// シス担のミカタ
ゼロトラスト・SASE

コンテキストアウェアアクセス こんてきすとあうぇああくせす

ゼロトラストアクセス制御アイデンティティデバイス管理リスクベース認証BeyondCorp
コンテキストアウェアアクセスについて教えて

簡単に言うとこんな感じ!

「誰が・どこから・どんな端末で・いつ」アクセスしてきたかを丸ごと見て、OKかNGかを判断する仕組みだよ。会社のVPNに繋げば全部OK、じゃなくて「状況」次第でアクセスの可否が変わるってこと!

コンテキストアウェアアクセスとは

コンテキストアウェアアクセス(Context-Aware Access) とは、「誰が」だけでなく「どこから」「どんな端末で」「どんな状況で」といった複数のコンテキスト(文脈・状況情報) を組み合わせて、リソースへのアクセス可否を動的に判断するアクセス制御の考え方です。従来の「社内ネットワークに繋いでいれば安全」という前提を捨て、アクセスのたびにリスクを評価します。

ゼロトラストセキュリティの中核を成す概念のひとつであり、「ネットワークの場所を信頼の根拠にしない」という原則を実践するための具体的な手段です。社員がカフェのWi-Fiから会社の業務システムにアクセスする場合でも、条件を満たせば許可し、満たさなければ拒否または追加認証を要求します。

クラウドサービスやリモートワークが当たり前になった現代において、「VPNさえ繋げばOK」という境界型セキュリティでは守りきれない場面が増えています。コンテキストアウェアアクセスは、そうした変化に対応するための柔軟かつ精緻なアクセス管理を実現します。

判断に使われる「コンテキスト」の種類

アクセスを許可するかどうかは、以下のような情報を組み合わせて判断します。

コンテキストの種類具体的な情報の例
アイデンティティユーザーID・グループ・役職・MFA認証済みかどうか
デバイスOS・パッチの適用状況・暗号化されているか・会社管理端末か
ネットワークIPアドレス・国・社内ネットワークか否か
アプリケーションどのサービスにアクセスしようとしているか
時間・行動業務時間内か・普段と異なる時間帯や場所か
リスクスコア過去の行動パターンとの乖離・脅威インテリジェンス情報

これらをポリシー(規則) として定義し、アクセスのたびにリアルタイムで照合します。

判断結果は「白か黒」だけじゃない

コンテキストアウェアアクセスの特徴は、単純な「許可 / 拒否」だけでなく、段階的な対応が取れることです。

アクセス要求

    ├─ 全条件OK           → 🟢 アクセス許可
    ├─ デバイスが怪しい   → 🟡 MFA(追加認証)を要求して許可
    ├─ 海外IPからのアクセス → 🟡 読み取りのみ許可(書き込み禁止)
    └─ 未管理端末 + 海外IP → 🔴 アクセス拒否

覚え方:「状況を読む門番」

コンテキストアウェアアクセスは、空港の出入国審査官のようなイメージで覚えましょう。パスポート(ID)だけでなく、渡航履歴・訪問目的・荷物の中身(デバイス状態)・入国タイミングなど、総合的に判断してゲートを開けるかどうか決める、それがコンテキストアウェアアクセスです。

歴史と背景

  • 2009年頃 — Googleが自社のセキュリティ侵害(Operation Aurora)を契機に、VPNに依存しない社内セキュリティモデルの研究を開始
  • 2014年 — Googleが社内実装モデル「BeyondCorp」を論文として公開。「ネットワークの場所ではなくアイデンティティとデバイスを信頼する」という考え方が注目を集める
  • 2019年 — NIST(米国国立標準技術研究所)がゼロトラストアーキテクチャの草案を公開。コンテキストベースのアクセス制御が定義の中核に据えられる
  • 2020年 — コロナ禍によるリモートワーク急拡大。VPN過負荷やセキュリティ懸念が顕在化し、コンテキストアウェアアクセスへの注目が急上昇
  • 2021年以降 — Google BeyondCorp Enterprise・Microsoft Entra ID(旧Azure AD)条件付きアクセス・Okta Adaptive MFAなど、主要クラウドベンダーがコンテキストアウェアアクセス機能を標準提供するようになる

従来のVPN型アクセスとの比較

コンテキストアウェアアクセスが「何を変えるのか」を、従来型のVPNベースのアクセス管理と比べてみましょう。

アクセス制御モデルの比較 従来型 VPNベース コンテキストアウェアアクセス ✔ ネットワーク接続が信頼の根拠 ✔ VPN接続後は社内全体にアクセス可 ✔ 判断は「接続しているか否か」 ✔ 一度通れば再評価なし ✔ 端末状態は原則不問 ✔ リモート増加でスケールしにくい リスク: VPN認証情報が盗まれると 社内全体に侵入される恐れがある ✔ アイデンティティ+状況が信頼の根拠 ✔ アクセスごとに必要なリソースのみ許可 ✔ 複数コンテキストを組み合わせて判断 ✔ セッション中も継続的にリスク評価 ✔ 端末のセキュリティ状態を確認 ✔ クラウドネイティブでスケールしやすい メリット: 認証情報が漏れても「状況」が 条件を満たさなければ侵入を防げる 進化 「城壁の中は安全」モデル 「常に確認・最小限許可」モデル

主要製品・サービスの例

ベンダー製品・機能名特徴
GoogleBeyondCorp Enterpriseコンテキストアウェアアクセスの原点。Google Workspaceとの統合が強み
MicrosoftEntra ID 条件付きアクセスMicrosoft 365・Azure AD環境との親和性が高い
OktaAdaptive MFA / Okta Identity EngineIdP(認証基盤)としてリスクベースで多要素認証を制御
ZscalerZscaler Private Access (ZPA)SASEアーキテクチャの一部として提供。ネットワーク不要でアプリ単位にアクセス制御
Palo AltoPrisma AccessCASBSWGと組み合わせたコンテキスト制御

関連する規格・RFC

規格・文書内容
NIST SP 800-207ゼロトラストアーキテクチャの定義。コンテキストベースアクセスの設計指針を含む
Google BeyondCorp論文 (2014〜)コンテキストアウェアアクセスの実装モデルを示したGoogle社の技術論文シリーズ
OAuth 2.0 / RFC 6749トークンベースの認可フレームワーク。コンテキストアウェアアクセスの認可処理に広く使われる
OIDC (OpenID Connect)アイデンティティ情報をトークンに載せる規格。ユーザーのコンテキスト取得に活用される

関連用語

  • ゼロトラスト — 「何も信頼しない、常に検証する」というセキュリティの設計思想。コンテキストアウェアアクセスはその実装手段のひとつ
  • 多要素認証(MFA) — パスワード以外の要素を加える認証方式。コンテキストに応じてMFAを要求するか