継続的認証：企業システムにおける行動ベースのセキュリティへのシフト

継続認証は、ログイン時だけでなく、セッションの間中、ユーザーが本当に同一人物かどうかをチェックし続ける方法です。バックグラウンドで静かに実行され、何かがおかしいと感じた瞬間に反応します。.

今日でも、ほとんどのシステムは単純な考えで動いています。一度ログインすればアクセス権を獲得。その後、ログアウトするまで信頼されます。紙の上ではうまく聞こえます。しかし現実には、ここで問題が起こります。.

攻撃者は常に侵入してくるわけではありません。待ち構えるのです。セッションを乗っ取るのです。あるいは、ログイン後に忍び込むのです。いったん侵入されると、システムから見ればすべてが正常に見えます。それが問題なのです。.

こちらもお読みください： 意思決定インテリジェンスシステム：日本企業はいかにしてダッシュボードを超えて自律的な洞察へと移行しつつあるのか

その影響は決して小さくありません。金銭、評判、業務を同時に直撃します。2024年、データ侵害の平均コストは$488万ドルに達し、侵害の82%は漏えいした認証情報に関係しています。 アイビーエム.

ですから、モデルを変えなければなりませんでした。そこで、継続的認証の登場です。一度だけチェックポイントを行うのではなく、常に監視し続けるのです。バックグラウンドで静かにチェックし続けるようなものだと考えてください。ノイズはありません。絶え間ない中断もありません。しかし常にアクティブです。.

行動ベースのセキュリティの解剖学

ここでの考え方はシンプルです。最高のセキュリティとは、ユーザーが毎秒感じないものです。.

継続的認証は、主に受動的なシグナルで動作します。つまり、ユーザーに何度も証明するよう求め続けることはありません。パターンを観察するだけです。.

さて、信号には2つのタイプがあります。アクティブなものとパッシブなものです。能動的なシグナルとは、OTPや バイオメトリクス ユーザーが何かをしなければならない場所。パッシブシグナルは違います。ただ起こるものです。.

例えばタイピング。タイピングは人それぞれです。ある人はもっと間を置きます。ある人は速くタイプし、ある人は修正します。そのようなパターンが時間の経過とともに蓄積されていきます。システムはそれを拾います。.

それからマウスの動き。基本的なことのように聞こえますが、そうではありません。人間はカーソルを少し乱雑で自然な方法で動かします。ボットや攻撃者は多くの場合、直線や予測可能な線で動きます。.

モバイル機器では、さらに面白くなります。携帯電話の持ち方、傾き、画面への圧力、それらすべてが信号になります。.

これらはすべて、トラストスコアと呼ばれるものに反映されます。これは固定されたものではありません。変化し続けます。すべての行動が信頼を強めるか、フラグを立てるかのどちらかです。.

すべてが正常に見える場合は、何も起こりません。ユーザーは仕事を続けます。何かがおかしいと感じれば、システムは反応します。いつも攻撃的というわけではありません。時には小さなチェックをするだけです。これが継続的認証がバランスを保つ方法です。.

エンタープライズ・システムがゼロ・トラスト・アイデンティティに向かう理由

多くの企業が多要素認証で問題が解決したと考えていました。それが助けになったのは間違いありません。しかし、攻撃者は調整しました。.

MFAさえも迂回できる攻撃があります。セッション・ハイジャック。中間者攻撃。ログイン後に起こること。これが従来のシステムが苦戦するところです。.

それで考え方が変わりました。アイデンティティは一度確認するものではありません。チェックし続けるものです。.

これは 信頼ゼロ. .考え方は簡単です。信用を決めつけないこと。常に検証すること。.

NISTのフレームワークは、このアプローチを明確に推進しています。彼らは、1回限りのチェックに頼るのではなく、継続的な検証に焦点を当てています。.

同時に、システムは文脈についてより賢くなりつつあります。位置情報は重要。IPの変更は重要。誰かが場所を移動するスピードも重要です。ある国からログインした人が、数分以内に突然別の国に現れたら、それは普通ではありません。.

これは単なる理論ではありません。市場はこの方向に急速に動いています。.

ですから、これはニッチな変化ではありません。標準的なやり方になりつつあるのです。.

