コンテキストアウェアアクセス こんてきすとあうぇああくせす
簡単に言うとこんな感じ!
「誰が」だけじゃなく「どこから・どんな端末で・今どんな状況か」まで見てアクセスを許可するしくみだよ。社員証だけ確認するんじゃなく、顔・服装・時間帯まで総合的に判断するセキュリティガードみたいなイメージ!
コンテキストアウェアアクセスとは
コンテキストアウェアアクセス(Context-Aware Access) とは、「誰か(アイデンティティ)」の認証だけでなく、アクセス時の状況(コンテキスト)全体を評価してアクセス可否を動的に判断するアクセス制御の考え方です。コンテキストとは「文脈・状況」のことで、具体的には「どのデバイスを使っているか」「どのネットワークからつないでいるか」「今何時か」「最近不審な操作はなかったか」といった情報を指します。
従来のアクセス制御は「正しいIDとパスワードさえ合えば入れる」という方式でした。しかしテレワークやクラウドの普及により、社内ネットワーク外からのアクセスが当たり前になった現代では、IDとパスワードが漏洩するだけで簡単に侵入されてしまいます。コンテキストアウェアアクセスはこの弱点を補い、「常に状況を見て、そのつど許可を判断する」というゼロトラストの考え方を実現する中核的な技術です。
実務的には、Google の BeyondCorp モデルやMicrosoftの条件付きアクセス(Conditional Access)、各種 CASB(クラウドアクセスセキュリティブローカー) がこの思想をベースに構築されています。「社内にいるから安全」という前提を捨て、常にリスクを評価し続けることが現代のセキュリティの標準になりつつあります。
コンテキストとして評価される要素
コンテキストアウェアアクセスでは、以下のような多様な「状況情報」を組み合わせてアクセス可否を判断します。
| コンテキストの種類 | 具体例 | なぜ重要か |
|---|---|---|
| アイデンティティ | ユーザーID・グループ・役職 | 誰がアクセスするかの基本情報 |
| デバイスの状態 | OSバージョン・パッチ適用状況・MDM管理下か | 感染端末からのアクセスを遮断 |
| ネットワーク | IPアドレス・地理的位置・VPN使用有無 | 海外や不審な場所からのアクセスを検知 |
| 時間・日時 | 業務時間内か・休日か | 深夜の大量アクセスは異常と判断 |
| アプリケーション | アクセス先サービス・操作の種類 | 機密データへの書き込みは厳格に評価 |
| リスクスコア | 過去の行動・異常検知の結果 | AIが「いつもと違う」を自動検知 |
判断の流れ(ポリシーエンジン)
コンテキストアウェアアクセスの中心にあるポリシーエンジンは、上記の情報を収集・評価し、以下の3パターンのいずれかを返します。
コンテキスト収集
↓
┌─────────────────────┐
│ ポリシーエンジン │
│ (条件ルール評価) │
└─────────────────────┘
↓
┌────┼────┐
許可 条件付き 拒否
(MFA要求など)覚え方:「誰・何で・どこから・いつ・何を」の5W
コンテキストを覚えるには 「誰が(Who)・何で(What device)・どこから(Where)・いつ(When)・何を(What resource)」 の5Wで整理すると便利です。この5Wすべてが「正常範囲」のときにアクセスを許可する、というシンプルな原則です。
歴史と背景
- 2000年代初頭 — 企業アクセス制御の主流は「社内ネットワーク内なら安全」という境界型セキュリティ(ファイアウォール中心)
- 2010年頃 — Googleが社内向けに BeyondCorp プロジェクトを開始。「社内ネットワークを信頼しない」という革命的なゼロトラストモデルを実践
- 2014年 — GoogleがBeyondCorpの論文を公開。コンテキストアウェアアクセスの概念が業界に広まるきっかけに
- 2017年 — Google Cloud が企業向けに Context-Aware Access 機能を提供開始
- 2018〜2019年 — Microsoft Azure AD が 条件付きアクセス(Conditional Access) を強化。Office 365との統合でエンタープライズ標準へ
- 2020年 — コロナ禍によるテレワーク急拡大。「社外から安全につなぐ」ニーズが爆発し、コンテキストアウェアアクセスが一気に普及
- 2021年以降 — NIST(米国国立標準技術研究所)がゼロトラストアーキテクチャの標準文書(NIST SP 800-207)を公開し、コンテキスト評価が公式に位置づけられる
従来型アクセス制御との比較
コンテキストアウェアアクセスを理解するには、従来の「境界型セキュリティ」との違いを把握することが近道です。
| 比較項目 | 従来型(境界型) | コンテキストアウェアアクセス |
|---|---|---|
| 前提 | 社内ネットワーク=安全 | どこも信頼しない(ゼロトラスト) |
| 判断基準 | ネットワーク位置(VPN接続済みか) | 5Wすべての状況を総合評価 |
| 許可のタイミング | 一度認証したら継続許可 | アクセスごとに動的に再評価 |
| デバイス管理 | 考慮しないことが多い | 必須(未管理端末は原則拒否) |
| テレワーク対応 | VPNが必須・パフォーマンス低下 | クラウド経由でVPN不要も可能 |
| 対応できない脅威 | 内部不正・認証情報の盗用 | リスクスコアで異常を検知 |
コンテキストアウェアアクセスの位置づけ(SVG図解)
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの標準文書。コンテキスト評価を含むポリシーエンジンの設計指針を規定 |
| RFC 7636 | OAuth 2.0 PKCE。コンテキストアウェアアクセスで使われるOAuth認証の強化仕様 |
| RFC 8693 | OAuth 2.0 Token Exchange。コンテキスト情報をトークンに連携させる標準仕様 |
関連用語
- ゼロトラスト — 「何も信頼しない」を前提に都度検証するセキュリティ思想
- 条件付きアクセス — Microsoft Azure ADが提供する、コンテキスト評価ベースのアクセス制御機能
- 多要素認証(MFA) — コンテキスト判定でリスクが高い場合に追加要求される認証手段
- アイデンティティプロバイダー(IdP) — ユーザーのアイデンティティ情報を管理・提供するシステム
- MDM(モバイルデバイス管理) — デバイスのコンテキスト情報(OS・パッチ状態)を収集・管理するしくみ
- CASB — クラウドサービスへのアクセスを仲介しコンテキスト評価を実施するセキュリティ製品
- SASE — ネットワークとセキュリティを統合し、コンテキストアウェアアクセスを広域で実現するアーキテクチャ
- BeyondCorp — Googleが提唱したゼロトラスト・コンテキストアウェアアクセスの実装モデル