け、利用者が疲れて「承認」を押してしまうことを狙う手法が急増しています。「身に覚えのないMFA通知は絶対に承認しないこと」がルールです。不審な通知が届いたら、すぐにIT担当者へ報告してください。

第3章：パスワードマネージャーで「覚えない管理」を実現

「すべてのサービスに異なる長いパスワードを使う」のが理想ですが、人間の記憶には限界があります。そこで活躍するのがパスワードマネージャーです。マスターパスワード一つで、すべてのアカウントを安全に管理できます。

🟢 Bitwarden（ビットウォーデン）

無料プランあり／オープンソース／全プラットフォーム対応

個人・チームで使えるオープンソースのパスワードマネージャー。無料でも主要機能が使え、セルフホストも可能。中小企業の入門に最適。

🔵 1Password（ワンパスワード）

月額約400円〜／チーム機能充実／企業向け

UIが洗練されており使いやすい。チーム向けの権限管理・共有機能が強力。企業導入に向いており、SSOとの連携も容易。

🟡 Microsoft Authenticator ＋ Edge パスワード管理

Microsoft 365ユーザーは追加費用なし

Microsoft 365を利用中の企業ならそのまま活用可能。Entra ID（旧Azure AD）と連携してパスワードレス認証への移行がスムーズ。

📌 NIST SP 800-63B が推奨する「新しいパスワードルール」

✅ 長さを重視：最低15文字以上（Rev.4で8文字→15文字に引き上げ）
✅ 定期変更は不要：漏洩が判明した場合のみ変更すればよい
✅ 全サービスで異なるパスワードを使用する
❌ 複雑さルール（記号必須等）は禁止：Rev.4では「shall not（禁止）」に強化済み

第4章：今すぐ実践すべき3つのステップ

✅ ステップ1：まずMFAを全アカウントに設定する

仕事のメール・社内システム・クラウドサービス、すべてにMFAを有効化してください。認証アプリ（Google Authenticator / Microsoft Authenticator）が推奨です。SMS認証よりも安全で、設定は5分で完了します。

✅ ステップ2：パスワードマネージャーを導入して使い回しをゼロにする

無料のBitwardenから始めてみましょう。まず3つの主要アカウント（仕事メール・社内システム・個人メール）のパスワードをランダム生成で変更し、マネージャーに保存するところから始めると習慣化しやすいです。

✅ ステップ3：Have I Been Pwned で自分のメールアドレスを確認する

haveibeenpwned.com にメールアドレスを入力すると、過去の漏洩インシデントに含まれているか無料で確認できます。「漏洩あり」と表示されたサービスは即座にパスワードを変更してください。

実践チェックリスト ― パスワード・MFA編

🔐 パスワード管理

すべての業務アカウントで異なるパスワードを使用している
パスワードは15文字以上のランダム文字列またはパスフレーズにしている（NIST SP 800-63B Rev.4推奨）
パスワードマネージャーを導入・活用している
Have I Been Pwned でメールアドレスの漏洩確認を行った

🔑 MFA・認証設定

仕事のメールアカウントにMFAを設定している
社内システム・クラウドサービスにMFAを設定している
MFAはSMS認証ではなく認証アプリを使用している
身に覚えのないMFA通知は承認せず、IT担当者に報告する習慣がある

🛡️ インシデント対応

不審なログイン通知が届いた場合の報告先を知っている
パスワード漏洩が疑われる場合の対応手順を把握している
退職・異動時にアカウントの棚卸しと権限変更を行う仕組みがある

まとめ

認証の強化は、サイバーセキュリティの中でも最もコストパフォーマンスが高い対策です。MFAを設定するだけでMFA有効アカウントの99.99%以上が安全を維持でき（Microsoft Research 2023）、パスワードマネージャーで使い回しをなくせば、クレデンシャルスタッフィングのリスクはほぼゼロになります。

難しい技術は必要ありません。今日このメールを読み終えたら、まず一つのアカウントにMFAを設定してみてください。それが第一歩です。

▶ NEXT ISSUE — 4月22日（水）配信予定

第4回：SNSで情報を守る ― プライバシー管理と過剰共有リスク

X（旧Twitter）・Instagram・LinkedInでの「うっかり投稿」が、どのように攻撃者に悪用されるのかを解説します。LINE乗っ取り・なりすまし詐欺の最新手口と、プラットフォーム別のプライバシー設定も紹介します。

参考情報

Microsoft Research「How effective is multifactor authentication at deterring cyberattacks?」（2023年更新版 — MFA有効アカウントの99.99%以上が安全を維持） https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/mfa-microsoft-research-paper-update-347347.pdf
Verizon「Data Breach Investigations Report 2025」（認証情報盗用が初期侵入経路の22%、Webアプリ攻撃では88%） https://www.verizon.com/business/resources/reports/dbir/
Verizon DBIR 2025 クレデンシャルスタッフィング詳細レポート（認証試行の中央値19%がスタッフィング攻撃） https://www.verizon.com/business/resources/articles/credential-stuffing-attacks-2025-dbir-research/
RSA「2026 ID IQ Report」（グローバル69%の組織がID侵害を経験、前年比+27ポイント） https://www.rsa.com/news/press-releases/soaring-identity-costs-and-stalling-passwordless-progress-in-japan-rsa-id-iq-report-unveils-top-identity-threats/
NIST SP 800-63B Revision 4「Digital Identity Guidelines」（2025年8月確定版 — 最小15文字・複雑さルール禁止・定期変更廃止） https://csrc.nist.gov/pubs/sp/800/63/b/4/final
Have I Been Pwned（メールアドレス漏洩チェック／ 2025年に13億件超の新規パスワードを追加） https://haveibeenpwned.com
IPA「情報セキュリティ10大脅威 2025」 https://www.ipa.go.jp/security/10threats/2025.html

※2026年4月15日時点の情報です。
最新情報は各公式サイトで確認してください。

最後までお読みいただき、ありがとうございました。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: [email protected]
https://japan-resilience.co.jp/cyber
****************************

パスワードとMFAで守る― 認証強化の実践ガイド