地方公共団体でMFA導入が重要になる理由
地方公共団体の情報セキュリティは、単に「庁内ネットワークを外部から守る」段階から、「誰が、どの端末で、どの情報に、どの条件でアクセスしているか」を継続的に確認する段階へ移っています。
総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、令和7年3月28日に改定版が公表されており、各地方公共団体が自ら情報資産を守る責任を持ち、情報セキュリティポリシーを実態に応じて策定・見直すものと位置づけています。
この流れの中で、多要素認証、いわゆるMFAは、ログイン時の追加対策ではなく、自治体DXを支える認証基盤として考える必要があります。アップロード資料でも、三層分離、LGWAN接続系、マイナンバー利用事務系、FIDO2、証明書認証、BCPまで含め、MFAを次世代セキュリティアーキテクチャの中核として整理しています。
MFAとは何か|「知識」「所持」「存在」を組み合わせる認証
MFAとは、複数の認証手段を組み合わせ、正規利用者であることの信頼性を高める方式です。総務省ガイドラインでも、多要素認証は「知識」「所持」「存在」を利用する方式に大きく分けられ、複数を組み合わせることが利用者認証の信頼性向上に有効と説明されています。
代表的には、次のように整理できます。
| 認証要素 | 例 | 主な特徴 |
|---|---|---|
| 知識情報 | パスワード、PIN | 導入しやすいが、漏えい・使い回し・フィッシングに弱い |
| 所持情報 | ICカード、スマートフォン、セキュリティキー、証明書 | 端末や媒体の管理が必要だが、本人確認の強度を高めやすい |
| 存在情報 | 指紋、顔、静脈などの生体認証 | 利便性が高い一方、機器精度・例外運用・プライバシー配慮が必要 |
重要なのは、「二つ使えば何でもよい」ではないことです。たとえば、パスワードとSMSワンタイムパスワードを組み合わせても、フィッシングサイトに入力させられれば突破される可能性があります。NIST SP 800-63Bでも、パスワードはフィッシング耐性を持たず、OTPの手入力も認証出力が特定セッションに結びつかないため、フィッシング耐性とは見なされないと整理されています。
自治体に求められるMFAの現実的な適用範囲
地方公共団体では、扱う情報の種類によって認証強度を変える必要があります。特にマイナンバー利用事務系では、総務省ガイドラインが、正規利用者かどうかを判断する認証手段のうち二つ以上を併用する多要素認証を利用しなければならないとしています。
また、無線LANを利用する場合にも、WPA2/WPA3の採用に加え、認証サーバを利用したWPA2/WPA3エンタープライズモード、IEEE802.1Xのクライアント証明書による機器認証などが要件として示されています。
つまり、自治体のMFA導入は、職員ログインだけの話ではありません。端末認証、ネットワーク接続、クラウドサービス利用、特権ID管理、委託先アカウント管理まで含めて設計する必要があります。
主なMFA方式の比較
パスワード+ワンタイムパスワード
ワンタイムパスワードは導入しやすく、既存システムにも組み込みやすい方式です。スマートフォンアプリ、メール、SMS、ハードウェアトークンなどの方法があります。
ただし、自治体の重要システムに使う場合は注意が必要です。OTPは「入力するコード」であるため、偽サイトに入力させるフィッシングや、中間者攻撃への耐性に限界があります。低リスクな業務や暫定対策としては有効でも、将来的な標準方式としては、よりフィッシング耐性の高い方式へ移行する前提で考えるべきです。
ICカード+PIN
ICカードは、庁内端末や職員証との親和性が高く、地方公共団体でも比較的イメージしやすい方式です。カードを所持していることに加え、PIN入力を組み合わせることで、所持情報と知識情報を併用できます。
一方で、カードリーダーの配備、紛失時の再発行、異動時の権限変更、退職時の回収など、運用管理の負荷が発生します。窓口業務や専用端末が多い部署では使いやすいものの、テレワークやクラウド利用が増えるほど、端末・場所に縛られやすい点が課題になります。
生体認証
指紋、顔、静脈などの生体認証は、職員にとって使いやすく、パスワード忘れやカード忘れを減らせる可能性があります。特に、端末内で生体情報を照合する方式は、操作性と安全性のバランスを取りやすい選択肢です。
ただし、生体認証だけで完結させる設計は慎重に考える必要があります。NIST SP 800-63Bでは、生体特性は単独の認証器としてではなく、物理的な認証器と組み合わせる形で扱われています。
自治体で導入する場合は、認証に失敗した職員への代替手段、怪我や加齢による認識精度の変化、窓口業務中の操作性、個人情報保護への説明責任を事前に整理しておくことが重要です。
スマートフォンアプリ認証
スマートフォンアプリによるプッシュ認証や認証アプリは、利便性が高く、クラウドサービスとの相性も良い方式です。専用端末を増やさずに導入できるため、初期コストを抑えやすい場合があります。
一方で、自治体では私物端末の利用可否、BYODのルール、端末紛失時の無効化、機種変更時の再登録、災害時の通信断などを考える必要があります。スマートフォン認証は便利ですが、「スマホを持っている職員だけが業務できる」設計にしてしまうと、現場運用で詰まります。
FIDO2・パスキー
