ロリポップ固定IPアクセス byGMOペパボ
MFA疲れを防ぐ「信頼できるネットワーク」設計:固定IPで社内からのMFAを最適化する

MFA疲れを防ぐ「信頼できるネットワーク」設計:固定IPで社内からのMFAを最適化する

基礎知識

多要素認証(MFA)を全社に導入したものの、「ログインのたびにスマホで承認するのが面倒」「集中が途切れる」という声が現場から上がっていませんか。セキュリティのために導入したMFAが、いつの間にか生産性のボトルネックになり、さらには**MFA疲れ(MFA fatigue)**という新たなリスクの温床になっている——これは多くの組織が直面している現実的な悩みです。

MFAは強力なセキュリティ対策ですが、「すべてのアクセスで毎回求める」設計のままだと、利便性とのバランスを崩します。重要なのは、信頼できる状況では認証を省略・緩和し、信頼できない状況では厳格に求めるというメリハリのある設計です。

この記事では、MFA疲れが生まれるメカニズムとそれを突く攻撃(プッシュ爆撃)のリスクを整理したうえで、固定IP=「信頼できる場所」を起点に、社内・正規ネットワークからのMFAを最適化する条件付き認証の設計を解説します。結論として、固定IPは「信頼できる場所」を技術的に定義する最も実装しやすい手段の1つです。

MFA疲れとは何か、なぜ問題なのか

MFA疲れの正体

MFA疲れとは、頻繁な多要素認証の要求によってユーザーが疲弊し、認証への注意力が低下したり、不満が蓄積したりする状態を指します。1日に何度もスマホのプッシュ通知を承認していると、人は内容を確認せず反射的に「承認」を押すようになります。

MFA疲れが招く2つのリスク

1. 生産性の低下 ログインのたびに作業が中断され、認証待ちの時間が積み重なります。本来の業務に集中できず、組織全体の生産性を静かに削り取ります。

2. プッシュ爆撃(MFA疲労攻撃) これがより深刻です。攻撃者がすでにパスワードを入手している状態で、何度もMFAのプッシュ通知を送り続け、ユーザーが「うるさいから」と誤って承認してしまうのを狙う攻撃です。MFA fatigue attack、プッシュボミング(push bombing)とも呼ばれます。MFA疲れは、単なる利便性の問題ではなく、攻撃の足がかりになり得るのです。

対策の方向性

プッシュ爆撃への直接的な対策としては、承認時に画面の数字を入力させる「数値の一致(number matching)」や、サインイン元の位置情報を通知に表示する機能などが知られています。しかし、より根本的なのは、そもそも不要なMFA要求の回数を減らすことです。ここで「信頼できるネットワーク」の設計が効いてきます。

「信頼できるネットワーク」という考え方

すべてのアクセスを同じ厳しさで扱わない

リスクは状況によって異なります。「会社の正規ネットワークからの、いつものデバイスでのアクセス」と「見知らぬ海外IPからの初めてのデバイスでのアクセス」を、同じMFA頻度で扱うのは合理的ではありません。

そこで登場するのが**条件付きアクセス(条件付き多要素認証)**です。これは、アクセス元の場所(IP)、デバイス、ユーザーのリスクレベルなどの条件に応じて、認証の要否や強度を動的に変える仕組みです。

「信頼できる場所」をIPで定義する

多くのIDaaS・SaaSの条件付きアクセスでは、特定のIPアドレス範囲を「信頼できる場所(信頼済みIP/ネームドロケーション)」として登録できます。たとえばMicrosoft Entra ID(旧Azure AD)では、信頼済みのIP範囲を定義し、その範囲内からのアクセスではMFAを省略したり、逆に範囲外からのアクセスにのみMFAを必須にしたりするポリシーが組めます。

つまり、「信頼できる場所=特定のグローバルIPアドレス」という定義さえできれば、

というメリハリ設計が実現します。

なぜ固定IPが「信頼できる場所」の鍵になるのか

テレワーク時代の壁:「いつもの場所」が定義できない

オフィス勤務が中心だった時代は、オフィスの固定回線のグローバルIPを「信頼できる場所」として登録すれば済みました。しかし、テレワークや複数拠点が前提になると話が変わります。

