クライアント証明書はIP制限の代替足りえるのか

Covid19でWFHが広く行われるようになって、1年たとうとしてしているがWFHでWeb上の管理画面を使用する機会を得た人も多かったことでしょう。
ただし、いままではWeb上の管理画面にはIP制限がかかっていることが多かったはずです。（何か資料で示せればいいのですが。）
WFHがはじまって、VPN終端に負荷がかかり、従来のプライベートネットワークによりセキュリティポリシーを見直し、ゼロトラストセキュリティという言葉も一般に広がりはじめました。
日本では、平井卓也デジタル改革担当大臣が行政の目指すセキュリティポリシーの指針として発言したことも広がるきっかけになりました。

さて、WFHで様々なIPから管理画面にアクセスしたいとした時に、今までのIP制限では都合が悪いのでクライアント証明書制限を検討しています。

しかし、私はクライアント証明書制限が本当にIP制限の代替なのか疑問に思っています。前提として、ID/パスワードでの認証がある管理画面にさらにIP制限をかけているケースで話しています。

1. IP制限≒地理制限
   • IPは動的にしろ静的にしろISPによって決まります。さらにISPは国、地域ごとに割り振るIPレンジが決まっています。
   • 固定IPで払い出されてるIPを盗むには、
     • 物理的にLAN内に接続を試みる。（建物に侵入
     • VPNからLAN内に侵入する (VPN終端の脆弱性を狙う、VPNの認証情報を何らかの形で手に入れる
     • IP制限自体の脆弱性をつく（タイニー/オーバー フラグメント攻撃 未対応なサーバーはないと思うけど
2. クライアント証明書はどうやって配りますか？
   • メールですか？ 社内Wikiですか？ (これってZipパスワード問題と同じですよね
   • ネットワークを介さない方法で配らないと意味なくないですか？(FIDO
   • OK. 証明書と署名を認証局サーバーでやるからダメなんだ、各PCで鍵を作成して、公開鍵だけを認証局に渡し署名する。
     • それ社員の全PCにやるサポートめっちゃ大変なやつやん

ちゃんとやれば（クライアント証明書は配らず、公開鍵を集める方式）IP制限足りえるけど、生成した鍵を配布するようなやり方でIP制限と同等のセキュリティ強度になるとは思えない。

配り方に気を付ければいいかもしれないけど。メールやWikiで配るのは絶対ダメで認証局まで取りに来てもらう。取りに来るときのセキュリティ強度がしっかりしてればOKなはず。

クライアント証明書の前に2要素認証なんじゃないかな。教えて詳しい人！