今後、自治体のMFAで重要性が高まるのがFIDO2やパスキーです。FIDO Allianceは、CTAP2について、FIDO2対応ブラウザやOS上で、FIDOセキュリティキーやモバイルデバイスを使い、USB、NFC、BLEによるパスワードレス、二要素認証、多要素認証を可能にすると説明しています。
パスキーはFIDO標準に基づく認証資格情報で、利用者は端末ロック解除と同じように生体認証、PIN、パターンなどでサインインできます。FIDO Allianceは、パスキーをFIDO2仕様に基づくものとし、パスワードや追加要素の入力を不要にできる仕組みとして説明しています。
FIDO2の強みは、公開鍵暗号を使い、サービスごとに異なる認証情報を用いるため、パスワードのような共通の秘密をサーバ側に持たないことです。フィッシング耐性を重視する業務、管理者権限、外部接続、クラウド利用では、有力な候補になります。
ゼロトラスト時代のMFAは「入口対策」では足りない
MFAを導入しても、ログイン後の操作が無制限であれば、十分とはいえません。ゼロトラストの考え方では、認証後も端末状態、アクセス元、権限、ログ、振る舞いを継続的に確認する必要があります。
デジタル庁の国・地方ネットワーク検証資料でも、ゼロトラスト導入には既存システムへの認証処理の実装、新規開発、内製人材や外注費用が必要であり、短期間ですべてのシステムへ実装することは困難な場合があるとされています。
そのため、現実的には一括導入ではなく、リスクの高い業務から段階的に導入することが重要です。たとえば、最初に特権ID、マイナンバー利用事務系、外部接続を伴うクラウドサービス、委託先アカウントからMFAを強化し、その後、一般職員向けシステムへ広げていく方法が考えられます。
地方公共団体に向くMFA導入ステップ
1. 情報資産と業務を分類する
まず、すべてのシステムに同じMFAを入れようとしないことです。住民情報、税、福祉、教育、財務、人事、文書管理、メール、グループウェアなど、情報の機密性と業務継続性を整理します。
特に、住民情報や個人番号を扱う業務では、法令・ガイドライン・監査対応を前提に、認証方式の選定理由を文書化しておく必要があります。
2. 認証方式をリスク別に選ぶ
低リスク業務にはアプリ認証やOTP、高リスク業務にはFIDO2、ICカード、証明書認証など、リスクに応じて方式を変えるのが現実的です。
たとえば、LGWAN接続系や無線LAN接続では端末証明書、クラウドサービスではFIDO2や条件付きアクセス、窓口専用端末ではICカードとPINなど、業務の性質に合わせた組み合わせが必要です。
3. 例外運用を先に決める
MFA導入で失敗しやすいのは、例外運用を後回しにすることです。端末紛失、カード忘れ、スマートフォン故障、生体認証失敗、災害時、異動直後、委託先作業、夜間・休日対応などを想定しておきます。
セキュリティを高めるほど、例外対応が増えます。だからこそ、例外を現場判断に任せず、申請、承認、期限、ログ記録、事後確認まで決める必要があります。
4. 調達仕様にフィッシング耐性を入れる
今後の調達では、「MFA対応」と書くだけでは不十分です。OTP対応なのか、FIDO2対応なのか、証明書認証に対応するのか、SSOと連携できるのか、ログを取得できるのか、退職者や委託先アカウントを即時停止できるのかまで確認する必要があります。
CISAとFBIの調達向けガイダンスでも、ソフトウェア購入者がフィッシング耐性のある認証やパスキーを標準機能として求めることの重要性が示されています。
5. ログ監視・EDR・端末管理と連携する
MFAは、単独では完成しません。認証ログ、端末管理、EDR、アクセス制御、権限管理と組み合わせて初めて効果が高まります。
デジタル庁の検証資料でも、ゼロトラストアーキテクチャでは境界内外を問わず、適正なアクセス制御、パッチ適用、EDRなどからのログ監視による運用を想定し、標的型攻撃や内部ネットワークでの感染拡大などのリスク軽減につながるとされています。
MFA導入で避けたい失敗
地方公共団体のMFA導入で避けたいのは、「強い方式を入れたから安全」と考えることです。
実際には、認証方式そのものよりも、退職者アカウントの削除漏れ、委託先IDの棚卸し不足、共有IDの残存、緊急用アカウントの放置、復旧手順の未整備がリスクになります。
また、現場に説明せずに導入すると、職員が回避策を探すようになります。付箋にPINを書く、カードを机に置きっぱなしにする、スマートフォンを共有する、といった行動が出れば、MFAの意味は薄れます。
導入時には、なぜMFAが必要なのか、どの業務から変わるのか、困ったときは誰に連絡するのかを、職員にわかる言葉で説明することが欠かせません。
まとめ|自治体MFAはFIDO2だけでなく「運用設計」が勝負
地方公共団体のMFA導入では、FIDO2やパスキーのような新しい認証方式に注目が集まります。しかし、本当に重要なのは、業務ごとのリスク、現場の運用負荷、調達仕様、例外対応、ログ監視、BCPを一体で設計することです。
マイナンバー利用事務系のように高い認証強度が求められる領域では、多要素認証はすでに避けて通れない要件です。一方で、すべての業務を一気に同じ方式へ移行するのは現実的ではありません。
まずは、重要情報、特権ID、外部接続、クラウド利用、委託先アクセスから優先順位をつけ、段階的にMFAを強化することが、自治体DXとセキュリティを両立させる現実的な道筋です。
コメント