デバイスポスチャ評価 でばいすぽすちゃひょうか
簡単に言うとこんな感じ!
「この端末、ちゃんとセキュリティ対策してる?」って入館前にチェックするセキュリティゲートのことだよ! OSのアップデートが古かったり、ウイルス対策ソフトが切れてたりする端末は「ごめん、入れません」って弾いちゃうんだ。会社のシステムに”素性不明の端末”を接続させないための仕組みだね!
デバイスポスチャ評価とは
デバイスポスチャ評価(Device Posture Assessment) とは、ネットワークやアプリケーションへのアクセスを許可する前に、接続しようとしている端末(デバイス)のセキュリティ状態を自動でチェックする仕組みです。「ポスチャ(Posture)」は英語で「姿勢・状態」を意味し、端末が”正しいセキュリティの姿勢”を保っているかどうかを評価します。
具体的には、OSのバージョンやパッチ適用状況、ウイルス対策ソフトの有効性、ディスク暗号化の有無、会社が管理しているデバイスかどうか(MDM登録済みか)などを確認します。条件を満たさない端末はアクセスを拒否するか、隔離ネットワークへ誘導します。
ゼロトラストセキュリティ(「何も信頼しない」を前提にする考え方)の中核的な要素であり、「社内ネットワークにつながっているから安全」という古い考え方を捨て、「端末ごとに毎回チェックする」アプローチを実現します。テレワークやBYOD(私物端末の業務利用)が広まった現代では特に重要な概念です。
デバイスポスチャ評価の仕組み
アクセスのたびに以下の項目を自動チェックし、ポリシーに合致しているかを判定します。
| チェック項目 | 具体的な確認内容 | NGの例 |
|---|---|---|
| OSバージョン | 最新パッチが適用されているか | Windows 11未満、重大CVEが未適用 |
| ウイルス対策ソフト | 有効化・定義ファイルの鮮度 | 無効化されている、30日以上更新なし |
| ディスク暗号化 | BitLocker / FileVault の有効化 | 暗号化なしで業務データが漏れるリスク |
| MDM登録 | 会社管理デバイスかどうか | 個人端末がそのまま業務システムに接続 |
| ファイアウォール | OS組み込みFWの有効化 | ファイアウォール無効 |
| 証明書 | デバイス証明書の有無 | 会社発行証明書なし = 不正端末の可能性 |
評価結果は「合格 → フルアクセス」「一部NG → 制限付きアクセス」「重大NG → アクセス拒否」のように段階的に扱うことが多いです。
覚え方:「ポスチャ=入場前の身だしなみチェック」
ナイトクラブの入口で「服装OK?年齢OK?」と確認するボuncerをイメージしてください。OKなら入場、NGなら「着替えてきてね(パッチ当てて)」となります。これがデバイスポスチャ評価です。
評価のタイミング
| タイミング | 説明 |
|---|---|
| 接続時(Pre-connect) | VPNやZTNAに接続する瞬間に1回チェック |
| 継続的評価(Continuous) | 接続中も定期的に状態を監視。途中でウイルス対策が切れたら即切断 |
| リクエスト時 | 個々のアプリケーションへのアクセスのたびに再評価 |
歴史と背景
- 2000年代初頭 — Cisco が NAC(Network Access Control) を提唱。社内ネットワークへの接続前に端末の健全性を確認する概念が登場
- 2004年 — Trusted Computing Group が TNC(Trusted Network Connect) 仕様を策定。業界標準としてポスチャ評価の枠組みを整備
- 2010年代 — スマートフォンの普及とBYODの拡大で、「誰の端末でも接続してくる」状況が加速。MDMと組み合わせたポスチャ評価が注目される
- 2018〜2019年 — Gartner が SASE(Secure Access Service Edge) の概念を発表。ゼロトラストとポスチャ評価がクラウドサービスに統合される流れへ
- 2020年 — コロナ禍でテレワークが急拡大。オフィス外から接続する端末が激増し、ポスチャ評価の重要性が一気に高まる
- 2021年〜現在 — NIST SP 800-207(ゼロトラストアーキテクチャ)でポスチャ評価が明示的に位置づけられ、企業のセキュリティ標準として普及
ゼロトラスト・SASEとの関係
デバイスポスチャ評価は単独では機能せず、複数のセキュリティ要素と組み合わさることで効果を発揮します。
主要ソリューションの比較
| ソリューション | 特徴 | 代表製品 |
|---|---|---|
| MDM/UEM | 端末を会社が管理・設定する仕組み。ポスチャ情報の提供元にもなる | Microsoft Intune、Jamf |
| NAC | ネットワーク接続時にポスチャをチェックし、接続先を制御する | Cisco ISE、Aruba ClearPass |
| ZTNA | アプリケーション単位でポスチャ評価 + 認証をセットで実施 | Zscaler ZPA、Cloudflare Access |
| EDR | 端末の挙動を監視・検知。ポスチャ評価のデータソースになる | CrowdStrike、SentinelOne |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの定義。デバイスポスチャ評価の位置づけを明記 |
| RFC 5792 | PA-TNC(Posture Attribute for TNC)— ポスチャ属性の交換プロトコル |
| RFC 5793 | PB-TNC(Posture Broker for TNC)— ポスチャ評価のブローカープロトコル |
関連用語
- ゼロトラスト — 「何も信頼しない」を前提にするセキュリティの考え方
- ZTNA — ゼロトラストを実現するネットワークアクセス制御技術
- SASE — ネットワークとセキュリティをクラウドで統合したアーキテクチャ
- MDM — 企業がスマホ・PCを一元管理するモバイルデバイス管理の仕組み
- NAC — ネットワーク接続前に端末の健全性を確認するアクセス制御
- EDR — 端末上の不審な挙動をリアルタイム検知・対応するセキュリティ技術
- 多要素認証(MFA) — パスワード以外の要素を組み合わせた認証方式
- エンドポイントセキュリティ — PCやスマホなど端末を守るセキュリティ対策の総称