多要素認証(MFA)を全社に導入したものの、「ログインのたびにスマホで承認するのが面倒」「集中が途切れる」という声が現場から上がっていませんか。セキュリティのために導入したMFAが、いつの間にか生産性のボトルネックになり、さらには**MFA疲れ(MFA fatigue)**という新たなリスクの温床になっている——これは多くの組織が直面している現実的な悩みです。
MFAは強力なセキュリティ対策ですが、「すべてのアクセスで毎回求める」設計のままだと、利便性とのバランスを崩します。重要なのは、信頼できる状況では認証を省略・緩和し、信頼できない状況では厳格に求めるというメリハリのある設計です。
この記事では、MFA疲れが生まれるメカニズムとそれを突く攻撃(プッシュ爆撃)のリスクを整理したうえで、固定IP=「信頼できる場所」を起点に、社内・正規ネットワークからのMFAを最適化する条件付き認証の設計を解説します。結論として、固定IPは「信頼できる場所」を技術的に定義する最も実装しやすい手段の1つです。
MFA疲れとは何か、なぜ問題なのか
MFA疲れの正体
MFA疲れとは、頻繁な多要素認証の要求によってユーザーが疲弊し、認証への注意力が低下したり、不満が蓄積したりする状態を指します。1日に何度もスマホのプッシュ通知を承認していると、人は内容を確認せず反射的に「承認」を押すようになります。
MFA疲れが招く2つのリスク
1. 生産性の低下 ログインのたびに作業が中断され、認証待ちの時間が積み重なります。本来の業務に集中できず、組織全体の生産性を静かに削り取ります。
2. プッシュ爆撃(MFA疲労攻撃) これがより深刻です。攻撃者がすでにパスワードを入手している状態で、何度もMFAのプッシュ通知を送り続け、ユーザーが「うるさいから」と誤って承認してしまうのを狙う攻撃です。MFA fatigue attack、プッシュボミング(push bombing)とも呼ばれます。MFA疲れは、単なる利便性の問題ではなく、攻撃の足がかりになり得るのです。
対策の方向性
プッシュ爆撃への直接的な対策としては、承認時に画面の数字を入力させる「数値の一致(number matching)」や、サインイン元の位置情報を通知に表示する機能などが知られています。しかし、より根本的なのは、そもそも不要なMFA要求の回数を減らすことです。ここで「信頼できるネットワーク」の設計が効いてきます。
「信頼できるネットワーク」という考え方
すべてのアクセスを同じ厳しさで扱わない
リスクは状況によって異なります。「会社の正規ネットワークからの、いつものデバイスでのアクセス」と「見知らぬ海外IPからの初めてのデバイスでのアクセス」を、同じMFA頻度で扱うのは合理的ではありません。
そこで登場するのが**条件付きアクセス(条件付き多要素認証)**です。これは、アクセス元の場所(IP)、デバイス、ユーザーのリスクレベルなどの条件に応じて、認証の要否や強度を動的に変える仕組みです。
「信頼できる場所」をIPで定義する
多くのIDaaS・SaaSの条件付きアクセスでは、特定のIPアドレス範囲を「信頼できる場所(信頼済みIP/ネームドロケーション)」として登録できます。たとえばMicrosoft Entra ID(旧Azure AD)では、信頼済みのIP範囲を定義し、その範囲内からのアクセスではMFAを省略したり、逆に範囲外からのアクセスにのみMFAを必須にしたりするポリシーが組めます。
つまり、「信頼できる場所=特定のグローバルIPアドレス」という定義さえできれば、
- 信頼できる場所からのアクセス → MFAを省略、または頻度を下げる
- それ以外からのアクセス → MFAを必須にする
というメリハリ設計が実現します。
なぜ固定IPが「信頼できる場所」の鍵になるのか
テレワーク時代の壁:「いつもの場所」が定義できない
オフィス勤務が中心だった時代は、オフィスの固定回線のグローバルIPを「信頼できる場所」として登録すれば済みました。しかし、テレワークや複数拠点が前提になると話が変わります。
- 自宅のIPは多くの場合、動的IP(プロバイダから割り当てられ、変動する)。
- カフェ・出張先・モバイル回線のIPは毎回バラバラ。
- 結果、「信頼できる場所」を固定IPとして定義できず、条件付きアクセスの「場所」条件が使えない。
これでは、せっかくの条件付き多要素認証が「場所」で制御できず、結局すべてのアクセスでMFAを求める設計に戻ってしまいます。
固定IPで「どこからでも、同じ信頼できる場所」を実現する
ここで固定IP VPNが効きます。ロリポップ!固定IPアクセスのような固定IP VPNを使うと、自宅でも出張先でもモバイルでも、接続元IPが常に同じ固定グローバルIPに統一されます。
つまり、物理的にどこにいても、「VPN経由=信頼できる場所からのアクセス」とみなせるようになります。この固定IPを各SaaS/IDaaSの「信頼できる場所」に登録すれば、
- VPN(固定IP)経由のアクセスはMFAを緩和し、業務をスムーズに。
- VPNを経由しない(=固定IP以外からの)アクセスは厳格にMFAを要求、または遮断。
という設計が、勤務場所に縛られずに実現します。MFA疲れの最大の原因である「正規アクセスでの過剰なMFA」を、安全性を落とさずに削減できるのです。
