適応型認証の概要

パスワードやPINなどの従来の認証方法は静的な認証情報を利用しているため、クレデンシャルスタッフィング、フィッシング、ブルートフォース攻撃に対して脆弱です。これらの方法はブルートフォース攻撃に弱く、ユーザーのミスの影響を受けやすいため、最新のアカウント関連の脅威に対処するために、追加の認証要素（オーセンティケータアプリからのワンタイムパスワードなど）や検証が登場しました。 

ただし、これらのセキュリティレイヤーによって、ユーザーの障壁が増え、生産性が低下する可能性があります。静的な認証ポリシーでは、低リスクのシナリオと高リスクのシナリオを区別できないため、不要なセキュリティの確認が求められたり、脅威が見落とされたりします。適応型認証は、複数のシステムにわたってユーザーの振る舞いに応答し、リスクとコンテキストに応じて認証要件を調整する、新たな形のユーザー認証方法です。 

この記事では、適応型認証と、それがユーザーと組織のリスクポスチャ両方に関してどのように認証を変革するかを詳しく見ていきます。

適応型認証とは

適応型認証は、リスクベース認証とも呼ばれ、認証の試行を継続的に評価し、リアルタイムのリスクシグナルに基づいてセキュリティ対策を動的に調整するコンテキスト認識型のセキュリティアプローチです。ユーザーのログインやアクセスリクエストに関連するコンテキスト要因（場所、デバイス、時間など）が継続的なリスク評価と評価プロセスの一環として、適応型認証に取り込まれます。 

適応型認証を理解するには、従来のユーザー認証方法と比較するのが最も良い方法です。従来の認証はバイナリです。つまり、コンテキストに応じたリスクを評価せず、認証情報のみに基づいてアクセスを許可または拒否します。一方、適応型認証では、リアルタイムのリスク評価を適用して、アクセスを許可するか、チャレンジを行うか、アクセスをブロックするかを決定します。適応型認証は脅威の兆候をモニタリングし、リスクが特定されると、追加の検証を要求するか、より厳しい対策（アクセスのブロックなど）を実施します。

適応型認証の主要原則：使いやすさとセキュリティのバランスを取る 

基本的に、適応型認証では、ユーザーの利便性とのバランスを考えて、継続的なリスク評価および強力な組織のセキュリティポスチャを決定します。簡単なタスクを完了するためにオーセンティケータアプリを複数回使用しなければならなかった経験があれば、静的な認証ポリシーが過剰だと感じられるのはどのような場合かを直感的に理解できると思います。適応型認証は、セキュリティが重要な場合はそれを犠牲にすることなく、この問題を解決するためのものです。 

組織は、特定の定義可能なルールを通じて適応型認証の評価に指示を与え、機械学習を活用してユーザーの振る舞いパターンを分析し、異常を検知できます。システムは異常なパターンを識別し、潜在的な脅威に動的に対応します。その際、通常のアクティビティを実行する正当なユーザーの不便が最小限になるように、セキュリティと操作性のバランスを取る必要があります。

一般的なユースケース

適応型認証は本質的に動的であり、次のようなシナリオに最適です。

• 内部システムと公開プラットフォームのセキュリティを確保する。
• 不正行為の防御とユーザーの利便性のバランスを取る。
• リモートワークや、金融や医療などの機密データを扱うリスクの高い業界におけるリスクを軽減する。

適応型認証の仕組み

適応型認証は、ユーザーの振る舞いの主要な要素を分析して、ユーザーのリクエストにリスクレベルを割り当てることによって機能します。リスクレベルは、ユーザーにアクセスを許可する、MFA（多要素認証）などの追加の認証を要求する、アクセスを完全にブロックするといったシステムの対応に情報を提供します。 

主な要因

次のリスクシグナルは、適応型認証システムがリアルタイムでセキュリティを決定する際の情報を提供し、コンテキストに応じたリスクに基づいてアクセスポリシーを動的に調整します。 

• ユーザーの振る舞い：入力パターン、ログイン頻度、異常なログイン時間などの、ユーザーのシステムの利用状況をモニタリングします。
• コンテキストデータ：ユーザーのデバイス、場所、IPアドレスなど、ログイン試行やアクセスリクエストを分析します。
• 履歴パターン：ログイン履歴など、システムが既に把握しているユーザーの情報と相互参照することで、ログイン習慣の変化によってリスク評価をトリガーできます。

リスクスコアリングと考えられる結果

システムは上記の主な要因を事後分析し、一定期間のユーザーの振る舞いを分析する機械学習アルゴリズムを使用して、リスクスコアを割り当てます。これを基に、システムはユーザーのアクティビティを分類し、認証に関する決定を行うことができます。次の表に、適応型認証システムによる認証リクエストの分類方法と、その分類に基づく決定の例を示します。

適応型認証の利点

自社の技術を安全に使用するための高度で動的な課題に直面している組織にとって、ユーザーアクセスは常に最大のサイバーセキュリティ上の懸念事項の一つです。悪意のあるアクターは、ユーザーを騙してパスワードを共有させたり、アクセスを許可させるように仕向け、従来の認証方法を簡単に突破できます。厄介なセキュリティプロトコルに手こずっているアクターは、これらのプロトコルを改ざんできます。このセクションでは、このようなビジネス上の課題に対処する上での適応型認証の利点について説明します。

