2026年3月24日から3月27日にかけて開催された「Security Days Spring 2026 東京」において、株式会社ソリトンシステムズはサプライチェーンセキュリティや認証強化をテーマにした講演を行いました。
3月26日には、株式会社ソリトンシステムズ ITセキュリティ事業部 プロダクトマーケティング部 松田 真結が、セッションA3-07「多要素認証は手間がかかる? ― トヨタグループの事例に学ぶ、認証強化の最適解 ―」に登壇しました。
認証情報を狙う攻撃や、取引先・協力会社を含むサプライチェーンリスクが課題になるなかで、多要素認証は導入の有無だけで評価できるものではありません。利用者の生産性、運用側の負荷、外部ユーザーへの展開まで含め、現場で無理なく運用できる方式を選べるかがセッションの主な論点でした。
株式会社ソリトンシステムズITセキュリティ事業部
プロダクトマーケティング部
松田 真結
認証情報を狙う攻撃と、多要素認証が担う役割
冒頭では、2025年に発生したセキュリティインシデントの例が扱われました。食品・物流、EC・流通の領域では、グループ内拠点のネットワーク機器や業務委託先のVPN認証を起点に侵害され、基幹システムや配送管理システムの停止、出荷遅延、受注停止といった影響が生じた事例が取り上げられました。
ここで焦点となるのは、侵入型ランサムウェアの被害にあうと、、親会社、グループ会社、取引先まで業務影響を広げる可能性があるという点です。
また、システムへ正規のログインを装って入られた場合、アカウント名とパスワードだけでは防ぎきれません。
続いて、サイバー攻撃の侵入経路として、リモートアクセス、VPN機器、認証情報が取り上げられました。警察庁が公開している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの侵入経路のうち、約84%がリモートアクセス経由と、かなりの割合になっています。さらに、Verizonの2025年データ漏洩/侵害調査報告書(DBIR)によると、データ漏えいの最も多い侵入経路は「認証情報」となっています。
脆弱性管理は前提として重要ですが、漏えいした認証情報を使ったログインを止めるには、認証そのものの強化が前提になります。そこで位置づけられたのが、多要素認証(MFA)です。
多要素認証は、知識、所有、生体のうち複数の異なる要素を組み合わせて本人確認を行う方法です。知識要素にはパスワード、所有要素にはスマートフォン、USBキー、デジタル証明書、生体要素には指紋認証や顔認証があります。アカウントとパスワードだけではログインできない状態を作ることが、MFAの基本的な役割です。
MFA導入で見落としやすい、生産性と外部展開の課題
MFAは不正アクセス対策として扱われますが、導入後の現場では別の課題も起こります。セッションでは、クラウドサービスの選定・導入や情報セキュリティ全般の意思決定者を対象にした調査のフリーコメントとして、「認証に手間取る」「ユーザーから不評を買っている」「トラブルシューティングに時間がかかる」といった声が示されました。
例として挙げられたのが、スマートフォンアプリによるMFAです。社給スマートフォンがあれば追加費用を抑えて導入しやすく、MFAをまったく導入しない状態よりリスク低減に寄与します。その一方で、スマートフォンを持たないユーザーには選択しづらく、久しぶりの認証で操作を忘れる、端末紛失時の対応が必要になる、ヘルプデスク対応が増えるといった問題も残ります。
もう一つの課題は、サプライチェーンを含めた全体への実装です。自社本社でMFAを徹底できても、海外拠点、協力会社、取引先端末では導入率に差が出ることがあります。本社と協力会社でMFAが導入されている一方、海外拠点や取引先端末では徹底が難しいケースがあるという点が、ここでの問題提起でした。
取引先や関連会社まで含めると、利用するプラットフォーム、ITリテラシー、管理体制には差が出てしまいます。一次サプライヤーだけでなく二次・三次サプライヤーまで含めた多層構造では、全体像の把握そのものが難しくなります。MFAの方式を選ぶ際には、社内ユーザーだけでなく、外部ユーザーにどこまで展開できるかも条件に入ります。
アイシン様事例:デジタル証明書でグローバル拠点にMFAを展開
認証強化のポイントとして、最初に取り上げられたのが株式会社アイシン様の事例です。アイシン様では、経営統合によりグローバル拠点と製品群が拡大し、包括的な品質調査体制と海外拠点への調査支援強化が求められていました。品質保証部門では、市場不具合品の調査手法をマニュアル化し、共通かつ高品質な調査解析を実現するため、クラウド型デジタルブックの採用を決めています。
クラウド型デジタルブックを利用するにあたり、多要素認証が必須要件となりました。そこで採用されたのが、Soliton OneGateのデジタル証明書によるMFAです。生産性の維持、運用性の高さ、コスト面の納得感を踏まえ、国内・海外拠点すべてでMFAを実装する構成が選ばれました。
