適応認証とは？その仕組みは？

適応認証の定義

ユーザーがサインインや会社資産へのアクセスを試みるたび、通常の認証手法（例えば多要素認証）では特定の情報の入力が求められます。状況に応じ、適応認証は改めてログイン情報を要求し、盗難の可能性が高い場合の安全性を強化します。

パスワードやユーザー名などの基本情報だけでログインすると、ユーザーはサイバー攻撃に対して脆弱になります。モバイルアプリで生成されるコードや多要素認証など、追加の認証情報を求めることで安全性を高めます。それでも、ハッカーが複数のパスワードを盗み出してアクセスを得るのは容易ではありません。 

最も良い適応認証の例としては、『弊社ウェブサイトで各地域からの不審なアクセスが増加しているため、ユーザーの行動に合わせて認証要求を変更する』というものが挙げられます。 

‍

適応認証の仕組み

プラットフォームにログインする際、ユーザーが従うべき基準を定めることは、適応型リスクベース認証を採用する最初のステップです。

接続を試みると、参加者にはリスク評価が与えられます。この評価が低、中、高とされた場合、ユーザーの身元確認のために追加情報の入力が求められます。

組織のセキュリティでは、識別と認可が重要な段階です。検証段階にリスク評価が組み込まれており、初期認証でユーザーが確認できない場合、リスクベースのセキュリティシステムは自動的に追加認証を要求します。

認証要求のリスクスコアが高い場合、以下の多要素認証手法の一つまたは両方が用いられることがあります：

顔認識: 即時の侵入検出を用い、ユーザーに自撮りの撮影を求める場合があります。

SMSによるOTP: ユーザーのデバイスにSMSで認証要求が送られ、送られたワンタイムパスワードの入力が求められます。ただし、この方法は暗号化レベルが高いとは言えませんが、広く利用されています。 

メールによるOTP: ログイン試行があった旨がメールで通知され、そこで送信されたワンタイムパスワードの入力が求められます。

プッシュ認証: 信頼できるデバイスへプッシュメッセージを送り、承認を求めることでアクセスが許可されます。

ログイン試行後、認可により通常、次の3つの結果が得られます：

• アクセス許可
• アクセス拒否
• その他（状況により対応が異なる）

‍

適応認証の導入方法

動的認証は、次の3つの方法のいずれかで実施できます：

• システム管理者が、ユーザーロール、資源情報、所在地、時間帯、曜日など、さまざまな変数に対するリスク閾値を定めた静的ルールを作成する。
• アルゴリズムが、ユーザーの習慣から通常の行動パターンを学習する。行動相関という適応型手法も教えることができる。
• 固定的な要素と変動的な要素を組み合わせた方針を採用する。

適応認証は、全体のビジネスリスクの定義にかかわらず、リスクの程度に応じた適切な認証を提供します。従来の一律な認証と異なり、低リスクの状況に過度な負担をかけず、高リスクの場合に適切な対策を実施できます。

識別管理は、包括的な多要素セキュリティ戦略の一環として、ユーザー認証に適応型基準を取り入れています。この手法を利用することは、貴社が認証情報を管理し権限を付与する上で最も安全な方法です。

適応認証と機械学習 

機械学習技術は、リスクベース認証の仕組み作りにおいて最も多く用いられています。これらのアルゴリズムは、ユーザーごとのログイン習慣を正確に把握するため、利用パターンを時間とともに追跡・蓄積します。デバイス、通常のログイン時間、標準的な業務環境などの監視に加え、ネットワーク上の危険情報としてIPや認証情報の照合も行います。

リスク評価は利用状況や環境に応じて変動し、ITで定められた規定に沿って脅威に対応します。これらの規定は、リスク評価、ユーザーロール、地域、技術などにより変わる場合があります。  

次世代の認証は、人工知能（AI）を活用し、即時にユーザーのログイン習慣の異常や認証経路上の危険を検出する方向で進化しています。

高度な適応認証仕組みは、リスク評価とIT規定に応じてログイン要件を動的に変更します。リスク評価が低い場合、認証チャレンジはごく少量、もしくは不要となることもあります。  

リスク評価が高い場合には、生体認証やワンタイムパスワードなどの追加措置が加えられることがあります。これら高度なシステムは、リスク評価とIT規定に基づき、アクセス権限の制限や遮断を実施する場合もあります。

‍

適応型多要素認証

適応型多要素認証を活用することで、ユーザーの行動や危険度に合わせた適切な認証手法を実施できます。ユーザーの端末や行動に伴うリスクを評価し、識別ネットワークオペレーターシステムが認証手段を選定、必要に応じて基準を変更します。

多要素認証は、適応型の信頼性と併用することも、単独で利用することも可能です。不正なログインや高リスクと判断された場合にのみ多要素認証を要求することで、ユーザーの負担を軽減できます。適応型多要素認証システムは、以下のような環境要因に応じて認証量を調整します：

• OSや認証に使用されるデバイスの検出を含むネットワークプロファイル
• 第三者が収集した脅威に関する情報
• ユーザーがよく利用する信頼できる場所や、連続するアクセス間の物理的な距離を示すジオ・ベロシティを含む先進解析
• ユーザーの行動およびロールベースのアクセス解析
• OSや発信元IPの情報

これらコンテキスト固有の要素を活用して、貴社は多要素認証の要求、ネットワークへのアクセス許可・拒否、または低リスクの場合のパスワード不要認証など、適切な認証対策と脅威度のバランスを取ることが可能です。これにより、正規のユーザーと偽装ユーザーを見極めることができます。

‍

適応型／リスクベース認証ソリューションの利点

1. セキュリティスタックの補完

リスクベース戦略は、既存のセキュリティレイヤーと組み合わせることで、多様な従業員やクライアントの利用に対応できる点が大きな認証の利点です。既存の仕組みを補完する手法の採用により、大幅な刷新を行わずに認証の強化が可能となります。

2. アカウント乗っ取りリスクの低減

リスクベース認証の導入により、認証情報の盗難リスクを低減できます。万一アカウントが不正利用された場合でも、被害の拡大を防ぐことが可能です。  

リスクベース認証は、ユーザーのログイン情報のみならず、所在、閲覧履歴、ページ上での行動なども検証し、アクセス許可の可否を判断します。

3. 適応型対策の実施

状況に応じたセキュリティ対策は、変化に柔軟に対応する防御策です。アクセス権限、認証試行、位置情報、利用端末などの重要な要素をリスクベースシステムが評価します。 

システムの対応は、あらかじめ定めた規定（多要素認証やアクセスブロックなど）に基づいて決定されます。

‍

なぜ組織は適応認証を採用すべきか？

企業は、従業員の技術利用をこれまで以上に多様な方法で管理・促進できるようになっています。BYOD規定によりさまざまな端末の使用が可能となり、リモートやハイブリッド勤務により、チームメンバーは異なる地域からログインして業務を行えます。

こうした柔軟性の向上により、企業は従業員からより大きな成果を引き出すことが可能ですが、セキュリティ対策を強化しなければ、サブネットの脆弱な部分を狙った攻撃のリスクが高まります。

ここで適応認証の出番です。すべてのデバイスやユーザーに一律の規定を適用するのではなく、ユーザーロール、所在、端末状態、行動などの各要素に基づいて認証と権限管理を実現します。

現代の技術革新は、一律なセキュリティを支持しません。固定的な規定は、現代の職場では緩すぎるか厳しすぎるかのいずれかとなりがちです。厳格なデータセキュリティとユーザーの使いやすさを両立する解決策が、適応認証なのです。