セキュリティの向上

適応型認証は、アイデンティティベースの攻撃をリアルタイムで特定して阻止し、攻撃者が侵害された認証情報を悪用したり、MFA（多要素認証）をバイパスしたりすることを防ぎます。検知されたリスクは、ユーザーの現在のリスクプロファイルに基づいてセキュリティ対策を動的に調整し、許可されたユーザーのみにアクセスを制限することで対処されます。さらに機械学習が、ユーザーの振る舞いとコンテキスト要因を継続的に評価することで、高度な攻撃の検知率を徐々に向上させます。

操作性の向上

適応型認証は動的なアプローチであり、低リスクのシナリオにおける不要な障壁を最小限に抑えます。リスクの低い正当なシステムユーザーには、追加のセキュリティ対策が常時適用されることはなく、リソースにアクセスできます。適応型認証は、不要な多要素認証要求を最小限に抑え、多要素認証疲れを軽減し、セキュリティを損なうことなくユーザーの効率を向上させます。

スケーラビリティ

従業員の勤務場所が分散している組織やリモートワークに対応している組織では、適応型認証の次のような特徴により、大きなメリットが得られます。

• デバイスに依存しない：デスクトップ、ノートパソコン、モバイルデバイスなど、さまざまなユーザーデバイスにわたって機能します。
• ユーザーの増加に対応：ユーザー数の増加に伴い増加する認証リクエストを処理するためのリソースを動的に割り当てます。
• グローバルなアクセス管理が可能：ユーザーの場所の不審な変更に対応して、追加の検証を要求します。

企業コンプライアンス

適応型認証は、次のようなアクセス制御メカニズムによって、組織がGDPR、HIPAA、PCI DSSなどの企業コンプライアンス標準を満たすことができるよう支援します。

• ユーザーアイデンティティの検証：適応型認証の柔軟かつ堅牢なアイデンティティ検証プロセスは、データアクセスに対する厳格な制御を要求するコンプライアンスフレームワークに準拠しています。
• セキュリティ対策の強化：適応型認証では、継続的モニタリング、MFA（多要素認証）の実装、リスクベースの評価によってセキュリティプロトコルを強化できます。
• 動的リスク評価：ユーザーの振る舞いとコンテキスト要因を継続的に評価することで、組織は検知されたリスクレベルに基づいて適切な認証方法を適用できます。
• 監査とコンプライアンスレポート生成が容易になる：適応型認証システムは、アクセスと認証アクティビティの広範なログを保持できます。これにより、監査プロセスが簡素化され、規制要件への遵守を実証しやすくなります。

課題と限界

適応型認証にはさまざまな利点がありますが、組織のニーズや要件によっては実装で課題が生じる場合があります。

データプライバシーに関する懸念

適応型認証システムは、その設計上、ユーザーに関するさまざまなデータを収集します。このようなデータには、ユーザーの振る舞い、場所、デバイス情報などがあります。組織は、リスクを軽減し、これらのデータを責任を持って処理するために、このようなデータが収集されることを認識しておく必要があります。

フォールスポジティブとフォールスネガティブ

フォールスポジティブは、システムが正当なユーザーに誤って高リスクのフラグを付けた場合に発生し、フォールスネガティブは、真の脅威を特定できずに不正アクセスを許可した場合に発生します。フォールスポジティブは操作性を損なう可能性がありますが、機械学習モデルは徐々にリスクスコアリングを改善し、精度を向上させて不要なセキュリティチャレンジを減らします。これらのリスクは、リスク評価ルールと機械学習アルゴリズムを定期的に確認し、微調整することで軽減できます。

コストと複雑さ

適応型認証ではリソースの投資が必要ですが、最新のクラウドネイティブソリューションは、既存のIAMおよびセキュリティフレームワークとシームレスに統合するため、導入の複雑さが最小限に抑えられます。さらに導入後には、サポートのために専門家を採用またはサードパーティプロバイダーと提携する必要や、使用方法や管理方法に関する研修をスタッフに実施する必要が生じることもあります。

アイデンティティセキュリティにクラウドストライクを活用する

適応型認証は、現代のアイデンティティセキュリティ戦略の重要な要素であり、操作性を最適化しながら不正アクセスを防ぎます。コンテキスト認識型およびリスクベースの認証システムである適応型認証は、ログイン試行ごとに検知されたリスクレベルに基づいてセキュリティ要件を動的に調整できます。これにより、組織のセキュリティが強化され、操作性が向上します。

CrowdStrike Falcon® Next-Gen Identity Securityは、リアルタイムのアイデンティティ脅威検知、リスクベースのアクセスポリシー、継続的なセッションモニタリングにより、適応型認証を強化します。Falconは、アイデンティティ、デバイス、脅威テレメトリを関連付けることで、正当なユーザーの操作を妨げることなく、攻撃者のアクセスをブロックする動的な認証ポリシーを適用します。HYPRとの連携により、デバイスとアイデンティティの状態に基づいて適応型アイデンティティアクセスポリシーを適用できるため、パスワードレス認証によって組織のセキュリティが強化されます。