アイシン様がデジタル証明書を選定した理由は、セキュリティと利用者負担の両面にあります。セキュリティ上の理由からカメラの使用が制限され、顔認証を含む生体認証は選択しにくい状況でした。デジタル証明書であれば、ログイン操作は比較的容易で、証明書を持つ端末からのアクセスに限定できます。私物端末からの接続を防ぐ点も、選定理由として扱われました。
デジタル証明書によるMFAでは、あらかじめ配布された証明書を確認し、証明書が有効であればIDとパスワードの入力へ進みます。利用者は証明書を強く意識せず、従来に近い操作で業務に入れます。物理的な認証要素を新たに配布する方式と比べ、多拠点で運用しやすいことも特徴です。一方で、証明書の発行、配布、失効、更新には知見が必要であり、証明書運用を考慮したツールが前提になります。
アイシン様の事例で示された構成は、クラウド化したデジタルブックにより共通した調査解析をグローバルに支援しながら、デジタル証明書とID・パスワードによるMFAでセキュリティを確保するものです。
事例の詳細は、ソリトンシステムズの株式会社アイシン様 導入事例で確認できます。
豊田合成様事例:仕入先約160社を含む受発注システムでMFAを実装
続いて扱われたのが、豊田合成株式会社様の事例です。豊田合成様では、仕入先企業約160社が利用する受発注システムの老朽化をきっかけに、クラウド移行を決断しました。従来は独自開発の認証と専用線ネットワークで安全性を確保していましたが、コスト面の課題がありました。
クラウド化によりインターネット回線を利用する構成へ移る一方で、サイバー攻撃事案が頻発し、サプライチェーン全体を包含したセキュリティ強化が求められる状況になりました。受発注システムを利用するのは自社の従業員だけではありません。仕入先企業が安全に利用できる認証の仕組みとして、多要素認証の検討が進められました。
豊田合成様が重視したのは、仕入先企業側に過度な管理負荷をかけないことです。取引先にIT専任者がいないケースも想定されるため、証明書のメンテナンスを相手先に任せる方式は選びにくいものでした。OneGateは、利用開始までの手順がシンプルで、社外への展開がしやすい点が評価されています。
この事例で焦点になったのは、ネットワーク設定と招待コードの発行により、仕入先企業へデジタル証明書を配布できる点です。豊田合成様は、トヨタグループの主要企業として、セキュリティ対策への意識を社内外に示すことも重視しています。社外ユーザーを含むMFAでは、利用開始時の手順、問い合わせ対応、証明書管理の所在をあらかじめ整理しておくことが、実装の成否に関わります。
事例の詳細は、豊田合成株式会社様 導入事例で確認できます。
Soliton OneGateと証明書配布方式
最後のパートでは、具体的なソリューションとして国産IDaaSであるSoliton OneGateが扱われました。OneGateは、Microsoft 365やGoogle Workspaceなどのクラウドサービスに対し、証明書を活用した多要素認証とシングルサインオンを提供します。デジタル証明書のほか、顔認証、パスキー、スマートフォン認証、ICカード、パスワードなど、複数の認証方式を組み合わせられる構成です。
デジタル証明書を使う場合、配布方法が運用の負荷を左右します。セッションでは、PKCS#12ファイルとして配布する方式、MDM・資産管理と連携する方式、招待コードを使う独自方式が示されました。MDMで管理されている端末にはユーザー操作を抑えて証明書を配布でき、招待コード方式では、発行回数や有効期限を設定しながら、管理外の端末にも証明書を展開できます。
また、Soliton OneGateやNetAttest EPS/EPS-apとともに利用するクライアントアプリが、Soliton KeyManagerです。Windows、iOS/iPadOS、Android、macOS、Chromebookに対応し、ワンタッチ証明書配布、SCEPによるセキュアな配布、証明書更新の運用支援、外部CA証明書やWi-Fiプロファイルの配布に対応します。協力会社や取引先の端末を含めて証明書を扱う場合、こうした配布・更新の仕組みが運用負荷を左右します。
本セッションのまとめでは、昨今のサイバー脅威を踏まえ、MFA実装は自社だけでなく、協力先・子会社を含めて考える必要があると示されました。同時に、MFAは現場で無理なく運用できることが前提です。利用者の生産性を妨げない方式か、多様な環境に展開できる方式か。認証強化を進める際には、この2点を分けて検討する必要があります。
ソリトンは今後も、セミナー・ウェビナー等を通じて、サプライチェーンセキュリティや情報漏えい対策に関する情報を発信してまいります。製品や導入に関するご相談は、ソリトンシステムズのお問い合わせ窓口よりご連絡ください。
