// シス担のミカタ
認証

継続的認証 けいぞくてきにんしょう

行動バイオメトリクスリスクベース認証ゼロトラストセッション管理多要素認証異常検知
継続的認証について教えて

簡単に言うとこんな感じ!

ログイン時だけ本人確認して終わり、じゃなくて「使い続けている間もずっと本人かどうか確かめ続ける」仕組みだよ!キーボードの打ち方や行動パターンをAIが常にチェックして、怪しければ即シャットアウトってこと!

継続的認証とは

従来の認証は「ドアを開けるときだけ鍵を確認する」方式でした。一度ログインしてしまえば、その後は誰が操作していても同じユーザーとして扱われます。これが大きな問題で、パスワードを盗んだ攻撃者がなりすまして長時間操作し続けても、気づかれないケースが多発していました。

継続的認証(Continuous Authentication) とは、ログイン時の1回限りの確認ではなく、セッション中を通じて継続的にユーザーの正当性を検証し続ける仕組みです。キーボードの打鍵リズム・マウスの動かし方・タッチパターンといった行動バイオメトリクスや、接続場所・時刻・デバイスの状態といったコンテキスト情報をリアルタイムに分析します。

特にゼロトラストセキュリティ(「社内にいるから安全」という前提を捨て、常に疑ってかかる考え方)が主流になるにつれ、継続的認証は「一度信頼したら終わり」ではなく「信頼はリアルタイムで更新し続けるもの」という概念を実現する中核技術として注目されています。

継続的認証の仕組みと構成要素

どんな情報をリアルタイムに見ているか

分類具体的な情報
行動バイオメトリクスキーストローク・マウス操作・スクロール速度普段より急に打鍵間隔が変わった
コンテキスト情報IPアドレス・位置情報・接続時刻東京でログイン後3分でニューヨークから操作
デバイス状態OSバージョン・画面ロック設定・マルウェア検知セキュリティポリシー違反のデバイスに変わった
操作パターン普段アクセスしないデータへのアクセス深夜に顧客全件ダウンロードを試みる

リスクスコアと対応アクション

継続的認証では、上記の情報を組み合わせてリスクスコアを算出し、スコアに応じて対応を自動的に変化させます。

リスクスコア: 低 ────────────────────► 高
    │                                   │
    ▼                                   ▼
 通常のまま        再認証を要求      セッション強制切断
 アクセス継続   (MFA・パスワード再入力)  + 管理者通知

覚え方:「入口だけじゃなく、廊下でもずっと確認する警備員」

玄関で入館証を見せるだけで館内を自由に動き回れるのが従来型。継続的認証は廊下でも、会議室でも、トイレの前でも警備員がさりげなく顔を確認し続けるイメージです。本人なら気にならないけれど、なりすましはすぐバレる、ということですね。

歴史と背景

  • 2000年代初頭 — ログイン時の一度きり認証(ID+パスワード)が主流。セッションは長時間有効のまま放置されることも多かった
  • 2010年代前半 — 標的型攻撃・内部不正が急増。「ログインできた=安全」という前提が崩れ始める
  • 2013年 — 米NSAのスノーデン事件。正規の認証情報を持つ内部者による情報漏えいが世界的に問題視される
  • 2014年頃〜行動バイオメトリクスの研究が活発化。機械学習を使ったユーザー識別の精度が実用レベルに近づく
  • 2017年 — NISTがデジタルアイデンティティガイドライン(SP 800-63)を改訂。リスクベースの継続的評価を推奨
  • 2019〜2020年ゼロトラストアーキテクチャが企業セキュリティの標準的な考え方に。継続的認証はその中核技術として採用が加速
  • 2020年代〜 — テレワーク普及により社外からのアクセスが急増。継続的認証の導入がエンタープライズで本格化

従来型認証・多要素認証との比較

認証方式の比較 従来型認証 (ID+パスワード) ログイン時のみ確認 ✓ 実装が簡単 ✓ ユーザー負荷が低い ✗ 盗用後の検知不可 ✗ セッション乗っ取り  に無力 確認タイミング 入口のみ 🚪 多要素認証(MFA) (SMS・アプリ認証等) ログイン時に複数要素 ✓ パスワード単体より強固 ✓ 広く普及している ✗ ログイン後は無防備 ✗ フィッシングで  迂回されるケースも 確認タイミング 入口のみ(複数鍵)🔑🔑 継続的認証 (行動・コンテキスト) セッション中ずっと確認 ✓ 不正を即時検知 ✓ ユーザー操作が不要 ✗ 実装コストが高い ✗ プライバシーへの  配慮が必要 確認タイミング 入口〜退出まで常時 🛡️

継続的認証とゼロトラストの関係

ゼロトラストの根本原則は「一度も信頼しない、常に検証する(Never Trust, Always Verify)」です。この原則を実現するためには、ログイン時の認証だけでは不十分で、継続的認証が不可欠です。

ゼロトラストにおける継続的認証の位置づけ

  ユーザーがログイン


  【ID確認】パスワード+MFA


  アクセス開始

       ├── 5分後: 行動スコア 正常 → アクセス継続
       ├── 20分後: 位置情報に異常 → 再認証要求
       ├── 35分後: 大量ダウンロード検知 → セッション切断
       └── 管理者にアラート送信

関連する規格・RFC

規格・文書内容
NIST SP 800-63Bデジタルアイデンティティガイドライン。リスクベース認証・継続的評価を規定
NIST SP 800-207ゼロトラストアーキテクチャの定義と実装ガイダンス
ISO/IEC 29115エンティティ認証保証フレームワーク
RFC 7235HTTP認証の枠組み(セッション管理の基礎)

関連用語