継続的認証とは?
- IAM 用語集
- 継続的認証とは?
継続的認証とは、ユーザーの行動パターンに基づき、セッション全体を通して継続的にユーザーを検証するセキュリティメソッドです。継続的認証では、最初にログインしたときだけユーザーを検証する従来的な認証とは異なり、場所やデバイスポスチャー、その他の行動情報などのリスク要因の変化を考慮することで、さらに一歩進んだ認証を実現します。
継続的認証がどのように機能するのか、なぜ重要であるのか、継続的認証メソッドにはどのような種類があるのか、さらに詳しくご覧ください。
継続的認証の仕組み
継続的認証は、アカウントやアプリケーションへとログインする際に、ユーザーが自分のアイデンティティを確認するよう求められる従来的な認証から始まります。ユーザーがログインした後、継続的認証ではユーザーの行動を追跡し、ペルソナを構築するためにユーザーに関する情報を収集します。ユーザーペルソナは、ユーザーのアクション、行動パターン、生体データ、ブラウザアクティビティ、IPアドレス、アクセス時刻、および地理的なデバイスポスチャーに基づきます。デバイスポスチャーのチェックは、デバイスが企業とそのネットワークに与えるリスクを評価します。例えば、アプリケーションがユーザーからの異常なアクティビティを検出したとします。その場合、アプリケーションはセッションを一時停止し、セキュリティ質問または時間ベースのワンタイムパスワード(TOTP)を使って再度本人確認を行うよう求めます。ユーザーが本人確認できない場合、そのアクセスは即座に取り消されます。
トークン認証の仕組み
継続的認証は、権限のないユーザーによる機密データへのアクセスを防げるので重要なものとなります。サイバー犯罪者は、ログイン情報セットを漏洩させてアカウントにアクセスし、個人識別情報(PII)を盗んで、個人情報盗難を犯したり、金融詐欺 やその他の犯罪を犯す可能性があります。
継続的認証では、ログイン情報セットでユーザーを暗黙のうちに信頼する代わりに、ログインしているユーザーが本当に本人であることを確認するために、ユーザーのアクティビティを常時モニタリングし、ユーザのアイデンティティを検証します。
継続的認証メソッドの種類
継続的認証では、さまざまな認証メソッドを使用して、ユーザーのアイデンティティをモニタリングおよび検証します。以下に、継続的認証で使用される認証メソッドの種類を示します。
パスワード認証
パスワード認証は、ユーザー名とパスワードを使用して個人を認証します。これは主に、ユーザーがシステムやアカウントにアクセスするためにログイン情報を入力する、最初のログイン時に使用されます。また、継続的認証では、異常な動作を検出した場合にパスワード認証を使用してユーザーの身元を再確認します。
生体認証
バイオメトリクス(生体) とは、個人を認識するために使用される身体的および行動的特徴のことです。これには、個人の指紋、顔の特徴、音声パターン、タイピングスタイル、スワイプパターン、身体的な動き、指圧などが含まれます。生体認証は、多要素認証(MFA)の一形態として使用されることが多くなっています。しかし、継続的認証では、個人のバイオメトリクスをモニタリングすることで、セッション全体を通じてその人物のアイデンティティを検証することができます。
アダプティブ認証
アダプティブ認証は、セッションの開始前とセッション中の両方でユーザーのデバイスをスキャンします。ログインのコンテキスト、デバイスポスチャー、行動パターンを調べ、ユーザーを継続的に評価し、必要に応じて適切なセキュリティ対策を実施するために、どのようにユーザーが認証され承認されるかを定義します。
リスクベース認証
リスクベース認証は、人工知能(AI)を使用して、あらゆるログインのコンテキストをリアルタイムで可視化します。デバイスの種類、場所、使用されているネットワーク、ログイン時間、リクエストされたリソースの機密性など、ユーザーのアクセス要求のコンテキストに応じてリスクスコアを作成します。アクセス要求がリスクスコアを超えた場合、システムはTOTP、セキュリティ質問、バイオメトリクスなどの情報をさらに要求します。
継続的認証の例
継続的認証の例をいくつかご紹介します。
例1:マックスは毎日午後7時にニューヨークの自宅から携帯電話を使って銀行口座にログインしています。彼は自分の支出をチェックし、異常なアクティビティがないかを調べています。しかし、マックスの銀行は、彼が午前2時にドイツからデスクトップコンピュータからログインしたことに気づきました。継続的認証ならば、この不審な行動を検知し、マックスの銀行口座への不正アクセスを取り消すことができたでしょう。
例2:ローレンは、平日の毎朝9時に、サンフランシスコのオフィスにある仕事用ノートパソコンから、 仕事用の電子メールアカウントにログインしています。しかし、彼女の職場のIT管理者は、彼女がアカウントへのログインに2回失敗し、3回目にログインに成功したことに気づきました。継続的認証は、不審なログイン試行にフラグを立て、ローレンに身元を再確認するよう求めます。彼女は成功しましたが、継続的認証は彼女のアクティビティをモニタリングし続けます。それ以上の不審なアクティビティに気づくことはなく、引き続き仕事の電子メールにアクセスすることができました。
継続的認証の利点
こちらが継続的認証の利点です。
セキュリティ強化
継続的認証は、許可されたアクセスを確実にすることで、組織のセキュリティを強化するのに役立ちます。攻撃ベクトルを容易に検出して即座に排除できるため、サイバー犯罪者がそれを悪用して不正アクセスすることを阻止できます。セッションを通じてユーザーのアクティビティを継続的にモニタリングおよび検証することで、組織は異常な行動を検出し、サイバー犯罪者による不正アクセスや悪意のあるアクティビティを防止することができます。
ユーザーエクスペリエンスの向上
継続的認証はバックグラウンドで実行されるため、ユーザーに不便をかけることなく、常にセキュリティチェックを行うことができます。また、認証プロセスを自動化することで、IT管理者のワークフローを改善します。
継続的認証のデメリット
継続的認証のデメリットは次のとおりです。
プライバシーの懸念
継続的認証は、ユーザーのアクティビティを受動的にモニタリングするため、様々なプライバシーの懸念をもたらしてしまいます。継続的認証をプライバシーの侵害と見なし、収集されたデータがどのように使用されるかを心配する人もいます。また、組織は、継続的認証がプライバシーに関する規制コンプライアンスに違反していないことを確認する必要があります。
技術的な問題
継続的認証は現代の技術により可能となっていますが、それでもまだ多くの技術的問題を抱えています。継続的認証は必ずしも正確とは言いきれず、偽のフラグを立ててしまう可能性があります。