2021/02/09

アイデンティティ管理とリスクベース認証: ゼロトラストセキュリティ実現の核となる技術

username, password, id, auth

2021 年 2 月 9 日 Sam Manjarres 著

ユーザの多様な働き方がセキュリティに大きな影響を与えていますが、多要素認証 (MFA) はゼロトラストネットワークを展開するために必須の要素となっています。その理由は以下の通りです。

  • ユーザが保護されていないネットワークから会社のリソースにアクセスしている。
  • 就業時間がフレキシブルになり、早い時間から夜遅くまで業務を行っている可能性がある。
  • 業務に使用するデバイスを他の家族が使用する可能性がある。
  • 上記すべてから派生する脆弱な状況を攻撃者が悪用する可能性がある。

ネットワーク境界を中心としたセキュリティ構造だけに頼ることはできなくなりました。クラウドやリモートアクセスの急激な普及により、企業は場所やネットワーク、デバイスに関係なく、ユーザ (従業員、請負業者、パートナー) への安全なアクセスを可能にしなくてはなりません。

ゼロトラストセキュリティ構造を採用すべきソリューションは MFA だけではありませんが、「決して信頼せず、常に検証する」というアプローチを採用するための第一歩として、アイデンティティとアクセス権限の管理は、ビジネスが導入するべき核となる技術であることは間違いありません。

最適化されたユーザ管理を実現する MFA とリスクベース認証

リスクベース認証では、認証可否の判断を行う際にリスク要因を考慮します。これは静的認証をさらに進化させたもので、管理者が認証動作を変更するルールを作成し、リスクが低い場合に認証を容易にしたり、正規のユーザであることを確認する追加のステップを要求したり、もしくはリスクが高すぎる場合には正しいワンタイムパスワード (OTP) の入力があってもアクセスをブロックしたりすることができます。

リスクポリシーが存在しない場合、企業はすべてのユーザに対して常に最も安全な認証方法を有効にする必要があり、場合によってはこれがユーザに過剰な負荷をかけてしまう可能性があります。リスクベース認証は、リスクに基づき保護をカスタマイズして、状況にあった適切なセキュリティを設定する、脅威の検知・対応能力を向上させるための、より時代に沿った戦略です。

リスクベース認証ポリシーを有効にすべき 4 つの理由

1.リソースの保護により優れた効果を発揮

リスクベース認証では、リスクレベルと、アクセスを必要としているユーザのタイプに基づいて、保護したいリソースをランク付けすることができます。企業のニーズに合わせたカスタムルールを作成することは、組織内で MFA を有効にするための一助となります。

2.ゼロトラスト採用への一歩

ゼロトラストアプローチの原則の 1 つは「ユーザとデバイスの特定」です。その理由は明らかです。MFA は、ユーザとアイデンティティ管理のためのセキュリティ構造と、任意のユーザの任意のリソースに対する継続的な認証を行うセキュリティ構造を提供するという点で、ゼロトラスト実装の基礎となります。

3.リモートアクセスのための高度なセキュリティ

認証ポリシーは特に、複数の場所から会社のデータやネットワークにアクセスしてリモートワークを行う従業員のセキュリティを最適化するために役立ちます。またクラウドサービスや PaaS の利用も増加しているため、リスクポリシーを有効にすることで、権限のあるユーザのみにアクセスを許可し、不正アクセスを検知可能になるということは非常に重要です。

4.シンプルなユーザエクスペリエンス

リスクベースの認証では、十分なセキュリティが確認できる場合に余分な認証を省くことで、ユーザエクスペリエンスを向上させることもできます。たとえばユーザが既知の安全な場所からリソースにアクセスしている場合、MFA を使用する必要はありません。
多要素認証はあらゆる面から見て、ユーザの ID、クラウドアプリケーション、ネットワーク、企業データを保護するために不可欠なソリューションです。より洗練されたセキュリティアプローチの実現に注力しているとしたら、それもゼロトラストの準備に必要なステップを考えているということに他なりません。リスクベース認証は MFA フレームワークに必要不可欠です。

企業のリスク評価方法についての詳細は、ビジネスリスクアセスメントガイド (英語) をお読みください。企業のセキュリティニーズに合致した主なリスクポリシーを決めるためのヒントが掲載されています。