これでは、せっかくの条件付き多要素認証が「場所」で制御できず、結局すべてのアクセスでMFAを求める設計に戻ってしまいます。

固定IPで「どこからでも、同じ信頼できる場所」を実現する

ここで固定IP VPNが効きます。ロリポップ!固定IPアクセスのような固定IP VPNを使うと、自宅でも出張先でもモバイルでも、接続元IPが常に同じ固定グローバルIPに統一されます。

つまり、物理的にどこにいても、「VPN経由=信頼できる場所からのアクセス」とみなせるようになります。この固定IPを各SaaS/IDaaSの「信頼できる場所」に登録すれば、

という設計が、勤務場所に縛られずに実現します。MFA疲れの最大の原因である「正規アクセスでの過剰なMFA」を、安全性を落とさずに削減できるのです。

MFA最適化設計の具体例

固定IPを前提にした、現実的なポリシー設計の一例を示します。

アクセス状況 接続元 認証ポリシー(例)
通常業務 固定IP(VPN経由) MFAを記憶/頻度を下げる、または省略
社外・出先(VPN未接続) 固定IP以外 MFAを毎回必須にする
高リスク操作(管理者設定・権限変更など) 問わず 接続元に関係なく常にMFAを要求
高リスク判定(海外IP・不審デバイス) 固定IP以外 アクセスをブロック、またはMFA+追加確認

設計のポイント

導入時の注意点

MFAそのものを無効化するわけではない

「信頼できる場所ではMFAを緩和する」設計は、MFAを廃止することではありません。あくまで「リスクの低い状況では頻度を下げ、リスクの高い状況では厳格にする」というリスクベースの最適化です。ベースラインとしてのMFAは維持します。

固定IPの管理を厳格に

固定IP経由のアクセスを信頼する以上、そのVPNライセンスや認証情報の管理は重要です。ロリポップ!固定IPアクセスはライセンス単位で利用者を管理でき、不要になったライセンスは1単位で削除できるため、退職者の接続権限を速やかに無効化できます。

サービスごとの条件付きアクセス対応状況を確認

条件付きアクセスで「場所(IP)」を条件に使えるかは、SaaS/IDaaSによって異なります。導入前に、自社が使うサービスの対応状況とプラン要件を確認しておきましょう。

よくある質問(FAQ)

Q. MFAを省略するとセキュリティが下がりませんか?

「すべてのアクセスで省略する」のではなく、「固定IP=信頼できる場所からのアクセスに限って緩和する」設計です。固定IP以外からのアクセスは厳格にMFAを求めるため、全体のセキュリティ水準は維持されます。むしろMFA疲れによる「反射的な承認」やプッシュ爆撃のリスクを減らせます。

Q. プッシュ爆撃(MFA疲労攻撃)への直接の対策は?

数値の一致(number matching)や位置情報表示などの機能を有効化することに加え、本記事のように「信頼できる場所では不要なMFA要求自体を減らす」ことが根本対策になります。要求回数が減れば、攻撃者が紛れ込ませるプッシュ通知も目立ちやすくなります。

Q. 自宅の動的IPでも「信頼できる場所」にできますか?

動的IPは変動するため、そのままでは「信頼できる場所」として安定して登録できません。固定IP VPNを経由すれば、自宅からでも常に同じ固定グローバルIPになり、信頼できる場所として扱えます。

Q. 既存のIDaaSと組み合わせられますか?

はい。固定IPは「接続元IPを統一する」役割を担うため、IDaaSやSaaSの条件付きアクセス機能(信頼済みIP/ネームドロケーション)にその固定IPを登録するだけで連携できます。

まとめ

ロリポップ!固定IPアクセスでできること

ロリポップ!固定IPアクセスは、WireGuardを採用したVPNサービスです。どこからアクセスしても、お客様専有の同じ固定グローバルIPに接続元を統一できます。

申し込み: https://vpn.lolipop.jp/signup / 導入のご相談: https://vpn.lolipop.jp/consultation

関連記事(内部リンク)

おすすめの記事

どこからでも簡単に
固定IPアドレスでアクセス

導入相談