ユーザー認証の進化版「継続的認証」と「アダプティブ認証」とは？：クラウド時代にIDを守るには【後編】

クラウドサービスの利用が広がる中で、一段と「IAM」（IDおよびアクセス管理）を強化する重要度が増している。有効な認証手法として「継続的認証」と「アダプティブ認証」を解説する。

[Vladimir Jirasek，TechTarget]

　「IAM」（IDおよびアクセス管理）を強化するための手法として「多要素認証」（MFA）や「役割ベースのアクセス制御」（RBAC：Role Based Access Control）などがあるが、有効なのはそれだけではない。本稿はIAMを強化するための2つの認証手法として「継続的認証」と「アダプティブ認証」を解説する。

「継続的認証」と「アダプティブ認証」とは

併せて読みたいお薦め記事

連載：クラウド時代にIDを守るには

• 前編：「MFA」が鍵なら「UEBA」は何か　IAMの今どきの常識
• 中編：いまさら聞けない「役割ベースのアクセス制御」（RBAC）とその「進化版」

「IAM」はなぜ重要か？

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• 緩いIAMポリシーがクラウドを危険にする当然の理由

　クラウドサービスへの不正アクセスを防ぐために有効な2つの認証手法は以下の通り。

継続的認証

　1つ目は、一度の認証で終わらせない「継続的認証」だ。「ある従業員がMFAを正常にパスしたため、要求された全てのアクセスを許可する」という考え方は危険だ。攻撃者は常に知恵を絞り、セキュリティを突破しようとしている。ユーザーの振る舞いに異常が見られなくても、継続的に認証を求めることは重要だ。ただし、認証の頻度が増えると、ユーザー体験（UX）が下がる恐れがあるので、適切なバランスにすることが重要だ。

アダプティブ認証

　2つ目は、「アダプティブ（適応型）認証」だ。アダプティブ認証とは、リスクに応じて異なる認証情報を要求する手法を指す。例えば、従業員が登録済みのデバイスを使用し社外からクラウドサービスにログインする場合、セキュリティリスクは高くないと考えられる。このような場合、アクセスを許可しても問題ないだろう。一方で、VPN（仮想プライベートネットワーク）サーバから未登録のデバイスで接続し、システムから大量のデータをダウンロードしようとしているといった場合は攻撃の可能性が高い。そのため、追加の認証を求めるなど安全策を講じることが大切だ。

---

　クラウドサービスへの不正アクセスは、ランサムウェア（身代金要求型マルウェア）をはじめとした重大な攻撃につながりかねない。全てのアクセス要求を危険と見なして認証を求める「ゼロトラストセキュリティ」の考えをID管理に取り入れることで、攻撃リスクを軽減することができる。ツールの導入だけではなく、運用管理を徹底することも欠かせない。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。