継続的認証 けいぞくてきにんしょう
簡単に言うとこんな感じ!
ログインしたら終わり、じゃなくて「ずっと本人かどうか見張り続ける」仕組みだよ! 入口でパスポートをチェックするだけでなく、中にいる間もずっと「この人、本当に本人?」って確認し続けるイメージなんだ。
継続的認証とは
継続的認証(Continuous Authentication)とは、ユーザーがシステムにログインした「その瞬間だけ」本人確認をするのではなく、セッション(利用中の接続)を通じてリアルタイムに本人確認を繰り返す仕組みのことです。従来の認証は「入口の門番」でしたが、継続的認証は「常に隣にいるガードマン」のイメージです。
従来型の認証では、一度ログインに成功すれば、その後どれだけ怪しい操作をしても「認証済み」として扱われます。しかし、パスワードの使い回しやセッションハイジャック(他人がログイン済みの接続を乗っ取る攻撃)によって、正規のログインが悪用されるリスクがありました。継続的認証はこのギャップを埋めるために生まれました。
ゼロトラストセキュリティの考え方(「一度信頼しても、ずっと信頼するわけではない」)を認証レベルで実現するのが継続的認証です。ユーザーの行動・場所・デバイス状態などを常時モニタリングし、リスクが高まったと判断した瞬間に追加認証や接続遮断を行います。
継続的認証の仕組みと評価要素
継続的認証は、複数のシグナル(情報)を組み合わせてリスクスコアをリアルタイムに算出し、スコアに応じてアクセス可否を動的に判断します。
| 評価カテゴリ | 具体的なシグナル例 | リスクが上がるケース |
|---|---|---|
| 行動バイオメトリクス | キーボードの打鍵リズム・マウスの動き方 | 突然パターンが変わった |
| 場所・ネットワーク | IPアドレス・GPS位置・接続Wi-Fi | ログイン直後に海外IPから操作 |
| デバイス状態 | OS更新状況・ウイルス対策の有効性 | デバイスが感染した疑いあり |
| 操作パターン | アクセスするデータの種類・量・時間帯 | 深夜に大量ダウンロード開始 |
| 認証要素の再確認 | PINや生体認証の再入力 | 高リスク操作の直前に要求 |
リスクスコアと対応アクション
リスクスコアに応じてシステムの反応が変わるのが特徴です。
リスクスコア(低) ──→ 何も変わらず利用継続
リスクスコア(中) ──→ 追加認証(MFA)を要求
リスクスコア(高) ──→ セッション強制終了・アラート通知
リスクスコア(最高)──→ アカウントロック・管理者通知覚え方:「入っても油断するな!」
従来認証=「入口チェックのみ」、継続的認証=「入っても油断するな」。ゼロトラストの合言葉「Never Trust, Always Verify(決して信頼せず、常に確認せよ)」そのものが継続的認証の本質です。
歴史と背景
- 〜2000年代:ユーザー名+パスワードによる「入口だけ認証」が主流。一度ログインすれば長時間セッションが維持された
- 2010年代前半:クラウドサービスの普及とともに、セッションハイジャックやフィッシング被害が急増。多要素認証(MFA)が普及し始める
- 2013年:米国国立標準技術研究所(NIST)が「継続的な監視」の重要性をサイバーセキュリティフレームワークで言及
- 2014年頃〜:ゼロトラストネットワークの概念が広まり、「ログイン後も継続的に信頼を検証する」考え方が注目される
- 2017年:Google社が社内実践としたゼロトラストモデル「BeyondCorp」を公開。継続的認証の考え方が実例として広く知られるようになる
- 2020年〜:コロナ禍でリモートワークが急増。VPN頼みの境界型セキュリティの限界が露呈し、継続的認証を含むゼロトラスト導入が加速
- 2022年:米国政府がゼロトラスト戦略を連邦機関に義務化。継続的認証はその中核要素として位置づけられる
従来型認証との比較
継続的認証が特に必要なシーン
ビジネスの現場では、以下のような状況で継続的認証の価値が際立ちます。
- リモートワーク:社外から会社のシステムにアクセスする機会が増え、ネットワーク環境が多様化しているため
- クラウドサービス利用:SaaSアプリへのアクセスが増加し、社内ネットワークの「境界線」が意味をなさなくなった
- 機密データへのアクセス:人事情報・財務データなど重要情報を扱う場面で、高リスク操作の直前に再認証を要求
- 特権アカウント管理:システム管理者など強い権限を持つアカウントは、常時監視が特に重要
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義・設計原則(継続的認証を中核要素として規定) |
| NIST SP 800-63B | デジタルアイデンティティガイドライン(認証強度・セッション管理の基準) |
| RFC 7519 | JWT(JSON Web Token):セッショントークン管理に広く使われる規格 |
| RFC 6749 | OAuth 2.0:継続的認証基盤となる認可フレームワークの標準仕様 |
| RFC 8693 | OAuth 2.0 Token Exchange:リスクに応じたトークン再発行の仕組み |
関連用語
- ゼロトラスト — 「何も信頼しない」を前提にしたセキュリティモデル。継続的認証の思想的な基盤
- 多要素認証(MFA) — パスワードに加えて複数の認証手段を組み合わせる方式。継続的認証の追加確認手段として使われる
- リスクベース認証 — ログイン時のリスク状況に応じて認証強度を変える仕組み
- シングルサインオン(SSO) — 一度の認証で複数サービスを使えるようにする技術。継続的認証と組み合わせて運用されることが多い
- SASE — ネットワークとセキュリティを統合したクラウドサービス形態。継続的認証を実装する基盤の一つ
- アイデンティティプロバイダー(IdP) — ユーザーのIDと認証情報を管理するサービス。継続的認証の中心的な役割を担う
- セッション管理 — ログイン後の接続状態を管理する仕組み。継続的認証はセッション全体を監視対象とする
- 行動バイオメトリクス — 打鍵リズムや操作パターンを使って本人確認する技術。継続的認証の主要シグナル源