エンタープライズ・スタック内部の技術的実装

継続的認証（Continuous Authentication）と聞くと、実装が複雑だと思われがちです。簡単ではありませんが、不可能でもありません。ただ、段階を踏んで行う必要があるだけです。.

まずベースラインの段階。システムは正常な状態がどのようなものかを学ぶ必要があります。これには通常8回から10回のセッションが必要です。この間に、システムは各ユーザーの行動プロファイルを構築します。.

この部分は重要です。システムが急げば偽陽性が出ます。時間をかければ、より正確になります。.

次に統合。継続的認証は既存のシステムを置き換えるものではありません。既存のシステムに接続するのです。Okta、Microsoft Entra ID、Ping Identityのようなプラットフォームの出番です。APIにより、行動シグナルを既存のIDおよびアクセス管理システムにプラグインすることができます。.

そして応答。ここで実際に物事が起こります。.

リスクが低い場合は何も変わりません。ユーザは通常通り続行します。.
リスクが高まった場合は、生体認証のような簡単なチェックを求めることもあります。.
リスクが高い場合は、セッションを直ちに停止し、フラグを立てることができます。.

このアプローチには真の価値があります。セキュリティにAIと自動化を導入している企業は、導入していない企業よりも98日早く侵害を特定し、封じ込めることができます。 アイビーエム.

その時差が、違反の規模を決定することになります。.

採用を促進するセクター固有のユースケース

どんなシステムでも、実際の状況でどう機能するかが本当のテストです。.

金融業界では、不正行為がより複雑になっています。もはや盗まれたパスワードだけではありません。現在、プッシュペイメント詐欺が大きな問題となっています。ユーザーは騙されて自分自身で送金してしまうのです。.

従来のシステムでは、トランザクションが有効に見えるため、これを見逃すことがよくあります。行動システムは違います。躊躇、異常なパターン、またはトランザクション中のユーザーのやり取りの変化を検出することができます。.

一部の金融機関では、リアルタイムの行動監視を利用した結果、不正決済が最大90％減少したと報告されています。.

医療における課題は、スピードとアクセスです。医師や看護師は何度もログインし続けることはできません。しかし、彼らが扱うデータは機密性の高いものです。継続的認証は、行動を監視しながらも、常に中断することなくアクセスを可能にします。.

リモートワークは、さらに別のレイヤーを追加します。ホームネットワーク、個人所有のデバイス、さまざまな場所からシステムにアクセスします。継続的認証はログイン後もチェックを続けるため、認証情報の漏洩によるリスクを軽減します。.

これらすべてのケースにおいて、変化は明らかです。セキュリティは、単なる認証情報よりも、行動に関するものになりつつあるのです。.

継続的認証におけるプライバシーと誤検知への対応

プライバシーに関する懸念は、ここでもしばしば話題にのぼります。そうあるべきです。.

理解すべき重要な点は、継続的認証は内容ではなくパターンに注目するということです。何をタイプするかではなく、どのようにタイプするかを見るのです。この違いが重要なのです。.

欧州委員会のような機関が策定したガイドラインは、このようなプライバシー・バイ・デザインのアプローチを推進しています。.

偽陽性の問題もあります。システムが厳しすぎると、ユーザーは頻繁に中断されます。それはフラストレーションにつながります。.

だからチューニングが重要になります。システムは、いつ行動し、いつ沈黙するかを学ぶ必要があります。このバランスが、継続的認証を実用的なものにしているのです。.

アイデンティティの未来は連続的

アイデンティティは変化しています。もはや一度限りのチェックではありません。セッション中に進化し続けるものなのです。.

この方向性は、ゼロ・トラストを標準的なアプローチとして推進している米国防総省の指針とも一致しています。.

2025年までに、ゼロ・トラスト・アーキテクチャーは以下の標準になると予想されています。 70% 新しいデジタルトランスフォーメーションプロジェクトの.

この変化は多くのことを物語っています。これは、組織が静的なセキュリティ・モデルから脱却しつつあることを示しています。.

継続的認証はこの変化の中心に位置します。アイデンティティ、行動、そしてリアルタイムの意思決定を結びつけます。.

現時点では、企業がそれを採用すべきかどうかが問題なのではありません。いつまで導入しない余裕があるかということです。.