MFA最適化設計の具体例
固定IPを前提にした、現実的なポリシー設計の一例を示します。
| アクセス状況 | 接続元 | 認証ポリシー(例) |
|---|---|---|
| 通常業務 | 固定IP(VPN経由) | MFAを記憶/頻度を下げる、または省略 |
| 社外・出先(VPN未接続) | 固定IP以外 | MFAを毎回必須にする |
| 高リスク操作(管理者設定・権限変更など) | 問わず | 接続元に関係なく常にMFAを要求 |
| 高リスク判定(海外IP・不審デバイス) | 固定IP以外 | アクセスをブロック、またはMFA+追加確認 |
設計のポイント
- 「省略」より「頻度を下げる」から始める — いきなりMFAを完全省略するのは不安が残る場合、「信頼できる場所では一定期間MFAを記憶する」設定から始めると、安全性と利便性のバランスを取りやすい。
- 高リスク操作は例外なく厳格に — 権限変更や機密データへのアクセスは、信頼できる場所からでもMFAを求めるのが定石です。
- VPN(固定IP)を「会社の入口」として一本化 — 接続元を固定IPに統一することで、IP制限・条件付きアクセス・ログ監査をすべて同じ基準で運用できます。
導入時の注意点
MFAそのものを無効化するわけではない
「信頼できる場所ではMFAを緩和する」設計は、MFAを廃止することではありません。あくまで「リスクの低い状況では頻度を下げ、リスクの高い状況では厳格にする」というリスクベースの最適化です。ベースラインとしてのMFAは維持します。
固定IPの管理を厳格に
固定IP経由のアクセスを信頼する以上、そのVPNライセンスや認証情報の管理は重要です。ロリポップ!固定IPアクセスはライセンス単位で利用者を管理でき、不要になったライセンスは1単位で削除できるため、退職者の接続権限を速やかに無効化できます。
サービスごとの条件付きアクセス対応状況を確認
条件付きアクセスで「場所(IP)」を条件に使えるかは、SaaS/IDaaSによって異なります。導入前に、自社が使うサービスの対応状況とプラン要件を確認しておきましょう。
よくある質問(FAQ)
Q. MFAを省略するとセキュリティが下がりませんか?
「すべてのアクセスで省略する」のではなく、「固定IP=信頼できる場所からのアクセスに限って緩和する」設計です。固定IP以外からのアクセスは厳格にMFAを求めるため、全体のセキュリティ水準は維持されます。むしろMFA疲れによる「反射的な承認」やプッシュ爆撃のリスクを減らせます。
Q. プッシュ爆撃(MFA疲労攻撃)への直接の対策は?
数値の一致(number matching)や位置情報表示などの機能を有効化することに加え、本記事のように「信頼できる場所では不要なMFA要求自体を減らす」ことが根本対策になります。要求回数が減れば、攻撃者が紛れ込ませるプッシュ通知も目立ちやすくなります。
Q. 自宅の動的IPでも「信頼できる場所」にできますか?
動的IPは変動するため、そのままでは「信頼できる場所」として安定して登録できません。固定IP VPNを経由すれば、自宅からでも常に同じ固定グローバルIPになり、信頼できる場所として扱えます。
Q. 既存のIDaaSと組み合わせられますか?
はい。固定IPは「接続元IPを統一する」役割を担うため、IDaaSやSaaSの条件付きアクセス機能(信頼済みIP/ネームドロケーション)にその固定IPを登録するだけで連携できます。
まとめ
- MFA疲れは生産性低下だけでなく、プッシュ爆撃(MFA疲労攻撃)という攻撃の足がかりにもなる。
- 対策の本質は「不要なMFA要求を減らす」こと。条件付き多要素認証で、信頼できる場所からのアクセスは認証を緩和する。
- テレワーク・複数拠点では「信頼できる場所」を定義しづらいが、固定IP VPNで接続元IPを統一すれば、どこからでも信頼できる場所として扱える。
- 固定IPはMFA最適化・IP制限・ログ監査の共通基盤になる。
ロリポップ!固定IPアクセスでできること
ロリポップ!固定IPアクセスは、WireGuardを採用したVPNサービスです。どこからアクセスしても、お客様専有の同じ固定グローバルIPに接続元を統一できます。
- この固定IPを各SaaS/IDaaSの「信頼できる場所(信頼済みIP)」に登録することで、条件付き多要素認証の「場所」条件を勤務地に縛られず運用できます。
- 申込当日から利用可能。工事や専門知識は不要です。
- 1つの固定IPに複数ライセンスを紐づけ、複数人・複数端末で共有できます(1ライセンスの同時接続は1台)。ライセンスは1単位で増減でき、退職者の接続権限も速やかに無効化できます。
- 料金はライトプランが月額490円(税込539円)から。最大2ヶ月無料でお試しいただけます。
申し込み: https://vpn.lolipop.jp/signup / 導入のご相談: https://vpn.lolipop.jp/consultation
関連記事(内部リンク)
- 多要素認証(MFA)とは? 二段階認証との違いと導入すべき理由
- SaaSの「条件付きアクセス」とは?主要サービスの機能を比較
- IPアドレス制限とは? 仕組みとメリットをわかりやすく解説
- ゼロトラストとは? そのメリットとVPNとの違いを解説



